cobit 4, trabajo final

Auditoría de Sistemas Informáticos II (Silabo + Reactivos)

1

Universidad Central del Ecuador

Facultad de Ciencias Administrativas

Escuela de Contabilidad y Auditaría

Asignatura:

Auditoría de Sistemas Informáticos II

Tema:

Desarrollo del Sílabo y Reactivos

Quito - Ecuador


2

El presente documento fue realizado, como guía académica y práctica para la Asignatura:

“Auditoría de Sistemas Informáticos II”.

Este material contiene como anexos los reactivos para su respetiva evaluación, para efectos de enseñanza y aprendizaje con el enfoque a resultados.


3

INDICE

INTRODUCCION …………………………………………… 6

MISION …………………………………………… 7

VISION …………………………………………… 7

OBJETIVO GENERAL …………………………………………… 7

OBJETIVOS ESPECIFICOS …………………………………………… 8

I UNIDAD

RESUMEN EJECUTIVO DE COBIT …………………………………………… 9

1. Resumen Ejecutivo de COBIT 1.1 Administración de la información. …………………………………………… 10 1.2 Áreas de enfoque del Gobierno de TI …………………………………………… 11

1.3 Interrelaciones de los componentes …………………………………………… 12

II UNIDAD

MARCO DE TRABAJO DE COBIT …………………………………………… 13

Marco de trabajo de control para el Gobierno de TI. Misión de Cobit. 2.1 Principio básico de COBIT …………………………………………… 15

2.2 Criterios de Información …………………………………………… 16 2.3 Metas y negocios y de TI …………………………………………… 17 2.4 Recursos de TI ………………………………………….., 19

2.5 Recursos orientado los procesos de COBIT …………………………………... 20 2.6 Objetivos de Control para los 34 procesos de COBIT …………………………… 31

2.7 Controles generales y de aplicación de TI …………………………………… 34 2.8 Generalidades de los modelos de madurez. …………………………………… 2.9 Modelo del Marco de Trabajo de COBIT. ……………………………………

3.3 Planear y Organizar …………………………………… PO1 Definir un Plan Estratégico de TI ……………………………………

PO2 Definir la Arquitectura de la Información …………………………………… PO3 Determinar la Dirección Tecnológic …………………………………… PO4 Definir los Procesos, Organización y Relaciones de TI ……………………

PO5 Administrar la Inversión en TI …………………………………………… PO6 Comunicar las Aspiraciones y la Dirección de la Gerencia ……………………

PO7 Administrar Recursos Humanos de TI …………………………………………… PO8 Administrar la Calidad …………………………………………… PO9 Evaluar y Administrar los Riesgos de TI ……………………………………

PO10 Administrar Proyectos …………………………………………… 3.4 Adquirir e Implementar ……………………………………………

AI1 Identificar solucione automatizadas ……………………………………………


4

AI2 Adquirir y mantener software aplicativo ……………………………

AI3 Adquirir y mantener infraestructura tecnológica …………………………… AI4 Facilitar la operación y el uso ……………………………

AI5 Adquirir Recursos de TI …………………………… AI6 Administrar Cambios …………………………… A17 Instalar y acreditar soluciones y cambios ……………………………

III UNIDAD

3.5 Entregar y dar Soporte DS1 Definir y administrar los niveles de servicio ……………………………

DS2 Administrar los servicios de terceros …………………………… DS3 Administrar el desempeño y la capacidad ……………………………

DS4 Garantizar la continuidad del servicio …………………………… DS5 Garantizar la seguridad de los sistemas …………………………… DS6 Identificar y asignar costos ……………………………

DS7 Educar y entrenar a los usuarios …………………………… DS8 Administrar la mesa de servicio y los incidentes ……………………………

DS9 Administrar la configuración …………………………… DS10 Administrar los problemas …………………………… DS11 Administrar los datos ……………………………

DS12 Administrar el ambiente físico …………………………… DS13 Administrar las operaciones ……………………………

3.6 Monitorear y Evaluar …………………………… ME1 Monitorear y Evaluar el Desempeño de TI ME2 Monitorear y Evaluar el Control Interno ……………………………

ME3 Garantizar el Cumplimiento Regulatorio ME4 Proporcionar Gobierno de TI ……………………………

IV UNIDAD

LOS MODELOS DE MADUREZ PARA EL CONTROL INTERNO DE COBIT

4. Modelos de madurez para el Control Interno

4.1 Enlaces de las metas de negocio a procesos de TI …………………………… 4.2 Enlaces de las metas de TI a procesos de TI …………………………… 4.3 Matriz de procesos de TI a Metas de TI ……………………………

Mapa de procesos de TI a las áreas focales de Gobierno de TI, COSO, Recursos de TI de COBIT y Criterios de

información de COBIT. ……………………………

CONCLUSIONES ……………………………

RECOMENDACIONES ……………………………

COMENTARIO ……………………………

GLOSARIO ……………………………


5

BIBLIOGRAFIA ……………………………

REACTIVOS ……………………………101


6

INTRODUCCION

El proyecto COBIT se emprendió por primera vez en el año 1995, con el fin de crear un mayor producto global que pudiese tener un impacto duradero sobre el campo de visión de los negocios, así como sobre los controles de los sistemas de información implantados.

La primera edición del COBIT, fue publicada en 1996 y fue vendida en 98 países de todo el

mundo. La segunda edición, fue publicada en Abril de 1998, desarrolla y mejora lo que poseía la anterior mediante la incorporación de un mayor número de documentos de

referencia fundamentales, nuevos y revisados objetivos de control de alto nivel, intensificando las líneas maestras de auditoría, introduciendo un conjunto de herramientas de implementación, así como un CD-ROM completamente organizado el cual contiene la

totalidad de los contenidos de esta segunda edición.

Una temprana adición significativa visualizada para la familia de productos COBIT, es el desarrollo de las Guías de Gerencia que incluyen Factores Críticos de Éxito, Indicadores

Clave de Desempeño y Medidas Comparativas. Los Factores Críticos de Éxito, identificarán los aspectos o acciones más importantes para la administración y poder tomar, así, dichas acciones o considerar los aspectos para lograr control sobre sus procesos de TI.

Los Indicadores Clave de Desempeño proporcionarán medidas de éxito que permitirán a la gerencia conocer si un proceso de TI está alcanzando los requerimientos de negocio. La

Medidas Comparativas definirán niveles de madurez que pueden ser utilizadas por la gerencia para: determinar el nivel actual de madurez de la empresa; determinar el nivel de madurez que se desea lograr, como una función de sus riesgos y objetivos; y proporcionar

una base de comparación de sus prácticas de control de TI contra empresas similares o normas de la industria. Esta adicción, proporcionará herramientas a la gerencia para evaluar

el ambiente de TI de su organización con respecto a los 34 Objetivos de Control de alto nivel de COBIT.

En definitiva, la organización ISACF, espera que el COBIT sea adoptado por las comunidades de auditoría y negocio como un estándar generalmente aceptado para el

control de las Tecnologías de la Información.

http://www.google.es/imgres?q=cobit+en+espa%C3%B1ol&start=340&hl=es-419&biw=1024&bih=446&tbm=isch&tbnid=B120JG5ryEAUUM:&imgrefurl=http://www.grupobancolombia.com/webCorporativa/gobierno/buenGobierno/sistemaControlInterno.asp&docid=guuNHCyvpB-GRM&imgurl=http://www.grupobancolombia.com/webCorporativa/gobierno/imagenes/buenGobierno/ModeloControlInternoCOSO.jpg&w=248&h=284&ei=dmpvUaCMEYnI0QHt3IGwCg&zoom=1&ved=1t:3588,r:41,s:300,i:127&iact=rc&dur=405&page=25&tbnh=201&tbnw=172&ndsp=10&tx=78&ty=102


7

La nueva versión en español del marco referencial COBIT 4.1 de ISACA hace que este

conjunto de prácticas generalmente aceptadas en todo el mundo sea más accesible. COBIT 4.1 ayuda a los consejos de administración, ejecutivos y gerentes a aumentar el valor de las

TI y reducir los riesgos relacionados. Ampliamente utilizado como una herramienta para el cumplimiento con Sarbanes-Oxley y otros estándares mundiales, COBIT, es anterior a la promulgada legislación sobre el control

en todo el mundo. Es producto de más de 15 años de investigación y cooperación entre expertos globales de TI y negocios. La versión en español del marco está disponible como

descarga gratuita de la asociación internacional sin fines de lucro ISACA. El enfoque hacia procesos de COBIT se ilustra con un modelo de procesos, el cual subdivide TI en 34 procesos de acuerdo a las áreas de responsabilidad de planear, construir,

ejecutar y monitorear, ofreciendo una visión de punta a punta de la TI. Los conceptos de arquitectura empresarial ayudan a identificar aquellos recursos esenciales para el éxito de

los procesos, es decir, aplicaciones, información, infraestructura y personas.

MISION

La misión es "investigar, desarrollar, publicar y promocionar un conjunto de objetivos de control generalmente aceptados para las tecnologías de la información que sean autorizados

(dados por alguien con autoridad), actualizados, e internacionales para el uso del día a día de los gestores de negocios (también directivos) y auditores." Gestores, auditores, y

usuarios se benefician del desarrollo de COBIT porque les ayuda a entender sus Sistemas de Información (o tecnologías de la información) y decidir el nivel de seguridad y control que es necesario para proteger los activos de sus compañías mediante el desarrollo de un

modelo de administración de las tecnologías de la información.

VISION

Ser el modelo de control para las TI (tecnologías de la información), ayudando a identificar los recursos esenciales para el éxito de los procesos, mediante aplicaciones, información,

infraestructura y personas.

OBJETIVO GENERAL

Buscar, desarrollar, publicar y promover un autoritario y actualizado conjunto internacional de objetivos de control de tecnologías de la información, generalmente aceptadas, para el uso diario por parte de gestores de negocio, que cubren tanto los aspectos de información,

como de la tecnología que la respalda. Estos dominios y objetivos de control facilitan que la generación y procesamiento de la información cumplan con las características de efectividad, eficiencia, confidencialidad, integridad, disponibilidad, cumplimiento y

confiabilidad. su flexibilidad y versatilidad nos permite adaptarlo a cualquier tipo y tamaño de empresa, realizando una implementación gradual y progresiva acorde a los recursos

disponibles y acompasando la estrategia empresarial.

http://www.monografias.com/trabajos11/veref/veref.shtml

http://www.monografias.com/trabajos11/empre/empre.shtml


8

OBJETIVOS ESPECIFICOS

Este dominio cubre la estrategia y las tácticas y se refiere a la identificación de la

forma en que la tecnología de información puede contribuir de la mejor manera al

logro de los objetivos del negocio. Además, la consecución de la visión estratégica

necesita ser planeada, comunicada y administrada desde diferentes perspectivas.

Finalmente, deberán establecerse una organización y una infraestructura tecnológica

apropiadas.

Para llevar a cabo la estrategia de TI, las soluciones de TI deben ser identificadas,

desarrolladas o adquiridas, así como implementadas e integradas dentro del proceso

del negocio. Además, este dominio cubre los cambios y el mantenimiento realizados

a sistemas existentes.

El enfoque del control en TI se lleva a cabo visualizando la información necesaria

para dar soporte a los procesos de negocio y considerando a la información como el

resultado de la aplicación combinada de recursos relacionados con las TI que deben

ser administrados por procesos de TI.

Buscar, desarrollar, publicar y promover un autoritario y actualizado conjunto

internacional de objetivos de control de tecnologías de la información, generalmente

aceptadas, para el uso diario por parte de gestores de negocio y auditores.

propone un marco de acción donde se evalúan los criterios de información, como

por ejemplo la seguridad y calidad, se auditan los recursos que comprenden la

tecnología de información, como por ejemplo el recurso humano, instalaciones,

sistemas, entre otros, y finalmente se realiza una evaluación sobre los procesos

involucrados en la organización.

http://www.monografias.com/trabajos7/doin/doin.shtml

http://www.monografias.com/trabajos11/henrym/henrym.shtml

http://www.monografias.com/trabajos14/soluciones/soluciones.shtml

http://www.monografias.com/trabajos15/mantenimiento-industrial/mantenimiento-industrial.shtml

http://www.monografias.com/trabajos35/categoria-accion/categoria-accion.shtml

http://www.monografias.com/trabajos11/conge/conge.shtml


9

1. Resumen Ejecutivo de COBIT

1.1 Administración de la información. 1.2 Áreas de enfoque del Gobierno de TI

1.3 Interrelaciones de los componentes

UNIDAD I


10

RESUMEN EJECUTIVO DE COBIT

1. RESUMEN EJECUTIVO DE COBIT

1.1 ADMINISTRACION DE LA INFORMACION

La información y la tecnología que las soportan representan sus más valiosos activos, aunque con frecuencia son poco entendidos. Las empresas exitosas reconocen los

beneficios de la tecnología de información y la utilizan para impulsar el valor de sus interesados.

La necesidad del aseguramiento del valor de TI, la administración de los riesgos asociados a TI, así como el incremento de requerimientos para controlar la información, se entienden

ahora como elementos clave del Gobierno Corporativo. El valor, el riesgo y el control constituyen la esencia del gobierno de TI.

El gobierno de TI es responsabilidad de los ejecutivos, del consejo de directores y consta de liderazgo, estructuras y procesos organizacionales que garantizan que TI en la empresa

sostiene y extiende las estrategias y objetivos organizacionales. Las organizaciones deben satisfacer la calidad, los requerimientos fiduciarios y de

seguridad de su información, así como de todos sus activos. La dirección también debe optimizar el uso de los recursos disponibles de TI, incluyendo aplicaciones, información,

infraestructura y personas. Para descargar estas responsabilidades, así como para lograr sus objetivos, la dirección debe entender el estatus de su arquitectura empresarial para TI y decidir qué tipo de gobierno y de control debe aplicar.

Se muestra algunas preguntas frecuentes y las herramientas gerenciales de información usadas para encontrar las respuestas, aunque estos tableros de crequieren indicadores, los marcadopuntuación requieren mediciones y los Benchmarking requieren una escala de

comparación.


11

Una respuesta a los requerimientos de determinar y monitorear el nivel apropiado de

control y desempeño de TI son las definiciones específicas de COBIT de los siguientes conceptos:

• Benchmarking de la capacidad de los procesos de TI, expresada como modelos de madurez, derivados del Modelo de Madurez de la Capacidad del Instituto de Ingeniería de

Software

• Metas y métricas de los procesos de TI para definir y medir sus resultados y su desempeño, basados en los principios de Balanced Scorecard de Negocio de Robert Kaplan y David Norton

• Metas de actividades para controlar estos procesos, con base en los objetivos de control

detallados de COBIT

1.2 AREAS DE ENFOQUE DEL GOBIERNO DE TI

Las áreas de enfoque del gobierno de TI, COSO, recursos TI de COBIT y criterios de

información COBIT), ofreciendo así un puente entre lo que los gerentes operativos deben realizar y lo que los ejecutivos desean gobernar.

Para lograr un gobierno efectivo, los ejecutivos esperan que los controles a ser implementados por los gerentes operativos se encuentren dentro de un marco de control

definido para todo los procesos de TI. Los objetivos de control de TI de COBIT están organizados por proceso de TI; por lo tanto, el marco de trabajo brinda una alineación clara entre los requerimientos de gobierno de TI, los procesos de TI y los controles de TI.

Los productos COBIT se han organizado en tres niveles diseñados para dar soporte a:

Administración del negocio y de TI

Administración y consejos ejecutivos

Profesionales en Gobierno, aseguramiento, control y seguridad.


12

1.3 INTERRELACIONES DE LOS COMPONENTES

Una vez que han sido definidas las metas alineadas, estás requieren ser monitoreadas para

garantizar que la entrega cumple con las expectativas. Esto se logra con métricas derivadas de las metas y capturadas en el scorecard de TI.

Para que el cliente pueda entender las metas de TI y el scorecard de TI, todos estos objetivos y métricas asociadas deben expresarse en términos de negocio significativos para

el cliente. Esto, combinado con un alineamiento efectivo de los objetivos jerárquicos aseguraría que el negocio puede confirmar que es probable que TI soporte los objetivos de la empresa.

El apéndice I, Tablas de enlace entre metas y procesos, proporciona una visión global de

cómo las metas genéricas de negocio se relacionan con las metas de TI, los procesos de TI y los criterios de la información. Las tablas ayudan a demostrar el ámbito de COBIT y las relaciones completas de negocio entre COBIT y los impulsores de la empresa. La figura 6

ilustra, que estos impulsores vienen del negocio y desde la capa de Gobierno Corporativo, en primer lugar enfocándose más en las funcionalidades y velocidad de la entrega, mas

tarde en la relación costo-eficiencia, retorno de inversión (ROI) y cumplimiento.


13

2. Marco de trabajo de control para el Gobierno de TI. Misión de Cobit.

2.1 Principio básico de COBIT 2.2 Criterios de Información 2.3 Metas y negocios y de TI

2.4 Recursos de TI 2.5 Recursos orientado los procesos de COBIT

2.6 Objetivos de Control para los 34 procesos de COBIT 2.7 Controles generales y de aplicación de TI 2.8 Generalidades de los modelos de madurez.

2.9 Modelo del Marco de Trabajo de COBIT.

UNIDAD II


14

MARCO DE TRABAJO DE COBIT

MARCO DE TRABAJO DE CONTROL PARA EL GOBIERNO DE TI. MISION DE

COBIT

LA NECESIDAD DE UN MARCO DE TRABAJO PARA EL CONTROL DEL

GOBIERNO DE TI

¿Por qué utilizar un marco de referencia?

Cada vez más, la alta dirección se está dando cuenta del impacto significativo que la

información puede tener en el éxito de una empresa.

La dirección espera un alto entendimiento de la manera en que la tecnología de información

(TI) es operada y de la posibilidad de que sea aprovechada con éxito para tener una ventaja

competitiva.

En particular, la alta dirección necesita saber si con la información administrada en la

empresa es posible que:

Garantice el logro de sus objetivos

Tenga suficiente flexibilidad para aprender y adaptarse

Cuente con un manejo juicioso de los riesgos que enfrenta

Reconozca de forma apropiada las oportunidades y actúe de acuerdo a ellas.

Alinear la estrategia de TI con la estrategia del negocio

Lograr que toda la estrategia de TI, así como las metas fluyan de forma gradual a toda la empresa

Proporcionar estructuras organizacionales que faciliten la implementación de

estrategias y metas Crear relaciones constructivas y comunicaciones efectivas entre el negocio y TI, y

con socios externos Medir el desempeño de TI

Las empresas no pueden responder de forma efectiva a estos requerimientos de negocio y

de gobierno sin adoptar e implementar un marco de Referencia de gobierno y de control

para TI, de tal manera que:

Se forme un vínculo con los requerimientos del negocio

El desempeño real con respecto a los requerimientos sea transparente

Organice sus actividades en un modelo de procesos generalmente aceptado

Identifique los principales recursos a ser aprovechados

Se definan los objetivos de control Gerenciales a ser considerados

D) ¿Quién utiliza las tecnologías de información?


15

Un marco de referencia de gobierno y de control requiere servir a una variedad de

interesados internos y externos, cada uno de los cuales tiene necesidades específicas:

Interesados dentro de la empresa que tengan un interés en generar valor de las inversiones en TI:

Aquellos que tomen decisiones de inversiones

Aquellos que deciden respecto a los requerimientos

Aquellos que utilicen los servicios de TI

Interesados internos y externos que proporcionen servicios de TI:

Aquellos que administren la organización y los procesos de TI

Aquellos que desarrollen capacidades

Aquellos que operen los servicios

Interesados internos y externos con responsabilidades de control/riesgo:

Aquellos con responsabilidades de seguridad, privacidad y/o riesgo

Aquellos que realicen funciones de cumplimiento

Aquellos que requieran o proporcionen servicios de aseguramiento

e) ¿Para que sirve un marco de referencia?

Para satisfacer los requerimientos previos, para el gobierno y el control de TI deben satisfacer las siguientes especificaciones generales:

Brindar un enfoque de negocios que permita la alineación entre los objetivos de

negocio y de TI.

Establecer una orientación a procesos para definir el alcance y el grado de cobertura, con una estructura definida que permita una fácil navegación en el

contenido. Ser generalmente aceptable al ser consistente con las mejores prácticas y estándares

de TI aceptados, y que sea independiente de tecnologías específicas.

Proporcionar un lenguaje común, con un juego de términos y definiciones que sean comprensibles en lo general para todos los interesados.

Ayudar a satisfacer requerimientos regulatorios, al ser consistente con estándares de gobierno corporativo generalmente aceptados (COSO) y con controles de TI esperados por

agentes reguladores y auditores externos.

2.1 PRINCIPIO BASICO DE COBIT

El marco de trabajo COBIT se creó con las características principales de ser orientado a

negocios, orientado a procesos, basado en controles e impulsado por mediciones.


16

2.1.2. Requerimientos de información

El control de procesos IT en COBIT satisface los Requerimientos del Negocio, lo que es habilitado por una correcta Declaración de Control; y a su vez es considerado como una

correcta Práctica de Control. 2.1.3. Procesos de Tecnologías de Información

COBIT clasifica los procesos del negocio relacionados con las Tecnologías de la

Información en 4 dominios:

Planificación y Organización.

Adquisición e Implementación. Entrega y Soporte.

Supervisión y Evaluación.

2.1.4. Recursos de Tecnologías de Información

Hace a la organización disponer de recursos que son utilizados por los procesos para cubrir los requisitos del negocio:

Efectividad (cumplimiento de objetivos).

Eficiencia (consecución de los objetivos con el máximo aprovechamiento de los recursos).

Confidencialidad.

Integridad.

http://www.ecured.cu/index.php/Tecnolog%C3%ADas_de_la_Informaci%C3%B3n

http://www.ecured.cu/index.php/Tecnolog%C3%ADas_de_la_Informaci%C3%B3n


17

Disponibilidad.

Cumplimiento regulatorio. Fiabilidad.

2.1.5. Criterios de información

Para satisfacer los objetivos del negocio, la información necesita adaptarse a ciertos criterios de control, los cuales son referidos en COBIT como requerimientos de

información del negocio. Se definieron los siguientes siete criterios de información:

La efectividad

La eficiencia

La confidencialidad

La integridad

La disponibilidad

El cumplimiento

La confiabilidad

2.3 METAS Y NEGOCIOS DE LA TECNOLOGIA DE INFORMACIÓN

Mientras que los criterios de información proporcionan un método genérico para definir los

requerimientos del negocio, la definición de un conjunto de metas genéricas de negocio y

de TI ofrece una base más refinada y relacionada con el negocio para el establecimiento de

requerimientos de negocio y para el desarrollo de métricas que permitan la medición con

respecto a estas metas.

Toda empresa usa TI para habilitar iniciativas del negocio y estas pueden ser representadas

como metas del negocio para TI. El Apéndice I proporciona una matriz de metas genéricas

de negocios y metas de TI y como se asocian con los criterios de la información. Estos

ejemplos genéricos se pueden utilizar como guía para determinar los requerimientos, metas

y métricas específicas del negocio para la empresa.

Si se pretende que TI proporcione servicios de forma exitosa para dar soporte a la estrategia

de la empresa, debe existir una propiedad y una dirección clara de los requerimientos por

parte del negocio (el cliente) y un claro entendimiento para TI, de cómo y qué debe

entregar (el proveedor).

La Figura ilustra como la estrategia de la empresa se debe traducir por parte del negocio en

objetivos relacionados con iniciativas habilitadas por TI (Las metas de negocio para TI).

Estos objetivos a su vez, deben conducir a una clara definición de los propios objetivos de

TI (las metas de TI), y luego éstas a su vez definir los recursos y capacidades de TI (la


18

arquitectura empresarial para TI) requeridos para ejecutar, de forma exitosa la parte que le

corresponde a TI de la estrategia empresarial.

Para que el cliente entienda las metas y los Scorecard de TI, todos estos objetivos y sus

métricas asociadas se deben expresar en términos de negocio significativos para el cliente,

y esto, combinado con una alineación efectiva de la jerarquía de objetivos, asegurará que el

negocio pueda confirmar que TI puede, con alta probabilidad, dar soporte a las metas del

negocio.

Una vez que han sido definidas las metas alineadas, estás requieren ser monitoreadas para garantizar que la entrega cumple con las expectativas. Esto se logra con métricas derivadas de las metas y capturadas en el scorecard de TI.

Para que el cliente pueda entender las metas de TI y el scorecard de TI, todos estos

objetivos y métricas asociadas deben expresarse en términos de negocio significativos para el cliente. Esto, combinado con un alineamiento efectivo de los objetivos jerárquicos aseguraría que el negocio puede confirmar que es probable que TI soporte los objetivos de

la empresa.


19

2.4 RECURSOS DE TECNOLOGIAS DE INFORMACIÓN

La organización de TI se desempeña con respecto a estas metas como un conjunto de procesos definidos con claridad que utiliza lashabilidades de las personas, y la

infraestructura de tecnología para ejecutar aplicaciones automatizadas de negocio, mientras que al mismo tiempo toma ventaja de la información del negocio. Estos recursos, junto con

los procesos, constituyen una arquitectura empresarial para TI. Para responder a los requerimientos que el negocio tiene hacia Tecnología de Información,

la empresa debe invertir en los recursos requeridos para crear una capacidad técnica adecuada

Ej., un sistema de planeación de recursos empresariales (ERP) para dar soporte a la capacidad del negocio: Ejemplos:

Implementando una cadena de suministro, que genere el resultado deseado

(mayores ventas y beneficios financieros)

2.4.1. Los recursos de Tecnología de Información identificados en COBIT se pueden

definir como sigue:

Las aplicaciones incluyen tanto sistemas de usuario automatizados como

procedimientos manuales que procesan información.


20

La información son los datos en todas sus formas, de entrada, procesados y

generados por los sistemas de información, en cualquier forma en que sean

utilizados por el negocio.

La infraestructura es la tecnología y las instalaciones (hardware, sistemas

operativos, sistemas de administración de base de datos, redes, multimedia,

etc., así como el sitio donde se encuentran y el ambiente que los soporta) que

permiten el procesamiento de las aplicaciones.

Las personas son el personal requerido para planear, organizar, adquirir,

implementar, entregar, soportar, monitorear y evaluar los sistemas y los

servicios de información. Estas pueden ser internas, por outsourcing o

contratadas, de acuerdo a como se requieran.

2.5 RECURSOS ORIENTADOS LOS PROCESOS DE COBIT

COBIT define las actividades de TI en un modelo genérico de procesos organizado en cuatro dominios.

Estos dominios son Planear y Organizar, Adquirir e Implementar, Entregar y Dar Soporte y Monitorear y Evaluar, esto dominios se equiparan a las áreas tradicionales de TI de planear,

construir, ejecutar y monitorear.

El marco de trabajo de COBIT proporciona un modelo de procesos de referencia y un lenguaje común para que todos en la empresa visualicen y administren las actividades de TI.

La incorporación de un modelo operativo y un lenguaje común para todas las partes de un

negocio involucradas en TI es uno de los pasos iníciales más importantes hacia un buen gobierno también brinda un marco de trabajo para la medición y monitoreo del desempeño de TI, comunicándose con los proveedores de servicios e integrando las mejores prácticas

de administración. Un modelo de procesos fomenta la propiedad de los procesos, permitiendo que se definan las responsabilidades.

Para gobernar efectivamente Tecnología de Información, es importante determinar las actividades y los riesgos que requieren ser administrados. Normalmente se ordenan dentro

de dominios de responsabilidad de plan, construir, ejecutar y Monitorear.

2.5.1. DOMINIOS DE COBIT

Planear y Organizar (PO) – Proporciona dirección para la entrega de

soluciones (AI) y la entrega de servicio (DS). Adquirir e Implementar (AI) – Proporciona las soluciones y las pasa para

convertirlas en servicios. Entregar y Dar Soporte (DS) – Recibe las soluciones y las hace utilizables

por los usuarios finales.


21

Monitorear y Evaluar (ME) -Monitorear todos los procesos para asegurar

que se sigue la dirección provista.

2.5.1.1. PLANEAR Y ORGANIZAR (PO)

Este dominio cubre las estrategias y las tácticas, y tiene que ver con identificar la manera en que TI puede contribuir de la mejor manera al logro de los objetivos del negocio. Además,

la realización de la visión estratégica requiere ser planeada, comunicada y administrada desde diferentes perspectivas. Finalmente, se debe implementar una estructura

organizacional y una estructura tecnológica apropiada. Este dominio cubre los siguientes cuestionamientos típicos de la gerencia:

¿Están alineadas las estrategias de TI y del negocio?

¿La empresa está alcanzando un uso óptimo de sus recursos?

¿Entienden todas las personas dentro de la organización los objetivos de TI?

¿Se entienden y administran los riesgos de TI?

¿Es apropiada la calidad de los sistemas de TI para las necesidades del negocio?

2.5.1.2. ADQUIRIR E IMPLEMENTAR (AI)

Para llevar a cabo la estrategia de TI, las soluciones de TI necesitan ser identificadas, desarrolladas o adquiridas así como implementadas e integradas en los procesos del

negocio además, el cambio y el mantenimiento de los sistemas existentes estácubierto por este dominio para garantizar que las soluciones sigan satisfaciendo los objetivos del

negocio. Este dominio, por lo general, cubre los siguientes cuestionamientos de la gerencia:

¿Es probable que los nuevos proyectos generan soluciones que satisfagan las

necesidades del negocio?


22

¿Es probable que los nuevos proyectos sean entregados a tiempo y dentro del

presupuesto?

¿Trabajarán adecuadamente los nuevos sistemas una vez sean implementados?

¿Los cambios no afectarán a las operaciones actuales del negocio?

2.5.1.3. ENTREGAR Y DAR SOPORTE (DS)

Este dominio cubre la entrega en sí de los servicios requeridos, lo que incluye la prestación

del servicio, la administración de la seguridad y de la continuidad, el soporte del servicio a los usuarios, la administración de los datos y de las instalaciones operativos. Por lo general cubre las siguientes preguntas de la gerencia:

¿Se están entregando los servicios de TI de acuerdo con las prioridades del

negocio?

¿Están optimizados los costos de TI?

¿Es capaz la fuerza de trabajo de utilizar los sistemas de TI de manera

productiva y segura?

¿Están implantadas de forma adecuada la confidencialidad, la integridad y la

disponibilidad?

2.5.1.4. MONITOREAR Y EVALUAR (ME)

Todos los procesos de TI deben evaluarse de forma regular en el tiempo en cuanto a su calidad y cumplimiento de los requerimientos de control, este dominio abarca la administración del desempeño, el monitoreo del control interno, el cumplimiento

regulatorio y la aplicación del gobierno, por lo general abarca las siguientes preguntas de la gerencia:

¿Se mide el desempeño de TI para detectar los problemas antes de que sea

demasiado tarde?

¿La Gerencia garantiza que los controles internos son efectivos y eficientes? ¿Puede vincularse el desempeño de lo que TI ha realizado con las metas del

negocio? ¿Se miden y reportan los riesgos, el control, el cumplimiento y el desempeño?

A lo largo de estos cuatro dominios, COBIT ha identificado 34 procesos de TI generalmente usados. Mientras la mayoría de las empresas ha definido las

responsabilidades de planear, construir, ejecutar y monitorear para TI, y la mayoría tienen los mismos procesos clave, pocas tienen la misma estructura de procesos o le aplicaran todos los 34 procesos de COBIT.

COBIT proporciona una lista completa de procesos que puede ser utilizada para verificar

que se completan las actividades y responsabilidades; sin embargo, no es necesario que apliquen todas, y, aun más, se pueden combinar como se necesite por cada empresa.


23

Para cada uno de estos 34 procesos, tiene un enlace a las metas de negocio y TI que

soporta. Información de cómo se pueden medir las metas, también se proporcionan cuáles son sus actividades clave y entregables principales, y quién es el responsable de ellas.

2.6 OBJETIVOS DE CONTROL PARA LOS 34 PROCESOS DE COBIT

COBIT (Objetivos de control para la información y tecnologías relacionadas) es una

metodología publicada en 1996 por el Instituto de Control de TI y la ISACA (Asociación de Auditoría y Control de Sistemas de Información) que se usa para evaluar el departamento de informática de una compañía; en Francia está representada por la AFAI

(Asociación Francesa de Auditoría y Consejo de TI).

2.6.1. ENFOQUE DE COBIT

Este enfoque se basa en un índice de referencia de procesos, indicadores de objetivos clave

e indicadores de rendimiento clave que se usan para controlar los procesos para recoger datos que la compañía puede usar para alcanzar sus objetivos.

http://www.isaca.org/


24

El enfoque COBIT propone 34 procesos organizados en 4 áreas funcionales más grandes

que abarcan 318 objetivos:

Entrega y asistencia técnica Control Planeamiento y organización

Aprendizaje e implementación

2.7 CONTROLES GENERALES Y DE APLICACIÓN DE TI

2.7.1. Los controles generales son aquellos que están inmersos en los procesos y

servicios de TI.

Algunos ejemplos son:

Desarrollo de sistemas

Administración de cambios Seguridad

Operaciones de cómputo

2.7.2. Los controles incluidos en las aplicaciones de los procesos del negocio se conocen

por lo general como controles de aplicación

Ejemplos:

Integridad (Completitud)

Precisión Validez

Autorización Segregación de funciones

COBIT asume que el diseño e implementación de los controles de aplicación automatizados son responsabilidad de TI, y están cubiertos en el dominio de Adquirir e Implementar, con

base en los requerimientos de negocio definidos, usando los criterios de información de COBIT. La responsabilidad operativa de administrar y controlar los controles de aplicación no es de

TI, sino del dueño del proceso de negocio.

Por lo tanto, la responsabilidad de los controles de aplicación es una responsabilidad conjunta, fin a fin, entre el negocio y TI, pero la naturaleza de la responsabilidad cambia de la siguiente manera:

La empresa es responsable de:

Definir apropiadamente los requisitos funcionales y de control Uso adecuadamente los servicios automatizados

Tecnología de Información es responsable de:


25

Automatizar e implementar los requisitos de las funciones de negocio y de control Establecer controles para mantener la integridad de controles de aplicación.

Por lo tanto, los procesos de TI de COBIT abarcan a los controles generales de TI, pero sólo los aspectos de desarrollo de los controles de aplicación; la responsabilidad de definir

y el uso operativo es de la empresa.

2.7.3. CONTROLES DE COBIT SOBRE LA INFORMACION

2.7.3.1 AC1 Preparación y Autorización de Información Fuente.

Asegurar que los documentos fuente están preparados por personal autorizado y calificado siguiendo los procedimientos establecidos, teniendo en cuenta una adecuada segregación de

funciones respecto al origen y aprobación de estos documentos. Los errores y omisiones pueden ser minimizados a través de buenos diseños de formularios de entrada. Detectar

errores e irregularidades para que sean informados y corregidos. 2.7.3.2. AC2 Recolección y Entrada de Información Fuente.

Establecer que la entrada de datos se realice en forma oportuna por personal calificado y autorizado. Las correcciones y reenvíos de los datos que fueron erróneamente ingresados se

deben realizar sin comprometer los niveles de autorización de las transacciones originales.

http://2.bp.blogspot.com/-7Fs3gJ9tSG4/T5dI1Ck3TkI/AAAAAAAAACE/IU_mfAoYF_Q/s1600/figura4.png


26

En donde sea apropiado para reconstrucción, retener los documentos fuentes originales

durante el tiempo necesario.

2.7.3.3. AC3 Chequeos de Exactitud, Integridad y Autenticidad

Asegurar que las transacciones son exactas, completas y válidas. Validar los datos ingresados, y editar o devolver para corregir, tan cerca del punto de origen como sea

posible.

2.7.3.4 AC4 Integridad y Validez del Procesamiento

Mantener la integridad y validación de los datos a través del ciclo de procesamiento. Detección de transacciones erróneas no interrumpe le procesamiento de transacciones

validas.

2.7.3.5. AC5 Revisión de Salidas, Reconciliación y Manejo de Errores

Establecer procedimientos y responsabilidades asociadas para asegurar que la salida se maneja de una forma autorizada, entregada al destinatario apropiado, y protegida durante la

transmisión; que se verifica, detecta y corrige la exactitud de la salida; y que se usa la información proporcionada en la salida.

2.7.3.6. AC6 Autenticación e Integridad de Transacciones

Antes de pasar datos de la transacción entre aplicaciones internas y funciones de

negocio/operativas (dentro o fuera de la empresa), verificar el apropiado direccionamiento, autenticidad del origen e integridad del contenido. Mantener la autenticidad y la integridad

durante la transmisión o el transporte.

2.8 GENERALIDADES DE LOS MODELOS DE MADUREZ.

2.8.1. Nuevo modelo de madurez

Es un modelo de Madurez que permite el mejoramiento del desarrollo de productos y servicios, consiste en un conjunto de las mejores prácticas que cubre el ciclo de vida de un producto

Es una forma de medir la madurez de los procesos a través del “Process Capability

Model”, basado en el estándar internacionalmente reconocido “ISO/IEC 15504 Software Engineering – ProcessAssessment Standard”, diferente en su diseño y uso al modelo de

madurez que incluía COBIT 4.1.

La nueva versión de COBIT tomará precisamente el modelo de madurez definido por ISO en la norma ISO/IEC 15504 más conocida como SPICE (Software Process Improvement Capability Determinatorio.

2.8.2. Los niveles definidos en el modelo SPICE son los siguientes:

Nivel 0: Incompleto Nivel 1: Realizado Nivel 2: Gestionado


27

Nivel 3: Establecido

Nivel 4: Predecible Nivel 5: Optimizado

Nivel Características Área Clave del Proceso

Optimizado (5) Capacidad de

Mejoramiento Continuo.

- Proceso de Gestión de

Cambio. - Innovación Tecnológica.

- Prevención de Fallas.

Administrado (4) Planeación de la calidad

del producto y seguimiento de las mediciones del

proceso de producción del software

- Gestión de Calidad del

Software. - Gestión cuantitativa del

proceso de generación del software.

Definido (3) Proceso de Ciclo de Vida definido e

institucionalizado para proveer control de calidad

- Revisión Pares (Colegas). Coordinación inter-grupos

Aplicación de la Ingeniería de Software Software para la gestión

del desarrollo Programa de capacitación

Definición de la organización del proceso Foco en la organización del

proceso

Repetible (2) Supervisión de la gestión y

seguimiento del proyecto Planificación formal

Gestión de la configuración

del software Control de Calidad del

software Gestión de los desarrollos subcontratados

Supervisión y seguimiento de la ejecución del

proyecto de software Planificación formal del proyecto de software

Gestión de requerimientos

Inicial Ad-hoc (impredecible, caótico)

–

Este modelo ayuda a la gerencia de TI a buscar por medio de benchmarking y herramientas de auto-evaluación respuesta a la necesidad de saber qué hacer de manera eficiente. Comenzando con los procesos y los objetivos de control de alto nivel de COBIT, el


28

propietario del proceso se debe poder evaluar de forma progresiva, contra los objetivos de

control.

2.8.3 DIFERENCIAS DE ESTE NUEVO MODELO

Al estar basado en ISO/IEC 15504 es más exigente respecto a lo que debe cumplir

cada proceso para ascender de nivel, dado que este estándar plantear que se deben

cumplir los 9 atributos definidos para cada proceso, como requisito para acreditar

dicho grado de madurez.

Una evaluación realizada bajo este nuevo modelo no es comparable y no puede ser

mezclada con evaluaciones realizadas bajo el modelo de COBIT 4.1, dado que se

distorsionarían los resultados por ser distintas las exigencias.

Generalmente, aplicando este modelo de COBIT 5, deberían dar resultados de

niveles más bajos de madurez.

A continuación, se expone el mapeo oficial de ISACA entre ambos modelos de madurez:

COMPARACIÓN ENTRE AMBOS MODELOS DE MADUREZ

http://francoitgrc.files.wordpress.com/2011/12/7modelomadurez41.jpg


29

2.9 MODELO DEL MARCO DE TRABAJO DE COBIT.

El marco de trabajo de COBIT, por tanto, relaciona los requerimientos de la información y

de gobierno a los objetivos de la función de servicios TI.

Para resumir, los recursos de TI son manejados por procesos de TI para lograr metas de TI

que respondan a los requerimientos del negocio, dn detalle, el marco de trabajo general de

COBIT está compuesto de cuatro dominios que contienen 34 procesos genéricos,

administrando los recursos de TI para proporcionar información al negocio de acuerdo con

los requerimientos del negocio y de gobierno.

2.9.1. COMO SATISFACE COBIT LA NECESIDAD DE CONTROL DE LAS TI

Como respuesta a las necesidades descritas en la sección anterior, el marco de trabajo COBIT se creó con las características principales de ser orientado a negocios, orientado a procesos, basado en controles e impulsado por mediciones a la orientación a negocios es el

tema principal de COBIT.

Está diseñado para ser utilizado no solo por proveedores de servicios, usuarios y auditores de TI, sino también y principalmente, como guía integral para la gerencia y para los propietarios de los procesos de negocio.

Proporcionar la información que la empresa requiere para lograr sus objetivos, la empresa

necesita administrar y controlar los recursos de TI usando un conjunto estructurado d me procesos que ofrezcan los servicios requeridos de información.El marco de trabajo COBIT ofrece herramientas para garantizar la alineación con los requerimientos del negocio.

http://francoitgrc.files.wordpress.com/2011/12/9madurez.jpg


30

3.3 PLANEAR Y ORGANIZAR

PO1 DEFINIR UN PLAN ESTRATÉGICO DE TI

\PLAN ESTRATÉGICO DE TI

Definición: Es necesaria para Gestionar y dirigir todos los Recursos de TI en línea Con la estrategia y Prioridades del negocio.

Objetivos: 1. Administración del valor de TI


31

2. Alineación de TI con el negocio

3. Evaluación del desempeño y la Capacidad actual.

4.Plan estratégico 5. Planes tácticos 6. Administración del portafolio de TI

MODELO DE MADUREZ

Inicial: Cuando se conoce la necesidad de una Planeación estratégica.

Repetible: Cuando ocurren respuestas a las solicitudes de la información.

Definido : Cuando se sigue un enfoque que garantiza la facilidad de la planeación

Administrado: Se define con responsabilidades de alto nivel.

Optimizado: Se toma en cuenta el establecimiento de las metas del negocio.

PO2 DEFINIR LA ARQUITECTURA DE LA INFORMACION.

OBJETIVOS

Modelo de arquitectura de información empresarial

Diccionario de Datos empresarial y reglas de sintaxis de datos

Esquema de clasificación de datos

Administración de integridad

MODELO DE MADUREZ

Inicial: Cuando se reconoce la necesidad de una arquitectura de información.

Repetible: Cuando existen procedimientos similares que siguen los individuos

Definido : Se acepta la responsabilidad en la aplicación en la cual se comunicara

Administrado: Se otorga el soporte completo al desarrollo de implantación por

medio de técnicas.

Optimizado: El personal de TI tiene la experiencia y habilidades necesarias para

desarrollar.


32

PO3- DETERMINAR LA DIRECCIÓN TECNOLÓGICA.

Objetivos de Control

Planeación de la dirección tecnológica.

Plan de infraestructura tecnológica.

Monitoreo de tendencias y regulaciones futuras.

Estándares tecnológicos.

Consejo de arquitectura de TI.

Modelo de Madurez

No existe: No existe conciencia sobre la importancia de la planeación de la

infraestructura tecnológica para la entidad.

Inicia: Cuando la gerencia reconoce la necesidad de planear la infraestructura

tecnológica.

Repetible: Se difunde la necesidad e importancia de la planeación tecnológica.

Definido: Cuando la gerencia está consciente de la importancia del plan de

infraestructura tecnología.

Administrado : La dirección garantiza el desarrollo del plan de infraestructura

tecnológica

Optimizado: La dirección del plan de infraestructura esta impulsada en los

estándares de avances industriales e internacionales.

PO4- DEFINIR LOS PROCESOS, ORGANIZACIÓN Y RELACIONES TI.

Agiliza la respuesta a las estrategias del negocio mientras se cumplan los requerimientos del gobierno.


33

Enfocado al El establecimiento de estructuras organizacionales de TI transparentes,

flexibles y responsables y en la definición e implementación de procesos de TI. Se logra con la definición de un marco de trabajo de procesos de TI. El establecimiento de

un cuerpo y una estructura organizacional apropiada. La definición de roles y responsabilidades Se mide con el porcentaje de roles con descripciones de puestos. El número de procesos de

negocio que no reciben soporte de TI y que deberían de recibirlo. Número de actividades clave de TI que no son aprobadas.

Objetivos de Control PO4

Marco de trabajo de proceso de TI.

Comité estratégico de Ti.

Comité directivo de TI.

Ubicación organizacional de la función de TI.

Estructura organizacional.

Establecimiento de roles y responsabilidades.

Responsabilidades de aseguramiento de calidad de TI.

Responsabilidad sobre el riesgo, la seguridad y el cumplimiento.

Propiedad de datos y de sistemas.

Supervisión.

Segregación de funciones.

Personal de TI.

Personal clave de TI.

Políticas y procedimientos para personal contratado.

Relaciones.

PO5. ADMINISTRAR LA INVERSION EN TI

Establece y mantiene un marco de trabajo Para administrar los programas de inversión en TI

SE LOGRA

El pronostico de presupuestos

Definición de criterios formales

Medición del valor del negocio

SE MIDE Porcentaje de reducción en el costo unitario

Porcentaje de l valor


34

Porcentaje de gasto

OBJETIVOS DE CONTROL Marco de trabajo Para la administración financiera

Prioridades dentro del presupuesto de TI

Proceso presupuestal

Administración de costos de TI

Administración de beneficios

MODELO DE MADUREZ

P06.COMUNICAR LAS ASPIRACIONES Y LA DIRECCION DE LA GERENCIA

Se debe implementar un programa de comunicación continua para dar a conocer la misión, los objetivos de servicio, políticas y procedimientos aprobados y apoyados por la dirección

SE LOGRA CON Definición de marco de trabajo.

Elaboración e implantación de politicas

El refuerzo de políticas

SE MIDE

Optimizado

no existente Inicial

Repetible Definido Administrado


35

Numero de interrupciones en el negocio

Porcentaje de interesados

Porcentaje de interesados que no cumplen las políticas.

OBJETIVOS DE CONTROL

1. Ambiente de políticas y de control 2. Riesgo corporativo

3. Administracion de políticas para TI 4. Implantacion de políticas de TI 5. Comunicacion de los objetivos

MODELO DE MADUREZ

P07 ADMINISTRAR LOS RECURSOS HUMANOS DE TI

OBJETIVOS

Reclutamiento y Retención

Asignación de Roles

Dependencia sobre individuos

Evaluacion del Desempeño

Cambios y Terminación del trabajo

Procedimientos de investigacion del personal

Entramiento del Personal de TI


36

Competencias del Personal

MODELO DE MADUREZ

PO8 ADMINISTRAR LA CALIDAD

OBJETIVOS

SISTEMA DE ADMINISTRACION DE CALIDAD

ESTÁNDARES Y PRÁCTICAS DE CALIDAD

ESTÁNDARES DE DESARROLLO Y DE ADQUISICION

ENFOQUE EN EL CLIENTE DE TI

MEJORA CONTINUA

MEDICION, MONITOREO Y REVISION DE LA CALIDAD

MODELO DE MADUREZ


37

P09. EVALUAR Y ADMINISTRAR LOS RIESGOS DE TI

Responsabilidad de la Administración

Tratamiento idóneop/responder adecuadamente

Evaluar, documentar y dar mantenimiento

Analizar y comunicar los riesgos de TI

PLANEAR Y ORGANIZAR

PO9 OBJETIVOS DE CONTROL


38

PO10 ADMINISTRACIÓN DE PROYECTOS

Coordinación de todos los proyectos y Programas de TI que se han establecido

Incluir un Plan Maestro de Recursos Asegurar y Garantizar la Calidad y Definición

de un Plan Formal

Garantiza a la Administración de los Posibles Riesgos del Proyecto y la Entrega de

Valor para el Negocio.

PO10 OBJETIVOS DE CONTROL

MODELO DE MADUREZ

No Existente: La mala administración de los proyectos y con las fallas de desarrollo en el

proyecto.

1 Inicial / Ad Hoc : Existe una carencia de compromiso y Administración por parte de la

gerencia.

2 Repetible: La organización está en proceso de Desarrollar y utilizar algunas técnicas y

métodos proyecto por proyecto.

3 Definido: Se establece una oficina de admón de proyectos dentro de TI, con roles y

responsabilidades iniciales definidas.


39

4 Administrado y Medible: La administración de proyectos se mide y evalúa a través de la

organización y no sólo en TI.

5 Optimizado: Se ha definido e implantado una estrategia de TI para contratar el desarrollo

y los proyectos operativos.

3.4 ADQUIRIR E IMPLEMENTAR

3.4.1 .-IDENTIFICAR SOLUCIONES AUTOMATIZADAS AI1

3.4.1.1.- DESCRIPCIÓN DEL PROCESO.

La necesidad de una nueva aplicación o función requiere de análisis antes de la compra o desarrollo para garantizar que los requisitos del negocio se satisfacen con un enfoque

efectivo y eficiente. Este proceso cubre la definición de las necesidades, considera las fuentes alternativas, realiza una revisión de la factibilidad tecnológica y económica, ejecuta un análisis de riesgo y de costo-beneficio y concluye con una decisión final de “desarrollar”

o “comprar”. Todos estos pasos permiten a las organizaciones minimizar el costo para Adquirir e Implementar soluciones, mientras que al mismo tiempo facilitan el logro de los

objetivos del negocio.


40

3.4.1.2.- OBJETIVOS DE CONTROL

AI1.1 Definición y Mantenimiento de los Requerimientos Técnicos y Funcionales del

Negocio Identificar, dar prioridades, especificar y acordar los requerimientos de negocio funcionales

y técnicos que cubran el alcance completo de todas las iniciativas requeridas para lograr los resultados esperados de los programas de inversión en TI.

AI1.2 Reporte de Análisis de Riesgos

Identificar, documentar y analizar los riesgos asociados con los requerimientos del negocio

y diseño de soluciones como parte de los procesos organizacionales para el desarrollo de los requerimientos.

AI1.3 Estudio de Factibilidad y Formulación de Cursos de Acción Alternativos

Desarrollar un estudio de factibilidad que examine la posibilidad de Implementar los requerimientos. La administración del negocio, apoyada por la función de TI, debe evaluar la factibilidad y los cursos alternativos de acción y realizar recomendaciones al

patrocinador del negocio.

AI1.4 Requerimientos, Decisión de Factibilidad y Aprobación

Verificar que el proceso requiere al patrocinador del negocio para aprobar y autoriza los

requisitos de negocio, tanto funcionales como técnicos, y los reportes del estudio de


41

factibilidad en las etapas clave predeterminadas. El patrocinador del negocio tiene la

decisión final con respecto a la elección de la solución y al enfoque de adquisición.

3.4.1.3.- MODELO DE MADUREZ

La administración del proceso de Identificar soluciones automatizadas que satisfaga el

requerimiento de negocio de TI de traducir los requerimientos funcionales y de control

del negocio a diseño efectivo y eficiente de soluciones automatizadas es:

0 No Existente cuando

La organización no requiere de la identificación de los requerimientos funcionales y operativos para el desarrollo, implementación o modificación de soluciones, tales como sistemas, servicios, infraestructura y datos. La organización no está consciente de las

soluciones tecnológicas disponibles que son potencialmente relevantes para su negocio.

1 Inicial / Ad Hoc cuando Existe conciencia de la necesidad de definir requerimientos y de identificar soluciones

tecnológicas. Grupos individuales se reúnen para analizar las necesidades de manera informal y los requerimientos se documentan algunas veces. Los individuos identifican

soluciones con base en una conciencia limitada de mercado o como respuesta a ofertas de proveedores. Existe una investigación o análisis estructurado mínimo de la tecnología disponible

2 Repetible pero Intuitivo cuando

Existen algunos enfoques intuitivos para identificar que existen soluciones de TI y éstos varían a lo largo del negocio. Las soluciones se identifican de manera informal con base en

la experiencia interna y en el conocimiento de la función de TI. El éxito de cada proyecto depende de la experiencia de unos cuantos individuos clave. La calidad de la

documentación y de la toma de decisiones varía de forma considerable. Se usan enfoques no estructurados para definir los requerimientos e identificar las soluciones tecnológicas.

3 Definido cuando

Existen enfoques claros y estructurados para determinar las soluciones de TI. El enfoque para la determinación de las soluciones de TI requiere la consideración de alternativas evaluadas contra los requerimientos del negocio o del usuario, las oportunidades

tecnológicas, la factibilidad económica, las evaluaciones de riesgo y otros factores. El proceso para determinar las soluciones de TI se aplica para algunos proyectos con base en

factores tales como las decisiones tomadas por el personal involucrado, la cantidad de tiempo administrativo dedicado, y el tamaño y prioridad del requerimiento de negocio


42

original. Se usan enfoques estructurados para definir requerimientos e identificar soluciones

de TI.

4 Administrado y Medible cuando Existe una metodología establecida para la identificación y la evaluación de las soluciones

de TI y se usa para la mayoría de los proyectos. La documentación de los proyectos es de buena calidad y cada etapa se aprueba adecuadamente. Los requerimientos están bien

articulados y de acuerdo con las estructuras predefinidas. Se consideran soluciones alternativas, incluyendo el análisis de costos y beneficios. La metodología es clara, definida, generalmente entendida y medible. Existe una interfaz definida de forma clara

entre la gerencia de TI y la del negocio para la identificación y evaluación de las soluciones de TI.

5 Optimizado cuando

La metodología para la identificación y evaluación de las soluciones de TI está sujeta a una mejora continua. La metodología de adquisición e implantación tiene la flexibilidad para

proyectos de grande y de pequeña escala. La metodología está soportada en bases de datos de conocimiento internas y externas que contienen material de referencia sobre soluciones tecnológicas. La metodología en sí misma genera documentación en una estructura

predefinida que hace que la producción y el mantenimiento sean eficientes. Con frecuencia, se identifican nuevas oportunidades de uso de la tecnología para ganar una ventaja

competitiva, ejercer influencia en la re-ingeniería de los procesos de negocio y mejorar la eficiencia en general. La gerencia detecta y toma medidas si las soluciones de TI se aprueban sin considerar tecnologías alternativas o los requerimientos funcionales del

negocio.

3.4.2.-ADQUIRIR Y MANTENER SOFTWARE APLICATIVO AI2

3.4.2.1-DESCRIPCIÓN DEL PROCESO

Las aplicaciones deben estra disponibles de acuerdo con los requerimientos del negocio.

Este proceso cubre el diseño de las aplicaciones, la inclusión apropiada de controles aplicativos y requerimientos de seguridad, y el desarrollo y la configuración en sí de acuerdo a los estándares. Esto permite a las organizaciones apoyar la operatividad del

negocio de forma apropiada.


43

3.4.2.2.-OBJETIVOS DE CONTROL

AI2.1 Diseño de Alto Nivel

Traducir los requerimientos del negocio a una especificación de diseño de alto nivel para la

adquisición de software Teniendo en cuenta las directivas tecnológicas y la arquitectura de información dentro de la organización. Tener aprobada las especificaciones de diseño por gerencia para garantizar

que el diseño de alto nivel responde a los requerimientos. Reevaluar cuando sucedan discrepancias significativas técnicas o lógicas durante el desarrollo o mantenimiento.

AI2.2 Diseño Detallado

Preparar el diseño detallado y los requerimientos técnicos del software de aplicación.

Definir el criterio de aceptación de los requerimientos. Aprobar los requerimientos para garantizar que corresponden al diseño de alto nivel. Realizar reevaluaciones cuand sucedan discrepancias significativas técnicas o lógicas durante el desarrollo o mantenimiento.

AI2.3 Control y Posibilidad de Auditar las Aplicaciones

Implementar controles de negocio, cuando aplique, en controles de aplicación automatizados tal que el procedimiento sea exacto, completo, oportuno, autorizado y auditable.

AI2.4 Seguridad y Disponibilidad de las Aplicaciones

Abordar la seguridad de las aplicaciones y los requerimientos de disponibilidad en respuesta a los riesgos identificados y en línea con la clasificación de datos, la arquitectura

de la información, la arquitectura de seguridad de la información y la tolerancia a riesgos de la organización.

AI2.5 Configuración e Implementación de Software Aplicativo Adquirido


44

Configurar e implementar software de aplicaciones adquiridas para conseguir los objetivos

de negocio.

AI2.6 Actualizaciones Importantes en Sistemas Existentes

En caso de cambios importantes a los sistemas existentes que resulten en cambios

significativos al diseño actual y/o funcionalidad, seguir un proceso de desarrollo similar al empleado para el desarrollo de sistemas nuevos.

AI2.7 Desarrollo de Software Aplicativo

Garantizar que la funcionalidad de automatización se desarrolla de acuerdo con las condiciones de diseño, los estándares de desarrollo y documentación, los requerimientos de

calidad y estándares de aprobación. Asegurar que todos los aspectos legales y contractuales se identifican y direccionan para el software aplicativo desarrollado por terceros.

AI2.8 Aseguramiento de la Calidad del Software

Desarrollar, Implementar los recursos y ejecutar un plan de aseguramiento de calidad del software, para obtener la calidad que se especifica en la definición de los requerimientos y en las políticas y procedimientos de calidad de la organización.

AI2.9 Administración de los Requerimientos de Aplicaciones

Seguir el estado de los requerimientos individuales (incluyendo todos los requerimientos

rechazados) durante el diseño, desarrollo e implementación, y aprobar los cambios a los requerimientos a través de un proceso de gestión de cambios establecido.

AI2.10 Mantenimiento de Software Aplicativo

Desarrollar una estrategia y un plan para el mantenimiento de aplicaciones de software.


45

3.4.2..3.-MODELO DE MADUREZ

La administración del proceso de Adquirir y mantener software aplicativo que satisfaga

el requerimiento de negocio de TI de hacer disponibles aplicaciones de acuerdo con los

requerimientos del negocio, en tiempo y a un costo razonable es:


No existe un proceso de diseño y especificación de aplicaciones. Típicamente, las aplicaciones se obtienen con base en ofertas de proveedores, en el reconocimiento de la

marca o en la familiaridad del personal de TI con productos especificos, considerando poco o nada los requerimientos actuales.

1 Inicial / Ad Hoc cuando

Existe conciencia de la necesidad de contar con un proceso de adquisición y mantenimiento de aplicaciones. Los enfoques para la adquisición y mantenimientos de software aplicativo varían de un proyecto a otro. Es probable que se hayan adquirido en forma independiente

una variedad de soluciones individuales para requerimientos particulares del negocio, teniendo como resultado ineficiencias en el mantenimiento y soporte. Se tiene poca

consideración hacia la seguridad y disponibilidad de la aplicación en el diseño o adquisición de software aplicativo.

2 Repetible pero Intuitivo cuando Existen procesos de adquisición y mantenimiento de aplicaciones, con diferencias pero

similares, en base a la experiencia dentro de la operación de TI. El mantenimiento es a menudo problemático y se resiente cuando se pierde el conocimiento interno de la

organización. Se tiene poca consideración hacia la seguridad y disponibilidad de la aplicación en el diseño o adquisición de software aplicativo

3 Definido cuando

Existe un proceso claro, definido y de comprensión general para la adquisición y mantenimiento de software aplicativos. Este proceso va de acuerdo con la estrategia de TI y del negocio. Se intenta aplicar los procesos de manera consistente a traves de diferentes

aplicaciones y proyectos. Las metodologías son por lo general, inflexibles y difíciles de aplicar en todos los casos, por lo que es muy probable que se salten pasos. Las actividades

de mantenimiento se planean, programan y coordinan 4 Administrado y Medible cuando

Existe una metodología formal y bien comprendida que incluye un proceso de diseño y

especificación, un criterio de adquisición, un proceso de prueba y requerimientos para la documentación. Existen mecanismos de aprobación documentados y acordados, para


46

garantizar que se sigan todos los pasos y se autoricen las excepciones. Han evolucionado

prácticas y procedimientos para ajustarlos la medida de la organización, los utilizan todo el personal y son apropiados para la mayoría de los requerimientos de aplicación

5 Optimizado cuando

Las prácticas de adquisición y mantenimiento de software aplicativo se alinean con el proceso definido. El enfoque es con base en componentes, con aplicaciones predefinidas y

estandarizadas que corresponden a las necesidades del negocio. El enfoque se extiende para toda la empresa. La metodología de adquisición y mantenimiento presenta un avance y permite un posicionamiento estratégico rápido, que permite un alto grado de reacción y

flexibilidad para responder a requerimientos cambiantes del negocio. La metodología de adquisición e implantación de software aplicativo ha sido sujeta a mejora continua y se

soporta con bases de datos internos y externas que contienen materiales de referencia y las mejores prácticas .

3.4.3.-ADQUIRIR Y MANTENER INFRAESTRUCTURA TECNOLÓGICA AI3

3.4..3.1.-DESCRIPCIÓN DEL PROCESO

Las organizaciones deben contar con procesos para adquirir, implementar y actualizar la

infraestructura tecnológica. Esto requiere de un enfoque planeado para adquirir, mantener y proteger la infraestructura de acuerdo con las estrategias técnológicas convenidas y la disposición del ambiente de desarrollo y pruebas.Esto garantiza que exista un soporte

tecnológico continuo para las aplicaciones del negocio.

• El número de componentes de infraestructura que ya no se pueden soportar (o que ya no se podrán en el futuro cercano)


47


AI3.1 Plan de Adquisición de Infraestructura Tecnológica

Generar un plan para adquirir, Implementar y mantener la infraestructura tecnológica que

satisfaga los requerimientos establecidos funcionales y técnicos del negocio, y que esté de acuerdo con la dirección tecnológica de la organización. El plan debe considerar extensiones futuras para adiciones de capacidad, costos de transición, riesgos tecnológicos

y vida útil de la inversión para actualizaciones de tecnología. Evaluar los costos de complejidad y la viabilidad comercial del proveedor y el producto al añadir nueva

capacidad técnica. AI3.2 Protección y Disponibilidad del Recurso de Infraestructura

Implementar medidas de control interno, seguridad y auditabilidad durante la configuración, integración y mantenimiento del hardware y del software de la

infraestructura para proteger los recursos y garantizar su disponibilidad e integridad. Se deben definir y comprender claramente las responsabilidades al utilizar componentes de infraestructura sensitivos por todos aquellos que desarrollan e integran los componentes de

infraestructura. Se debe monitorear y evaluar su uso.

AI3.3 Mantenimiento de la Infraestructura Desarrollar una estrategia y un plan de mantenimiento de la infraestructura y garantizar que se controlan los cambios, de acuerdo con el procedimiento de administración de cambios de

la organización. Incluir una revisión periódica contra las necesidades del negocio, administración de parches y estrategias de actualización, riesgos, evaluación de

vulnerabilidades y requerimientos de seguridad. AI3.4 Ambiente de Prueba de Factibilidad

Establecer el ambiente de desarrollo y pruebas para soportar la efectividad y eficiencia de las pruebas de factibilidad e integración de aplicaciones e infraestructura, en las primeras

fases del proceso de adquisición y desarrollo. Hay que considerar la funcionalidad, la configuración de hardware y software, pruebas de integración y desempeño, migración entre ambientes, control de la versiones, datos y herramientas de prueba y seguridad.

3.4.3.3.-MODELO DE MADUREZ


48

La administración del proceso de Adquirir y mantener infraestructura de tecnología que

satisfaga el requerimiento de negocio de TI de adquirir y mantener una infraestructura

de TI integrada y estandarizada es:


No se reconoce la administración de la infraestructura de tecnólogia como un asunto importante al cual debe ser resuelto.

1 Inicial /Ad Hoc cuando

Se realizan cambios a la infraestructura para cada nueva aplicación, sin ningún plan en conjunto. Aunque se tiene la percepción de que la infraestructura de TI es importante, no

existe un enfoque general consistente. La actividad de mantenimiento reacciona anecesidades de corto plazo. El ambiente de producción es el ambiente de prueba.


No hay consistencia entre enfoques tácticos al adquirir y dar mantenimiento a la infraestructura de TI. La adquisición y mantenimiento de la infraestructura de TI no se basa en una estrategia definida y no considera las necesidades de las aplicaciones del negocio

que se deben respaldar. Se tiene la noción de que la infraestructura de TI es importante, que se apoya en algunas prácticas formales.

Algunos mantenimientos se programan, pero no se programa ni se coordina en su totalidad. Para algunos ambientes, existe un ambiente de prueba por separado.

3 Definido cuando

Existe un claro, definido y generalmente entendido proceso para adquirir y dar mantenimiento a la infraestructura TI. El proceso respalda las necesidades de las aplicaciones críticas del negocio y concuerda con la estrategia de negocio de TI, pero no se

aplica en forma consistente. Se planea, programa y coordina el mantenimiento. Existen ambientes separados para prueba y producción.

4 Administrado y Medible cuando Se desarrolla el proceso de adquisición y mantenimiento de la infraestructura de tecnología

a tal punto que funciona bien para la mayoría de las situaciones, se le da un seguimiento consistente y un enfoque hacia la reutilización. La infraestructura de TI soporta

adecuadamente lasaplicaciones del neg ocio. El proceso está bien organizado y es preventivo. Tanto el costo como el tiempo de realización para alcanzar el nivel esperado de escalamiento, flexibilidad e integración se han optimizado parcialmente.

5 Optimizado cuando

El proceso de adquisición y mantenimiento de la infraestructura de tecnología es preventivo y está estrechamente en línea con las aplicaciones críticas del negocio y con la arquitectura

de la tecnología. Se siguen buenas prácticas respecto a las soluciones de tecnología, y la


49

organización tiene concienc ia de las últimas plataformas desarrolladas y herramientas de

administración. Se reducen costos al racionalizar y estandarizar los componentes de la infraestructura y con el uso de la automatización. Con un alto nivel de conciencia se

pueden identificar los medios óptimos para mejorar el desempeño en forma preventiva, incluyendo el consierar la opción de contratar servicios externos . La infraestructura de TI se entiende como el apoyo clave para impulsar el uso de TI.

3.4.4.-FACILITAR LA OPERACIÓN Y EL USO AI4

3.4.4.1.-DESCRIPCIÓN DEL PROCESO

El conocimiento sobre los nuevos sistemas debe estar disponible. Este proceso requiere la generación de documentación y manuales para usuarios y para TI, y proporciona entrenamiento para garantizar el uso y la operación correctos de las aplicaciones y la

infraestructura.


AI 4.1 Plan para Soluciones de Operación

Desarrollar un plan para identificar y documentar todos los aspectos técnicos, la capacidad

de operación y los niveles de servicio requeridos, de manera que todos los interesados puedan tomar la responsabilidad oportunamente por la producción de procedimientos de

administración, de usuarios y operativos, como resultado de la introducción o actualización de sistemas automatizados o de infraestructura.


50

AI4.2 Transferencia de Conocimiento a la Gerencia del Negocio

Transferir el conocimiento a la gerencia de la empresa para permitirles tomar posesión del

sistema y los datos y ejercer la responsabilidad por la entrega y calidad del servicio, del control interno y de los procesos administrativos de la aplicación. La transferencia de conocimientos incluye la aprobación de acceso, administración de privilegios, segregación

de tareas, controles automatizados del negocio, respaldo/recuperación, seguridad física y archivo de la documentación fuente.

AI4.3 Transferencia de Conocimiento a Usuarios Finales

Transferencia de conocimiento y habilidades para permitir que los usuarios finales utilicen con efectividad y eficiencia el sistema de aplicación como apoyo a los procesos del

negocio. La transferencia de conocimiento incluye el desarrollo de un plan de entrenamiento que aborde al entrenamiento inicial y al continuo, así como el desarrollo de habilidades, materiales de entrenamiento, manuales de usuario, manuales de procedimiento,

ayuda en línea, asistencia a usuarios, identificación del usuario clave, y evaluación.

AI4.4 Transferencia de Conocimiento al Personal de Operaciones y Soporte

Transferir el conocimiento y las habilidades para permitir al personal de soporte técnico y

de operaciones que entregue, apoyen y mantenga la aplicación y la infraestructura asociada de manera efectiva y eficiente de acuerdo a los niveles de servicio requeridos. La

transferencia del conocimiento debe incluir al entrenamiento inicial y continuo, el desarrollo de las habilidades, los materiales de entrenamiento, los manuales de operación, los manuales de procedimientos y escenarios de atención al usuario.


La administración del proceso de Facilitar la operación y el uso que satisfaga el

requerimiento de negocio de TI de garantizar la satisfacción de los usuarios finales con

ofrecimiento de servicios y niveles de servicio, e integrar de forma transparente

aplicaciones y soluciones de tecnología dentro de los procesos del negocio es:

O No Existente cuando

No existe el proceso con respecto a la producción de documentación de usuario, manuales de operación y material de entrenamiento.

Los únicos materiales existentes son aquellos que se suministran con los productos que se adquieren.


Existe la percepción de que la documentación de proceso es necesaria. La documentación se genera ocasionalmente y se distribuye en forma desigual a grupos limitados. Mucha de la documentación y muchos de los procedimientos ya caducaron. Los materiales de


51

entrenamiento tienden a ser esquemas únicos con calidad variable. Virtualmente no existen

procedimientos de integración a través de los diferentes sistemas y unidades de negocio. No hay aportes de las unidades de negocio en el diseño de programas de entrenamiento


Se utilizan enfoques similares para generar r procedimientos y documentación, pero no se basan en un enfoque estructural o marco de trabajo. No hay un enfoque uniforme para el

desarrollo de procedimientos de usuario y de operación. Individuos o equipos de proyecto generan los materiales de entrenamiento, y la calidad depende de los individuos que se involucran. Los procedimientos y la calidad del soporte al usuario van desde pobre a muy

buena, con una consistencia e integración muy pequeña a lo largo de la organización. Se proporcionan o facilitan programas de entrenamiento para el negocio y los usuarios, pero

no hay un plan general para ofrecer o dar entrenamiento.

3 Definido cuando

Existe un esquema bien definido, aceptado y comprendido para documentación del usuario,

manuales de operación y materiales de entrenamiento. . Se guardan y se mantienen los procedimientos en una biblioteca formal y cualquiera que necesite saber tiene acceso a ellas. Las correcciones a la documentación y a los procedimientos se realizan por reacción.

Los procedimientos se encuentran disponibles fuera de línea y se pueden acceder y mantener en caso de desastre. Existe un proceso que especifica las actualizaciones de

procedimientos y los materiales de entrenamiento para que sea un entregable explícito de un proyecto de cambio. A pesar de la existencia de enfoques definidos, el contenido actual varía debido a que no hay un control para reforzar el cumplimiento de estándares. Los

usuarios se involucran en los procesos informalmente. Cada vez se utilizan más herramientas automatizadas en la generación y distribución de procedimientos. Se planea y

programa tanto el entrenamiento del negocio como de los usuario. 4 Administrado y Medible cuando

Existe un esquema definido para los procedimientos de mantenimiento y para los materiales

de entrenamiento que cuentan con el soporte de la administración de TI. El enfoque considerado para los procedimientos de mantenimiento y los manuales de entrenamiento cubren todos los sistemas y las unidades de negocio, de manera que se pueden observar los

procesos desde una perspectiva de negocio.. El desarrollo automatizado de procedimientos se integra cada vez más con el desarrollo de sistemas aplicativos, facilitando la consistencia

y el acceso al usuario. El entrenamiento de negocio y usuario es sensible a las necesidades del negocio. La administración de TI está desarrollando medidas para el desarrollo y la entrega de documentación, materiales y programas de entrenamiento.

5 Optimizado cuando

El proceso para la documentación de usuario y de operación se mejora constantemente con la adopción de nuevas herramientas o métodos. Los materiales de procedimientos y de

entrenamiento se tratan como una base de conocimiento en evolución constante que se


52

mantiene en forma electrónica, con el uso de administración de conocimiento actualizada,

flujo de trabajo y tecnologías de distribución, que los hacen accesibles y fáciles de mantener. El material de documentación y entrenamiento se actualiza para reflejar los

cambios en la organización, en la operación y en el software. Tanto el desarrollo de materiales de documentación y entrenamiento como la entrega de programas de entrenamiento, se encuentran completamente integrados con el negocio y con las

definiciones de proceso del negocio, siendo así un apoyo a los requerimientos de toda la organización y no tan sólo procedimientos orientados a TI.

3.4.5.-ADQUIRIR RECURSOS DE TI AI5

3.4.5.1.-DESCRIPCIÓN DEL PROCESO.

Se deben suministrar recursos TI, incluyendo personas, hardware, software y servicios. Esto requiere de la definición y ejecución de los procedimientos de adquisición, la

selección de proveedores, el ajuste de arreglos contractuales y la adquisición en sí. El hacerlo así garantiza que la organización tenga todos los recursos de TI que se requieren de

una manera oportuna y rentable.



53

AI5.1 Control de Adquisición

Desarrollar y seguir un conjunto de procedimientos y estándares consistentes con el proceso general de adquisición de la organización y con la estrategia de adquisición para adquirir

infraestructura relacionada con TI, instalaciones, hardware, software y servicios necesarios por el negocio.

AI5.2 Administración de Contratos con Proveedores

Formular procedimiento para establecer, modificar y concluir contratos para todos los proveedores. El procedimiento debe cubrir, como mínimo, responsabilidades y obligaciones legales, financieras, organizacionales, documentales, de desempeño, de seguridad, de

propiedad intelectual y responsabilidades de conclusión así como obligaciones (que incluyan cláusulas de penalización). Todos los contratos y las modificaciones a contratos

las deben revisar asesores legales. AI5.3 Selección de Proveedores

Seleccionar proveedores de acuerdo a una práctica justa y formal para garantizar la mejor

viable y encajable según los requerimientos especificados. Los requerimientos deben estar optimizados con las entradas de los proveedores potenciales.

AI5.4 Adquisición de Recursos de TI

Proteger y hacer cumplir los intereses de la organización en todo los contratos de adquisiciones, incluyendo los derechos y obligaciones de todas las partes en los términos contractuales para la adquisición de software, recursos de desarrollo, infraestructura

servicios.

3.4.5.3-MODELO DE MADUREZ


54

La administración del proceso de Adquirir recursos de TI que satisfaga el requerimiento

de negocio de TI de mejorar la rentabilidad d TI y su contribución a la utilidad del

negocio es:


No existe un proceso definido de adquisición de recursos de TI. La organización no

reconoce la necesidad de tener políticas y procedimientos claros de adquisición para garantizar que todos los recursos de TI se encuentren disponibles y de forma oportuna y rentable


La organización ha reconocido la necesidad de tener políticas y procedimientos documentados que enlacen la adquisición de TI con el proceso general de adquisiciones de

la organización. Los contratos para la adquisición de recursos de TI son elaborados y administrados por gerentes de proyecto y otras personas que ejercen su juicio profesional

más que seguir resultados de procedimientos y políticas formales. Sólo existe un relación ad hoc entre los procesos de administración de adquisiciones y contratos corporativos y TI. Los contratos de adquisición se administran a la terminación de los proyectos más que

sobre una base continua.


Existe conciencia organizacional de la necesidad de tener políticas y procedimientos básicos para la adquisición de TI. Las políticas y procedimientos se integran parcialmente

con el proceso general de adquisición de la organización del negocio. Los procesos de adquisición se utilizan principalmente en proyectos mayores y bastante visibles.

3 Definido cuando


55

La administración establece políticas y procedimientos para la adquisición de TI. Las

políticas y procedimientos toman como guía el proceso general de adquisición de la organización. La adquisición de TI se integra en gran parte con los sistemas generales de

adquisición del negocio. Existen estándares de TI para la adquisición de recursos de TI. Los proveedores de recursos de TI se integran dentro de mecanismos de administración de proyectos de la organización desde una perspectiva de administración de contrato.

La administración de TI comunica la necesidad de contar con una administración adecuada de adquisiciones y contratos en toda la función de TI.

4 Administrado y Medible cuando

La adquisición de TI se integra totalmente con los sistemas generales de adquisición de la organización. Se utilizan los estándares para la adquisición de recursos de TI en todos los

procesos de adquisición. Se toman medidas para la administración de contratos y adquisiciones relevantes para l s casos de negocio que requieran la adquisición de TI. Se dispones de reportes que sustentan los objetivos de negocio. La administración de Ti

implanta el uso de procesos de administración para adquisición y contratos en todas las adquisiciones mediante la revisión de medición al desempeño

5 Optimizado cuando

La administración instituye y da recursos a procesos exhaustivos para la adquisición de TI. La administración impulsa el cumplimiento de las políticas y procedimientos de

adquisición de TI. Se toman las medidas en la administración de contratos y adquisiciones, relevantes en casos de negocio para adquisición de TI. Se establecen buenas relaciones con el tiempo con la mayoría de los proveedores y socios, y se mide y vigila la calidad de estas

relaciones. Se manejan las relaciones en forma estratégica. Los estándares, políticos y procedimientos de TI para la adquisición de recursos TI se manejan estratégicamente y

responden a la medición del proceso. La administración de TI comunica la importancia estratégica de tener una administración apropiada de adquisiciones y contratos, a través de la función TI.

3.4.6.-ADMINISTRAR CAMBIOS AI6


Todos los cambios, incluyendo el mantenimiento de emergencia y parches, relacionados

con la infraestructura y las aplicaciones dentro del ambiente de producción, deben administrarse formalmente y controladamente. Los cambios (incluyendo procedimientos, procesos, sistema y parámetros del servicio) se deben registrar, evaluar y autorizar previo a

la implantación y revisar contra los resultados planeados después de la implementación. . Esto garantiza la reducción de riesgos que impactan negativamente la estabilidad o integridad del ambiente de producción.


56


AI6.1 ESTÁNDARES Y PROCEDIMIENTOS PARA CAMBIOS

Establecer procedimientos de administración de cambio formales para manejar de manera

estándar todas las solicitudes (incluyendo mantenimiento y parches) para cambios a aplicaciones, procedimientos, procesos, parámetros de sistemas y servicio, y las

plataformas fundamentales. AI6.2 EVALUACIÓN DE IMPACTO, PRIORIZACIÓN Y AUTORIZACIÓN.


57

Garantizar que todas las solicitudes de cambio se evalúan de una estructurada manera en

cuanto a impactos en el sistema operacional y su funcionalidad. Esta evaluación deberá incluir categorización y priorización de los cambio. Previo a la migración hacia producción,

los interesados correspondientes autorizan los cambios.

AI6.3 CAMBIOS DE EMERGENCIA.

Establecer un proceso para definir, plantear, evaluar y autorizar los cambios de emergencia

que no sigan el proceso de cambio establecido. La documentación y pruebas se realizan, posiblemente, después de la implantación del cambio de emergencia.

AI6.4 SEGUIMIENTO Y REPORTE DE ESTATUS DE CAMBIO.

Establecer un sistema de seguimiento y reporte para mantener actualizados a los solicitantes de cambio a las aplicaciones, a los procedimientos, a los procesos, parámetros de sistemas y del servicio y las plataformas fundamentales.

AI6.5 CIERRE Y DOCUMENTACIÓN DEL CAMBIO

Siempre que se implantan cambios al sistema, actualizar el sistema asociado y la documentación de usuario y procedimientos correspondientes. Establecer un proceso de

revisión para garantizar la implantación completa de los cambios.

3.4.6.3-MODELO DE MADUREZ

La administración del proceso de Administrar cambios que satisfaga el requerimiento de

negocio de TI de responder a los requerimientos de acuerdo con la estrategia del

negocio, mientras que se reducen los defectos y repeticiones de trabajos en la entrega de

soluciones y servicios es:

0 NO EXISTENTE CUANDO:

Un proceso definido de administración de cambio y los cambios se pueden realizar virtualmente sin control. No hay conciencia de que el cambio pude causar una interrupción

para TI y las operaciones del negocio y no hay conciencia de los beneficios de la buena administración de cambio.

1 INICIAL / AD HOC CUANDO:

Se reconoce que los cambios se deben administrar y controlas. Las prácticas varían y es muy probable que se puedan dar cambios sin autorización. Hay documentación de cambio pobre o no existente y la documentación de configuración es incompleta y no confiable.

Es posible que ocurran errores junto con interrupciones al ambiente de producción, provocados por una pobre administración de cambios.

3 DEFINIDO CUANDO:


58

Existe un proceso formal definido para la administración del cambio, que incluye la

categorización, asignación de prioridades, procedimientos de emergencia, autorización del cambio y administración de liberación, y va surgiendo el cumplimiento. Se dan soluciones

temporales a los problemas y los procesos a menudo se omiten o se hacen a un lado. Aún pueden ocurrir errores y los cambios no autorizados ocurren ocasionalmente. El análisis de impacto de los cambios de TI en operaciones de negocios se está volviendo formal, para

apoyar la implantación planeada de nuevas aplicaciones y tecnologías.

4 ADMINISTRADO Y MEDIBLE CUANDO:

El proceso de administración de cambio se desarrolla bien y es consistente para todos los

cambios, y la gerencia confía que hay excepciones mínimas. El proceso es eficiente y efectivo, pero se basa en manuales de procedimientos y controles considerables para

garantizar el logro de la calidad. Todos los cambios están sujetos a una planeación minuciosa y a la evaluación del impacto para minimizar la probabilidad de tener problemas de post-producción. Se da un proceso de aprobación para cambios. La documentación de

administración de cambios es vigente y correcta, con seguimiento formar a los cambios. La documentación de configuración es generalmente exacta. La planeación e implantación de

la administración de cambios de TI se van integrando con los cambios en los procesos de negocio, para asegurar que se resuelven los asuntos referentes al entrenamiento, cambio organizacional y continuidad del negocio. Existe una coordinación creciente entre la

administración de cambio de TI y el rediseño del proceso de negocio. Hay un proceso consistente para monitorear la calidad y el desempeño del proceso de administración de

cambios.

5 OPTIMIZANDO CUANDO:

El proceso de administración de cambios se revisa con regularidad y se actualiza para permanecer en línea con las buenas prácticas. El proceso de revisión refleja los resultados del monitoreo. La información de la configuración es computarizada y proporciona un

control de versión. El rastreo del cambio es sofisticado e incluye herramientas para detectar software no autorizado y sin licencia. La administración de cambio de TI se integra con la

administración de cambio del negocio para garantizar que TI sea un factor que hace posible el incremento de productividad y la creación de nuevas oportunidades de negocio para la organización.

3.4.7.-INSTALAR Y ACREDITAR SOLUCIONES Y CAMBIOS AI7


Los nuevos sistemas necesitan estar funcionales una vez que su desarrollo se completa.

Esto requiere pruebas adecuadas en un ambiente dedicado con datos de prueba relevantes, para definir la transición e instrucciones de migración, planear la liberación y la transición


59

en si al ambiente de producción y revisar la post-implantación. Esto garantiza que los

sistemas operativos estén en línea con las expectativas convenidas y con los resultados.


AI7.1 ENTRENAMIENTO

Entrenar al personal de los departamentos de usuario afectados y al grupo de operaciones

de la función de TI de acuerdo con el plan definido de entrenamiento e implantación y a los materiales asociados, como parte de cada proyecto de sistemas de la información de desarrollo, implementación o modificación.

AI7.2 PLAN DE PRUEBA

Establecer un plan de pruebas basado en los estándares de la organización que define roles,

responsabilidades, y criterios de entrada y salida. Asegurar que el plan está aprobado por las partes relevantes. AI7.3 PLAN DE IMPLANTACIÓN

Establecer un plan de implantación y respaldo y vuelta atrás. Obtener aprobación de las partes relevantes.

AI7.4 AMBIENTE DE PRUEBA

Definir y establecer un entorno seguro de pruebas representativo del entorno de operaciones planeado relativo a seguridad, controles internos, practicas operativos, calidad de los datos

y requerimientos de privacidad, y cargas de trabajo. AI7.5 CONVERSION DE SISTEMAS Y DATOS

Plan de conversión de datos y migración de infraestructuras como parte de métodos de desarrollo de la organización, incluyendo pistas de auditoría, respaldo y vuelta atrás. AI7.6 PRUEBA DE CAMBIOS


60

Pruebas de cambios independientemente en acuerdo con los planes de pruebas definidos

antes de la migración al entorno de operaciones. Asegurar que el plan considera la seguridad y el desempeño.

AI7.7 PRUEBA DE ACEPTACIÓN FINAL

Asegurar que el dueño de proceso de negocio y los interesados de TI evalúan los resultados de los procesos de pruebas como determina el plan de pruebas. Remediar los errores

significativos identificados en el proceso de pruebas, habiendo completado el conjunto de pruebas identificadas en el plan de pruebas y cualquier prueba de regresión necesaria.

Siguiendo la evaluación, aprobación promoción a producción. AI7.8 PROMOCIÓN A PRODUCCIÓN

Seguimiento a pruebas, controlar la entrega de los sistemas cambiados a operaciones,

manteniéndolo en línea con el plan de implantación. Obtener la aprobación de los interesados clave, tales como usuarios, dueño de sistemas y gerente de operaciones. Cuando

sea apropiado, ejecutar el sistema en paralelo con el viejo sistema por un tiempo, y comparar el comportamiento y los resultados. AI7.9 REVISIÓN POSTERIOR A LA IMPLANTACIÓN

Establecer procedimientos en línea con los estándares de gestión de cambios organizacionales para requerir una revisión posterior a la implantación como conjunto de

salida en el plan de implementación.


La administración del proceso de Instalar y acreditar soluciones y cambios que

satisfagan el requerimiento de negocio de TI de implementar sistemas nuevos o

modificados que funcionen sin mayores problemas después de su instalación es:

0 No Existente cuando:

Hay una ausencia completa de procesos formales de instalación o acreditación y ni la

gerencia sénior ni el personal de TI reconocen la necesidad de verificar que las soluciones se ajustan para el propósito deseado.

1 Inicial / Ad Hoc cuando:

Existe la percepción de la necesidad de verificar y confirmar que las soluciones implantadas sirven para el propósito esperado. Las pruebas se realizan para algunos

proyectos, pero la iniciativa de pruebas se deja a los equipos de proyectos particulares y los enfoques que se toman varían. La acreditación formal y la autorización son raras o no existentes.

2 Repetible pero Intuitivo cuando:

Existe cierta consistencia entre los enfoques de prueba y acreditación, pero por lo regular no se basan en ninguna metodología. Los equipos individuales de desarrollo deciden

normalmente el enfoque de prueba y casi siempre hay ausencia de pruebas de integración. Hay un proceso de aprobación informal.


61

3 Definido cuando:

Se cuenta con una metodología formal en relación con la instalación, migración, conversión

y aceptación. Los procesos de TI para instalación y acreditación están integrados dentro del ciclo de vida del sistema y están automatizados hasta cierto punto. El entrenamiento, pruebas y transición y acreditación a producción tienen muy probablemente variaciones

respecto al proceso definido, con base en las decisiones individuales. La calidad de los sistemas que pasan a producción es inconsistente, y los nuevos sistemas a menudo generan

un nivel significativo de problemas posteriores a la implantación.

4 Administrado y Medible cuando:

Los procedimientos son formales y se desarrollan para ser organizados y prácticos con

ambientes de prueba definidos y con procedimientos de acreditación. En la práctica, todos los cambios mayores de sistemas siguen este enfoque formal. La evaluación de satisfacción requerimientos del usuario es estándar y medible, y produce mediciones que la gerencia

puede revisar y analizar de forma efectiva.

La calidad de los sistemas que entran en producción es satisfactoria para la gerencia, aún con niveles razonables de problemas posteriores a la implantación. La automatización del proceso es ad hoc y depende del proyecto. Es posible que la gerencia esté satisfecha con el

nivel actual de eficiencia a pesar de la ausencia de una evaluación posterior a la implementación. El sistema de prueba refleja adecuadamente el ambiente de producción.

La prueba de stress para los nuevos sistemas y la prueba de regresión para sistemas existentes se aplican para proyectos mayores.

5 Optimizado cuando:

Los procesos de instalación y acreditación se han refinado a un nivel de buena práctica, con base en los resultados de mejora continua y refinamiento. Los procesos de TI para la instalación y acreditación están totalmente integrados dentro del ciclo de vida del sistema y

se automatizan cuando es apropiado, arrojando el estatus más eficiente de entrenamiento, pruebas y transición a producción para los nuevos sistemas.


62

3.5 Entregar y dar Soporte DS1 Definir y administrar los niveles de servicio.

DS2 Administrar los servicios de terceros DS3 Administrar el desempeño y la capacidad

DS4 Garantizar la continuidad del servicio DS5 Garantizar la seguridad de los sistemas DS6 Identificar y asignar costos

DS7 Educar y entrenar a los usuarios DS8 Administrar la mesa de servicio y los incidentes

DS9 Administrar la configuración DS10 Administrar los problemas DS11 Administrar los datos

DS12 Administrar el ambiente físico DS13 Administrar las operaciones

3.6 Monitorear y Evaluar ME1 Monitorear y Evaluar el Desempeño de TI ME2 Monitorear y Evaluar el Control Interno

ME3 Garantizar el Cumplimiento Regulatorio ME4 Proporcionar Gobierno de TI

UNIDAD III

LOS CUATRO DOMINIOS

Y LOS 34 OBJETIVOS DE

CONTROL DE COBIT


63

LOS DOMINIOS DE COBIT Y LOS 34 OBJETIBOS DE CONTTOL

3.5 ENTREGAR Y DAR SOPORTE

DOMINIO ENTREGAR Y DAR SOPORTE

Establecer un entendimiento común del nivel de servicio requerido posibilitado por el establecimiento de acuerdos de nivel de servicio que formalizan los criterios de rendimiento

contra los cuales se medirá la cantidad y la calidad del servicio que será medido, lo cual permita a la gerencia identificar deficiencias en el servicio prestado, enfocándose en la identificación de requerimientos de servicio. En este proceso se toma en consideración los

siguientes aspectos:

Acuerdos o convenios formales

Definición de responsabilidades

Tiempos y volúmenes de respuesta

Cargos

Garantías de integridad.

Acuerdos de confidencialidad

En ésta sección encontrará toda la información contenida en el documento del estándar COBIT 4.0. , acerca de los Procesos a seguir respecto al Dominio "Entregar y Dar

Soporte", además se muestra el Objetivo a conseguir para cada proceso mencionado. Para obtener la información completa solo necesita dar clic sobre el Proceso deseado.

Mediante estos se obtienen respuestas a las preguntas efectuadas por la alta gerencia de una compañía, estas son:

¿Se están entregando los servicios de las TI de acuerdo con las prioridades del negocio? ¿Están optimizados los costos de las TI?

¿Es capaz la fuerza de trabajo de utilizar los sistemas de las TI de manera productiva y segura?

¿Están implantadas de forma adecuada la confidencialidad, la integridad y la disponibilidad?

PROCESOS DEL DOMINIO


64

DESCRIPCIÓN GENERAL

DEL PROCESO

A qué se refiere el proceso. Resume los objetivos del proceso, muestra la equivalencia de este proceso con los criterios de información, con los recursos de Ti y

con las áreas focales de gobierno de TI.


DETALLADOS DEL

PROCESO

Metas intermedias para lograr el Objetivo principal.

Contiene los objetivos de control detallados de éste proceso.

ENTRADAS Y SALIDAS DEL

PROCESO

Describe lo que se necesita antes y lo que se entrega

después de realizar el proceso.

GRÁFICA RACI Muestra qué se debe delegar y a quién.

METAS Y MÉTRICAS Describe cómo se debe medir el proceso.

http://redyseguridad.fi-p.unam.mx/proyectos/cobit/seccion_informativa/3_entregar_dar_soporte/entregar_dar_soporte_01/1_ds01_des_gen.html

http://redyseguridad.fi-p.unam.mx/proyectos/cobit/seccion_informativa/3_entregar_dar_soporte/entregar_dar_soporte_01/1_ds01_des_gen.html

http://redyseguridad.fi-p.unam.mx/proyectos/cobit/seccion_informativa/3_entregar_dar_soporte/entregar_dar_soporte_01/2_ds01_obj_con.html



http://redyseguridad.fi-p.unam.mx/proyectos/cobit/seccion_informativa/3_entregar_dar_soporte/entregar_dar_soporte_01/3_ds01_ent_sal.html

http://redyseguridad.fi-p.unam.mx/proyectos/cobit/seccion_informativa/3_entregar_dar_soporte/entregar_dar_soporte_01/3_ds01_ent_sal.html

http://redyseguridad.fi-p.unam.mx/proyectos/cobit/seccion_informativa/3_entregar_dar_soporte/entregar_dar_soporte_01/4_ds01_gra_raci.html

http://redyseguridad.fi-p.unam.mx/proyectos/cobit/seccion_informativa/3_entregar_dar_soporte/entregar_dar_soporte_01/5_ds01_met_metr.html


65

MODELO DE MADUREZ DEL

PROCESO

Es una guía para saber en qué nivel de eficiencia se

encuentra el proceso. Muestra lo que se debe hacer para mejorar el proceso.

PROCESOS DEL DOMINIO ENTREGAR Y DAR SOPORTE

DS1 DEFINIR Y ADMINISTRAR LOS NIVELES DE SERVICIO

Asegurar la alineación de los servicios claves de TI con la estrategia del negocio

enfocándose en la identificación de requerimientos de servicio, el acuerdo de niveles de servicio y el monitoreo del cumplimiento de los niveles de servicio.

Objetivos de control detallados del proceso

DS1.1 MARCO DE TRABAJO DE LA ADMINISTRACIÓN DE LOS NIVELES DE

SERVICIO

http://redyseguridad.fi-p.unam.mx/proyectos/cobit/seccion_informativa/3_entregar_dar_soporte/entregar_dar_soporte_01/6_ds01_mod_mad.html

http://redyseguridad.fi-p.unam.mx/proyectos/cobit/seccion_informativa/3_entregar_dar_soporte/entregar_dar_soporte_01/6_ds01_mod_mad.html


66

Definir un marco de trabajo que brinde un proceso formal de administración de niveles de

servicio entre el cliente y el prestador de servicio. El marco de trabajo mantiene una alineación continua con los requerimientos y las prioridades de negocio y facilita el

entendimiento común entre el cliente y el(los) prestador(es) de servicio. El marco de trabajo incluye procesos para la creación de requerimientos de servicio, definiciones de servicio, acuerdos de niveles de servicio (SLAs), acuerdos de niveles de operación (OLAs) y las

fuentes de financiamiento. Estos atributos están organizados en un catálogo de servicios. El marco de trabajo define la estructura organizacional para la administración del nivel de

servicio, incluyendo los roles, tareas y responsabilidades de los proveedores externos e internos y de los clientes.

DS1.2 DEFINICIÓN DE SERVICIOS

Definiciones base de los servicios de TI sobre las características del servicio y los requerimientos de negocio, organizados y almacenados de manera centralizada por medio

de la implantación de un enfoque de catálogo/portafolio de servicios.

DS1.3 ACUERDOS DE NIVELES DE SERVICIO

Definir y acordar convenios de niveles de servicio para todos los procesos críticos de TI con base en los requerimientos del cliente y las capacidades en TI. Esto incluye los

compromisos del cliente, los requerimientos de soporte para el servicio, métricas cualitativas y cuantitativas para la medición del servicio firmado por los interesados, en caso de aplicar, los arreglos comerciales y de financiamiento, y los roles y

responsabilidades, incluyendo la revisión del SLA. Los puntos a considerar son disponibilidad, confiabilidad, desempeño, capacidad de crecimiento, niveles de soporte,

planeación de continuidad, seguridad y restricciones de demanda.

DS1.4 ACUERDOS DE NIVELES DE OPERACIÓN

Asegurar que los acuerdos de niveles de operación expliquen cómo serán entregados técnicamente los servicios para soportar el (los) SLA(s) de manera óptima.

DS1.5 MONITOREO Y REPORTE DEL CUMPLIMENTO DE LOS NIVELES DE SERVICIO

Monitorear continuamente los criterios de desempeño especificados para el nivel de servicio. Los reportes sobre el cumplimiento de los niveles de servicio deben emitirse en un

formato que sea entendible para los interesados. Las estadísticas de monitoreo son analizadas para identificar tendencias positivas y negativas tanto de servicios individuales

como de los servicios en conjunto.


67

DS1.6 REVISIÓN DE LOS ACUERDOS DE NIVELES DE SERVICIO Y DE LOS

CONTRATOS

Revisar regularmente con los proveedores internos y externos los acuerdos de niveles de servicio y los contratos de apoyo, para asegurar que son efectivos, que están actualizados y que se han tomado en cuenta los cambios en requerimientos.

DS2 ADMINISTRAR LOS SERVICIOS DE TERCEROS

Brindar servicios satisfactorios de terceros con transparencia acerca de los beneficios,

riesgos y costos enfocándose en el establecimiento de relaciones y responsabilidades bilaterales con proveedores calificados de servicios tercerizados y el monitoreo de la

prestación del servicio para verificar y asegurar la adherencia a los convenios. La necesidad de asegurar que los servicios provistos por terceros cumplan con los

requerimientos del negocio, requiere de un proceso efectivo de administración de terceros. Este proceso se logra por medio de una clara definición de roles, responsabilidades y

expectativas en los acuerdos con los terceros, así como con la revisión y monitoreo de la efectividad y cumplimiento de dichos acuerdos. Una efectiva administración de los servicios de terceros minimiza los riesgos del negocio asociados con proveedores que no se

desempeñan de forma adecuada.

OBJETIVOS DE CONTROL DETALLADOS

DS2.1 Identificación de las relaciones con todos los proveedores

Identificar todos los servicios de los proveedores y catalogarlos de acuerdo con el tipo de proveedor, la importancia y la criticidad. Mantener documentación formal de las relaciones

técnicas y organización al incluyendo los roles y responsabilidades, metas, expectativas, entregables, esperados y credenciales de los representantes de estos proveedores.

DS2.2 Administración de las relaciones con los proveedores Formalizar el proceso de administración de relaciones con proveedores porcada proveedor.

Los responsables de las relaciones deben coordinar a los proveedores y los clientes y asegurar la calidad de las relaciones con base en la confianza y la transparencia (por ejemplo, a través de acuerdos de niveles de servicio).

DS2.3 Administración de riesgos del proveedor

Identificar y mitigar los riesgos relacionados con la habilidad de los proveedores para mantener una efectiva entrega de servicios de forma segura y eficiente sobre una base de continuidad. Asegurar que los contratos están de acuerdo con los estándares universales del

negocio de conformidad con los requerimientos legales y regulatorios. La administración del riesgo debe considerar además acuerdos de confidencialidad (NDAs), contratos de

garantía, viabilidad de la continuidad del proveedor, conformidad con los requerimientos de seguridad, proveedores alternativos, penalizaciones e incentivos, etc.

DS2.4 MONITOREO DEL DESEMPEÑO DEL PROVEEDOR


68

Establecer un proceso para monitorear la prestación del servicio para asegurar que el proveedor está cumpliendo con los requerimientos del negocio actuales y que se apega de

manera continua a los acuerdos del contrato y a los convenios de niveles de servicio, y que el desempeño es competitivo respecto a los proveedores alternativos y a las condiciones del mercado.

Niveles de madurez 0 No existente cuando Las responsabilidades y la rendición de cuentas no están definidas. No hay políticas y procedimientos formales respecto a la contratación con terceros. Los servicios de terceros no son ni aprobados ni revisados por la gerencia. No

hay actividades de medición y los terceros no reportan. A falta de una obligación contractual de reportar, la alta gerencia no está al tanto de la calidad del servicio prestado.

1 INICIAL/AD HOC CUANDO La gerencia está consciente de la importancia de la necesidad de tener políticas y

procedimientos documentados para la administración de los servicios de terceros, incluyendo la firma de contratos. No hay condiciones estandarizadas para los convenios

con los prestadores de servicios. La medición de los servicios prestados es informal y reactiva. Las prácticas dependen de la experiencia de los individuos y del proveedor (por ejemplo, por demanda).

2 REPETIBLE PERO INTUITIVA CUANDO

El proceso de supervisión de los proveedores de servicios de terceros, de los riesgos asociados y de la prestación de servicios es informal. Se utiliza un contrato pro-forma con términos y condiciones estándares del proveedor(por ejemplo, la descripción de servicios

que se prestarán). Los reportes sobre los servicios existen, pero no apoyan los objetivos del negocio.

3 Proceso definido cuando Hay procedimientos bien documentados para controlar los servicios deterceros con procesos claros para tratar y negociar con los proveedores. Cuando se hace un acuerdo de

prestación de servicios, la relación con el tercero es meramente contractual. La naturaleza de los servicios a prestarse detalla en el contrato e incluye requerimientos legales,

operacionales yde control. Se asigna la responsabilidad de supervisar los servicios de terceros. Los términos contractuales se basan en formatos estandarizados. El riesgo del negocio asociado con los servicios del tercero esta valorado y reportado.

DS3 ADMINISTRAR EL DESEMPEÑO Y LA CAPACIDAD

Optimizar el desempeño de la infraestructura, los recursos y las capacidades de TI en respuesta a las necesidades del negocio. Enfocándose en cumplir con los requerimientos de

tiempo de respuesta de los acuerdos de niveles de servicio, minimizando el tiempo sin servicio y haciendo mejoras continuas de desempeño y capacidad de TI a través del

monitoreo y la medición. DS4 GARANTIZAR LA CONTINUIDAD DEL SERVICIO


69

Asegurar el mínimo impacto al negocio en caso de una interrupción de servicios de TI.

enfocándose en el desarrollo de resistencia (resilience) en las soluciones automatizadas y desarrollando, manteniendo y probando los planes de continuidad de TI.

DS5 GARANTIZAR LA SEGURIDAD DE LOS SISTEMAS

Asegurar el mínimo impacto al negocio en caso de una interrupción de servicios de TI. Enfocándose en el desarrollo de resistencia (resilience) en las soluciones automatizadas y

desarrollando, manteniendo y probando los planes de continuidad de TI.

DS5.1 ADMINISTRACIÓN DE LA SEGURIDAD DE TI

Administrar la seguridad de TI al nivel más apropiado dentro de la organización, de manera que las acciones de administración de la seguridad estén en línea con los requerimientos del

negocio.

DS5.2 PLAN DE SEGURIDAD DE TI

Trasladar los requerimientos de información del negocio, la configuración de TI, los planes de acción del riesgo de la información y la cultura sobre la seguridad en la información a un

plan global de seguridad de TI. El plan se implementa en políticas y procedimientos de seguridad en conjunto con inversiones apropiadas en servicios, personal, software y hardware. Las políticas y procedimientos de seguridad se comunican a los interesados y a

los usuarios.

DS5.3 ADMINISTRACIÓN DE IDENTIDAD

Todos los usuarios (internos, externos y temporales) y su actividad en sistemas de TI (aplicación de negocio, operación del sistema, desarrollo y mantenimiento) deben ser

identificables de manera única. Los derechos de acceso del usuario a sistemas y datos deben estar alineados con necesidades de negocio definidas y documentadas y con


70

requerimientos de trabajo. Los derechos de acceso del usuario son solicitados por la

gerencia del usuario, aprobados por el responsable del sistema e implementado por la persona responsable de la seguridad. Las identidades del usuario y los derechos de acceso

se mantienen en un repositorio central. Se implementan y se mantienen actualizadas medidas técnicas y procedimientos rentables, para establecer la identificación del usuario, realizar la autenticación y habilitar los derechos de acceso.

DS5.4 ADMINISTRACIÓN DE CUENTAS DEL USUARIO Garantizar que la solicitud, establecimiento, emisión, suspensión, modificación y cierre de

cuentas de usuario y de los privilegios relacionados, sean tomados en cuenta por la gerencia de cuentas de usuario. Debe incluirse un procedimiento que describa al responsable de los

datos o del sistema como otorgar los privilegios de acceso. Estos procedimientos deben aplicar para todos los usuarios, incluyendo administradores (usuarios privilegiados), usuarios externos e internos, para casos normales y de emergencia. Los derechos y

obligaciones relacionados al acceso a los sistemas e información de la empresa son acordados contractualmente para todos los tipos de usuarios. La gerencia debe llevar a cabo

una revisión regular de todas las cuentas y los privilegios asociados.

DS5.5 PRUEBAS, VIGILANCIA Y MONITOREO DE LA SEGURIDAD

Garantizar que la implementación de la seguridad en TI sea probada y monitoreada de forma pro-activa. La seguridad en TI debe ser reacreditada periódicamente para garantizar que se mantiene el nivel seguridad aprobado. Una función de ingreso al sistema (logging) y

de monitoreo permite la detección oportuna de actividades inusuales o anormales que pueden requerir atención. El acceso a la información de ingreso al sistema está alineado con

los requerimientos del negocio en términos de requerimientos de retención y de derechos de acceso.

DS5.6 DEFINICIÓN DE INCIDENTE DE SEGURIDAD

Garantizar que las características de los posibles incidentes de seguridad sean definidas y comunicadas de forma clara, de manera que los problemas de seguridad sean atendidos de

forma apropiada por medio del proceso de administración de problemas o incidentes. Las características incluyen una descripción de lo que se considera un incidente de seguridad y

su nivel de impacto. Un número limitado de niveles de impacto se definen para cada incidente, se identifican las acciones específicas requeridas y las personas que necesitan ser notificadas.

DS5.7 PROTECCIÓN DE LA TECNOLOGÍA DE SEGURIDAD Garantizar que la tecnología importante relacionada con la seguridad no sea susceptible de

sabotaje y que la documentación de seguridad no se divulgue de forma innecesaria, es


71

decir, que mantenga un perfil bajo. Sin embargo no hay que hacer que la seguridad de los

sistemas dependa de la confidencialidad de las especificaciones de seguridad.

DS5.8 ADMINISTRACIÓN DE LLAVES CRIPTOGRÁFICAS

Determinar que las políticas y procedimientos para organizar la generación, cambio, revocación, destrucción, distribución, certificación, almacenamiento, captura, uso y archivo

de llaves criptográficas estén implantadas, para garantizar la protección de las llaves contra modificaciones y divulgación no autorizadas.

DS5.9 PREVENCIÓN, DETECCIÓN Y CORRECCIÓN DE SOFTWARE MALICIOSO

Garantizar que se cuente con medidas de prevención, detección y corrección (en especial contar con parches de seguridad y control de virus actualizados) a lo largo de toda la

organización para proteger a los sistemas de información y a la tecnología contra software malicioso (virus, gusanos, spyware, correo basura, software fraudulento desarrollado

internamente, etc.).

DS5.10 SEGURIDAD DE LA RED

Garantizar que se utilizan técnicas de seguridad y procedimientos de administración asociados (por ejemplo, firewalls, dispositivos de seguridad, segmentación de redes, y detección de intrusos) para autorizar acceso y controlar los flujos de información desde y

hacia las redes.

DS5.11 INTERCAMBIO DE DATOS SENSITIVOS

Garantizar que las transacciones de datos sensibles sean intercambiadas solamente a través de una ruta o medio confiable con controles para brindar autenticidad de contenido, prueba

de envío, prueba de recepción y no rechazo del origen. DS6 IDENTIFICAR Y ASIGNAR COSTOS

Transparentar y entender los costos de TI y mejorar la rentabilidad a través del uso bien

informado de los servicios de TI enfocándose en el registro completo y preciso de los costos de TI, un sistema equitativo para asignación acordado con los usuarios de negocio, y un sistema para reportar oportunamente el uso de TI y los costos asignados.

DS7 EDUCAR Y ENTRENAR A LOS USUARIOS

Hacer uso efectivo y eficiente de soluciones y aplicaciones tecnológicas y el cumplimiento

del usuario con las políticas y procedimientos enfocándose en un claro entendimiento de las


72

necesidades de entrenamiento de los usuarios de TI, la ejecución de una efectiva estrategia

de entrenamiento y la medición de resultados.

DS7.1 Identificación de necesidades de entrenamiento y educación Establecer y actualizar de forma regular un programa de entrenamiento para cada grupo objetivo de empleados, que incluya: • Estrategias y requerimientos actuales y futuros del negocio. • Valores

corporativos (valores éticos, cultura de control y seguridad, etc.) • Implementación de nuevo software e infraestructura de TI (paquetes y aplicaciones) • Habilidades, perfiles de

competencias y certificaciones actuales y/o credenciales necesarias. • Métodos de impartición (por ejemplo, aula, web), tamaño del grupo objetivo, accesibilidad y tiempo.

DS7.2 Impartición de entrenamiento y educación Con base en las necesidades de entrenamiento identificadas, identificar: a los grupos objetivo y a sus miembros, a los

mecanismos de impartición eficientes, a maestros, instructores y consejeros. Designar instructores y organizar el entrenamiento con tiempo suficiente. Debe tomarse nota del registro (incluyendo los prerrequisitos), la asistencia, y de las evaluaciones de desempeño.

DS7.3 Evaluación del entrenamiento recibido Al finalizar el entrenamiento, evaluar el

contenido del entrenamiento respecto a la relevancia, calidad, efectividad, percepción y retención del conocimiento, costo y valor. Los resultados de esta evaluación deben contribuir en la definición futura de los planes de estudio y de las sesiones de

entrenamiento.

DS8 ADMINISTRAR LA MESA DE SERVICIO Y LOS INCIDENTES

Hacer uso efectivo y eficiente de soluciones y aplicaciones tecnológicas y el cumplimiento del usuario con las políticas y procedimientos enfocándose en un claro entendimiento de las

necesidades de entrenamiento de los usuarios de TI, la ejecución de una efectiva estrategia de entrenamiento y la medición de resultados.

OBJETIVOS DE CONTROL DETALLADOS

DS8.2 Registro de consultas de clientes Establecer una función y sistema que permita el registro y rastreo de llamadas, incidentes, solicitudes de servicio y necesidades de información. Debe trabajar estrechamente con los procesos de administración de incidentes,

administración de problemas, administración de cambios, administración de capacidad y administración de disponibilidad.

DS8.3 Escalamiento de incidentes Garantizar que la asignación de incidentes y el monitoreo del ciclo de vida permanecen en la mesa de servicios, independientemente de

qué grupo de TI esté trabajando en las actividades de resolución.

DS8.4 Cierre de incidentes Establecer procedimientos para el monitoreo puntual de la resolución de consultas de los clientes. Cuando se resuelve el incidente la mesa de servicios debe registrar la causa raíz, si la conoce, y confirmar que la acción tomada fue acordada

con el cliente


73

DS9 ADMINISTRAR LA CONFIGURACIÓN

Optimizar la infraestructura, recursos y capacidades de TI, y llevar registro de los activos de TI. Enfocándose en establecer y mantener un repositorio completo y preciso de atributos

de la configuración de los activos y de líneas base y compararlos contra la configuración actual.

DS10 ADMINISTRAR LOS PROBLEMAS

Garantizar la satisfacción de los usuarios finales con ofrecimientos de servicios y niveles de servicio, reducir el retrabajo y los defectos en la prestación de los servicios y de las soluciones. Enfocándose en registrar, rastrear y resolver problemas operativos;

investigación de las causas raíz de todos los problemas relevantes y definir soluciones para los problemas operativos identificados.

Una efectiva administración de problemas requiere la identificación y clasificación de

problemas, el análisis de las causas desde su raíz, y la resolución de problemas. El proceso de administración de problemas también incluye la identificación de recomendaciones para

la mejora, el mantenimiento de registros de problemas y la revisión del estatus de las acciones correctivas. Un efectivo proceso de administración de problemas mejora los niveles de servicio, reduce costos y mejora la conveniencia y satisfacción del usuario.

Objetivos de control detallados

DS10.1 IDENTIFICACIÓN Y CLASIFICACIÓN DE PROBLEMAS Implementar procesos para reportar y clasificar problemas que han sido identificados como

parte de la administración de incidentes. Los pasos involucrados en la clasificación de problemas son similares a los pasos para clasificar incidentes; son determinar la categoría,

impacto, urgencia y prioridad. Los problemas deben categorizarse de manera apropiada en grupos o dominios relacionados (por ejemplo, hardware, software, software de soporte). Estos grupos pueden coincidir con las responsabilidades organizacionales o con la base de

usuarios y clientes, y son la base para asignar los problemas al personal de soporte.

DS10.2 RASTREO Y RESOLUCIÓN DE PROBLEMAS El sistema de administración de problemas debe mantener pistas de auditoría adecuadas que

permitan rastrear, analizar y determinar la causa raíz de todos los problemas reportados considerando:• Todos los elementos de configuración asociados• Problemas e incidentes

sobresalientes• Errores conocidos y sospechados Identificar e iniciar soluciones sostenibles indicando la causa raíz, incrementando las solicitudes de cambio por medio del proceso de administración de cambios establecido. En todo el proceso de resolución, la administración

de problemas debe obtener reportes regulares de la administración de cambios sobre el


74

progreso en la resolución de problemas errores. La administración de problemas debe

monitorear el continuo impacto de los problemas y errores conocidos en los servicios a los usuarios. En caso de que el impacto se vuelva severo, la administración de problemas debe

escalar el problema, tal vez refiriéndolo a un comité determinado para incrementar la prioridad de la solicitud del cambio (RFC) o para implementar un cambio urgente, lo que resulte más pertinente.

DS10.3 CIERRE DE PROBLEMAS

Disponer de un procedimiento para cerrar registros de problemas ya sea después de confirmar la eliminación exitosa del error conocido o después desacordar con el negocio

cómo manejar el problema de manera alternativa. DS10.4 Integración de las administraciones de cambios, configuración y problemas

Para garantizar una adecuada administración de problemas e incidentes, integrar los procesos relacionados de administración de cambios, configuración y problemas. Monitorear cuánto esfuerzo se aplica en apagar fuegos, en lugar de permitir mejoras al

negocio y, en los casos que sean necesarios, mejorar estos procesos para minimizar los problemas

DS11 ADMINISTRAR LOS DATOS

Garantizar la satisfacción de los usuarios finales con ofrecimientos de servicios y niveles de

servicio, reducir el re trabajo y los defectos en la prestación de los servicios y de las soluciones. Enfocándose en registrar, rastrear y resolver problemas operativos; investigación de las causas raíz de todos los problemas relevantes y definir soluciones para

los problemas operativos identificados.

DS12 ADMINISTRAR EL AMBIENTE FÍSICO

Optimizar el uso de la información y garantizar la disponibilidad de la información cuando

se requiera. Enfocándose en mantener la integridad, exactitud, disponibilidad y protección de los datos.


75

EQUIVALENCIA DEL

PROCESO CON LAS ÁREAS

FOCALES DEL GOBIERNO

DE TI

DS13 ADMINISTRAR LAS OPERACIONES

Proteger los activos de cómputo y la información del negocio minimizando el riesgo de una

interrupción del servicio. Enfocándose en proporcionar y mantener un ambiente físico adecuado para proteger los activos de TI contra acceso, daño o robo.

3.6 MONITOREAR Y EVALUAR

Enfoque del Monitoreo

Garantizar que la gerencia establezca un marco de trabajo de monitoreo general y un

enfoque que definan el alcance, la metodología y el proceso a seguir para monitorear la contribución de TI a los resultados de los procesos de administración de programas y de administración del portafolio empresarial y aquellos procesos que son específicos para la

entrega de la capacidad y los servicios de TI. El marco de trabajo se debería integrar con el sistema de administración del desempeño corporativo.

Definición y recolección de datos de monitoreo

Garantizar que la gerencia de TI, trabajando en conjunto con el negocio, defina un conjunto

balanceado de objetivos, mediciones, metas y comparaciones de desempeño y que estas se


76

encuentren acordadas formalmente con el negocio y otros interesados relevantes. Los

indicadores de desempeño deberían incluir:

La contribución al negocio que incluya, pero que no se limite a, la información financiera

Desempeño contra el plan estratégico del negocio y de TI Riesgo y cumplimiento de las regulaciones

Satisfacción del usuario interno y externo Procesos clave de TI que incluyan desarrollo y entrega del servicio Actividades orientadas a futuro, por ejemplo, la tecnología emergente, la

infraestructura re-utilizable, habilidades del personal de TI y del negocio.

Se deben establecer procesos para recolectar información oportuna y precisa para reportar el avance contra las metas.

Método de monitoreo

Garantizar que el proceso de monitoreo implante un método (ej. Balanced Scorecard), que

brinde una visión sucinta y desde todos los ángulos del desempeño de TI y que se adapte al sistema de monitoreo de la empresa.

ME1.4 Evaluación del desempeño

Comparar de forma periódica el desempeño contra las metas, realizar análisis de la causa

raíz e iniciar medidas correctivas para resolver las causas subyacentes.

Reportes al consejo directivo y a ejecutivos

Proporcionar reportes administrativos para ser revisados por la alta dirección sobre el avance de la organización hacia metas identificadas, específicamente en términos del

desempeño del portafolio empresarial de programas de inversión habilitados por TI, niveles de servicio de programas individuales y la contribución de TI a ese desempeño. Los

reportes de estatus deben incluir el grado en el que se han alcanzado los objetivos planeados, los entregables obtenidos, las metas de desempeño alcanzadas y los riesgos mitigados. Durante la revisión, se debe identificar cualquier desviación respecto al

desempeño esperado y se deben iniciar y reportar las medidas administrativas adecuadas.

Acciones correctivas


77

Identificar e iniciar medidas correctivas basadas en el monitoreo del desempeño, evaluación

y reportes. Esto incluye el seguimiento de todo el monitoreo, de los reportes y de las evaluaciones con:

Revisión, negociación y establecimiento de respuestas administrativas

Asignación de responsabilidades por la corrección Rastreo de los resultados de las acciones comprometidas

-Reportes al Consejo Directivo y a Ejecutivos

Proporcionar reportes administrativos para ser revisados por la alta dirección sobre el avance de la organización hacia metas.

-Acciones Correctivas

Identificar e iniciar medidas correctivas basadas en el monitoreo del desempeño, evaluación y reportes.

Directrices Gerenciales

Modelo De Madurez


78

La administración del proceso de Monitorear y evaluar el desempeño de TI que satisfaga los requerimientos de negocios para TI de transparencia y entendimiento de los datos que

lleva la empresa son:

◦ 0 No Existente

◦ 1 Inicial / Ad Hoc

◦ 2 Repetible pero Intuitivo

◦ 3 Definido

◦ 4 Administrado y médible

◦ 5 Optimizado

MONITOREAR Y EVALUAR EL CONTROL INTERNO ME2

Descripción del proceso

Establecer un programa de control interno para TI requiere un proceso bien definido de

monitoreo. Todo este proceso incluye el monitoreo y reporte de las excepciones de control, resultados de las auto evaluaciones y revisiones por parte de terceros. Satisface el requerimiento del negocio de TI para proteger el logro del los objetivos de TI y

cumplir las leyes y reglamentos relacionados con TI enfocándose en el monitoreo de los procesos de control interno.

Para las actividades relacionadas con TI e identificar las acciones se logra con: La definición de un sistema de controles internos integrados en el marco de trabajo de los

procesos de TI.

Monitorear y reportar la efectividad de los controles internos sobre TI. Reportar las excepciones de control a la gerencia para tomar acciones.

Todo esto se mide con el número de brechas importantes del control interno, número de iniciativas para la mejora del control y número y cubrimiento de auto evaluaciones de

control.

Objetivos de Control

- Monitoreo del Marco de Trabajo de Control Interno

Monitorear de forma continua, comparar y mejorar el ambiente de control de TI y el marco de trabajo de control de TI para satisfacer los objetivos organizacionales.

-Revisiones de Auditoria

Monitorear y evaluar la eficiencia y efectividad de los controles internos de revisión de la

gerencia de TI.


79

Excepciones de Control

Identificar las excepciones de control, y analizar e identificar sus causas raíces subyacentes. Escalar las excepciones de control y reportar a los interesados apropiadamente. Establecer acciones correctivas necesarias.

Control de Auto Evaluación

Evaluar la completitud y efectividad de los controles de gerencia sobre los procesos, políticas y contratos de TI por medio de un programa continuo de auto-evaluación.

Aseguramiento del Control Interno

Obtener, según sea necesario, aseguramiento de la completitud y efectividad de los controles internos por medio de revisiones de terceros.

Control Interno para Terceros

Evaluar el estado de los controles internos de los proveedores de servicios externos. Conformar que los proveedores de servicios externos cumplen con los requerimientos legales y regulatorios y obligaciones contractuales.

Acciones Correctivas

Identificar, iniciar, rastrear e implementar acciones correctivas derivadas de los controles de evaluación y los informes.

Directrices Gerenciales


80

ME3 MONITOREAR Y EVALUAR GARANTIZAR EL CUMPLIMIENTO CON REQUERIMIENTOS EXTERNOS

DESCRIPCION DEL PROCESO

Una supervisión efectiva del cumplimiento requiere del establecimiento de un proceso de revisión para garantizar el cumplimiento de las leyes, regulaciones y requerimientos

contractuales. Este proceso incluye la identificación de requerimientos de cumplimiento, optimizado y evaluando la repuesta, obteniendo aseguramiento que los requerimientos se ha cumplido y finalmente integrando los reportes de cumplimiento de TI con el resto del

negocio.

Que satisface el requerimiento del negocio de TI para: Cumplir las leyes y regulaciones

Enfocándose en: La identificación de todas las leyes y regulaciones aplicables y el nivel correspondiente de cumplimiento de TI y la optimización de los procesos de TI para reducir el riesgo de no

cumplimiento. Se logra con:

La identificación de los requisitos legales y regulatorios relacionados con TI. La evaluación del impacto de los requisitos regulatorios. El monitoreo y reporte del cumplimiento de los requisitos regulatorios.

Y se mide con: El costo del no cumplimiento de TI, incluyendo arreglos y multas.

Tiempo promedio de demora entre la identificación de los problemas externos de cumplimiento y su resolución. Frecuencia de revisiones de cumplimiento.


81


ME3.1. IDENTIFICAR LOS REQUERIMIENTOS DE LAS LEYES,

REGULACIONES Y CUMPLIMIENTOS CONTRACTUALES: Identificar sobre una

base continua, leyes locales e internacionales, regulaciones y otros requerimientos externos que se deben de cumplir para incorporar en las políticas, estándares, procedimientos y

metodología de TI de la organización. ME3.2. OPTIMIZAR LA RESPUESTA A REQUERIMIENTOS EXTERNOS.

Revisar y ajustar las políticas, estándares, procedimientos y metodologías de TI para


82

garantizar que los requisitos legales, regulatorios y contractuales son direccionados y

comunicados.

ME3.3. EVALUACION DEL CUMPLIMIENTO CON REQUERIMIENOTS

EXTERNOS: Confirmar el cumplimiento de políticas, estándares, procedimientos y metodologías de TI con requerimientos legales y regulatorios.

ME3.4. ASEGURAMIENTO POSITIVO DEL CUMPLIMIENTO: Obtener y reportar

garantía de cumplimiento y adhesión a todas las políticas internas derivadas de directivas internas o requerimientos legales externos, regulatorios o contractuales, confirmando que se ha tomado cualquier acción correctiva para resolver cualquier brecha de cumplimiento por

el dueño responsable del proceso de forma oportuna.

ME3.5. REPORTES INTEGRADOS: Integrar los reportes de TI sobre requerimientos legales, regulatorios y contractuales con las salidas similares provenientes de otras funciones del negocio.

DIRECTRICES GERENCIALES


83

MODELO DE MADUREZ

La administración del proceso de garantizar el cumplimiento con requerimientos externos que satisfagan el requerimiento de negocio de TI de asegurar el cumplimiento de las leyes,

regulaciones y requerimientos contractuales es:

O No Existe

1 Inicial / Ad Hoc

2 Repetible pero intuitivo

3 Definido

4 Administrado y medible

5 Optimizado

0 No Existe cuando


84

Existe poca conciencia respecto a los requerimientos externos que afectan a TI, sin

procesos referentes al cumplimiento de requisitos regulatorios, legales y contractuales.

1 Inicial / Ad Hoc cuando Existe conciencia de los requisitos de cumplimiento regulatorio, contractual y legal que tienen impacto en la organización. Se siguen procesos informales para mantener el

cumplimiento, pero solo si la necesidad surge en nuevos proyectos o como respuesta a auditorias o revisiones.

2 Repetible pero intuitivo cuando Existe el entendimiento de la necesidad de cumplir con los requerimientos externos y la

necesidad se comunica. En los casos en que el cumplimiento se ha convertido en un requerimiento recurrente, como en los requerimientos financieros o en la legislación de

privacidad, se han desarrollados procedimientos individuales de cumplimiento y se siguen año a año. No existe, sin embargo, un enfoque estándar. Hay mucha confianza en el conocimiento y responsabilidad de los individuos, y los errores son posibles. Se brinda

entrenamiento informal respecto a los requerimientos externos y a los temas de cumplimiento.

3. Definido cuando Se ha desarrollado, documentado y comunicado políticas, procedimientos y procesos, para

garantizar el cumplimiento de los reglamentos y de las obligaciones contractuales y legales, pero algunas quizá no se sigan y algunas quizá estén desactualizadas o sean poco prácticas

de implementar. Se realiza poco monitoreo y existen requisitos de cumplimiento que no han sido resueltos. Se brinda entrenamiento sobre requisitos legales y regulatorios externos que afectan a la organización y se instruye respecto a los procesos de cumplimiento definidos.

Existen contratos pro forma y procesos legales estándares para minimizar los riesgos asociados con las obligaciones contractuales.

4. Administrado y Medible cuando Existe un entendimiento completo de los eventos y de la exposición a requerimientos

externos, y la necesidad de asegurar el cumplimiento a todos los niveles. Existe un esquema formal de entrenamiento que asegura que todo el equipo esté consciente de sus obligaciones

de cumplimiento. Las responsabilidades son claras y se entiende el empoderamiento de los procesos. El proceso incluye una revisión del entorno para identificar requerimientos externos y cambios recurrentes. Existe un mecanismo implantado para monitorear el no

cumplimiento de los requisitos externos, reforzar las prácticas internas e implementar acciones correctivas. Los eventos de no cumplimiento se analizan de forma estándar en

busca de las causas raíz, con el objetivo de identificar soluciones sostenibles. Buenas prácticas internas estandarizadas se usan para necesidades específicas tales como reglamentos vigentes y contratos recurrentes de servicio,

5 Optimizado cuando

Existe un proceso bien organizado, eficiente e implantado para cumplir con los requerimientos externos, basado en una sola función central que brinda orientación y coordinación s toda la organización. Hay un amplio conocimiento de los requerimientos

externos aplicables, incluyendo sus tendencias futuras y cambios anticipados, así como la


85

necesidad de nuevas soluciones. La organización participa en discusiones externas con

grupos regulatorios y de la industria para entender e influenciar los requerimientos externos, y esto ocasiona que haya muy pocos casos de excepciones de cumplimiento.

Existe un sistema central de rastreo para toda la organización que permite a la gerencia documentar el flujo de trabajo, medir y mejorar la calidad y efectividad del proceso de monitoreo del cumplimiento. Un proceso externo de auto-evaluación de requerimientos

existe y se ha refinado hasta alcanzar el nivel de buena práctica. El estilo y la cultura administrativa de la organización referente al cumplimiento es suficientemente fuerte, y se

elaboran los procesos suficientemente bien para que el entrenamiento se limite al nuevo personal y siempre que ocurra un cambio significativo.

ME4 PROPORCIONAR GOBIERNO DE TI

OBJETIVOS

Establecer los parámetros para el desarrollo del gobierno de TI, a partir de la visión

global de la organización y los objetivos empresariales

Alinear las metas de negocio con las metas de TI, para establecer estrategias que

garanticen la buena comunicación entre las necesidades del negocio y los recursos

destinados para suplirlas.

Realizar una buena gestión en cuanto a los programas de inversión a desarrollar por

la organización y la administración de los recursos existentes en ella.

Realizar una buena administración de los riesgos para minimizar su impacto en la

organización

Evaluar el desempeño en cuanto al cumplimiento de los objetivos organizacionales.


86

ALCANCE

Se desea evaluar la calidad en el gobierno de TI manejado desde la organización, para controlar el uso de los recursos y su aporte al cumplimiento de los objetivos del negocio, además de la comunicación existente entre los diferentes procesos.


87

4. Modelos de madurez para el Control Interno 4.1 Enlaces de las metas de negocio a procesos de

TI 4.2 Enlaces de las metas de TI a procesos de TI 4.3 Matriz de procesos de TI a Metas de TI

Mapa de procesos de TI a las áreas focales de Gobierno de TI, COSO, Recursos de TI de COBIT y Criterios de información de COBIT.

UNIDAD IV


88

Los Modelos de Madurez para el Control Interno de COBIT


89


90


91

CONCLUSIONES

Las decisiones de negocio están basadas en la información oportuna, relevante y concisa.

Expresamente diseñado para directores ejecutivos embutidos de tiempo y gerentes, COBIT consiste en una descripción ejecutiva que proporciona una conciencia cuidadosa y el entendimiento de los conceptos claves del COBIT y principios. que proporciona un

entendimiento más detallado de estos conceptos y principios, identificando los cuatro dominios del COBIT (la Planificación y la Organización, la Adquisición y la Puesta en

práctica, la Entrega y el Apoyo, la Supervisión) y 34 procesos de TI.

Una organización acertada es construida sobre un marco sólido de datos e información. El

Marco explica como los procesos de TI entregan la información que el negocio tiene que alcanzar sus objetivos. Esta entrega es controlada por 34 objetivos de control de alto nivel,

un para cada proceso de TI, contenida en los cuatro dominios. El Marco se identifica cuál de los siete criterios de la información (la eficacia, la eficacia, la confidencialidad, la integridad, la disponibilidad, el cumplimiento y la fiabilidad), así como que recursos TI (la

gente, usos, tecnología, instalaciones y datos) son importantes para los procesos de TI para totalmente apoyar el objetivo de negocio.-

La llave al mantenimiento de la rentabilidad en un ambiente que se cambia tecnológicamente es como bien usted mantiene el control. Los Objetivos de Control del

COBIT proveen la perspicacia (idea) crítica tuvo que delinear una práctica clara de política y buena para mandos de TI. Incluido son las declaraciones de resultados deseados u

objetivos para ser alcanzados por poniendo en práctica los 215 objetivos de control específicos, detallados en todas partes de los 34 procesos de TI.

RECOMENDACIONES

COBIT se debe aplicar a los sistemas de información de toda la empresa,

incluyendo las computadoras personales, mini computadoras y ambientes

distribuidos.

El enfoque del control en TI se llevara a cabo visualizando la información necesaria

para dar soporte a los procesos de negocio y considerando a la información como el

resultado de la aplicación.

Puede ser utilizado dentro de las empresas por el responsable de un proceso de

negocio en su responsabilidad de controlar los aspectos de información del proceso,

y por todos aquellos con responsabilidades en el campo de la TI en las empresas.

COMENTARIO

Está basado en procesos y se enfoca fuertemente en el control y menos en la ejecución, es decir, indica qué se debe conseguir sin focalizarse en el cómo, Aplicar un único marco de

http://www.monografias.com/trabajos901/evolucion-historica-concepciones-tiempo/evolucion-historica-concepciones-tiempo.shtml

http://www.monografias.com/trabajos11/estacon/estacon.shtml

http://www.monografias.com/trabajos6/etic/etic.shtml

http://www.monografias.com/trabajos34/planificacion/planificacion.shtml

http://www.monografias.com/trabajos6/napro/napro.shtml

http://www.monografias.com/trabajos11/basda/basda.shtml

http://www.monografias.com/trabajos14/administ-procesos/administ-procesos.shtml#PROCE

http://www.monografias.com/trabajos16/objetivos-educacion/objetivos-educacion.shtml

http://www.monografias.com/trabajos15/mantenimiento-industrial/mantenimiento-industrial.shtml

http://www.monografias.com/trabajos12/rentypro/rentypro.shtml#ANALIS

http://www.monografias.com/trabajos15/medio-ambiente-venezuela/medio-ambiente-venezuela.shtml

http://www.monografias.com/trabajos901/praxis-critica-tesis-doctoral-marx/praxis-critica-tesis-doctoral-marx.shtml


92

trabajo integrado. Este cubre todas las necesidades y se integra con otros marcos y buenas

prácticas, de forma que puede ser utilizado como marco general. Proporciona una visión empresarial I que tiene a la tecnología y a la información como

protagonistas en la creación de valor para las empresas. Puede ayudar a las empresas a reducir sus perfiles de riesgo a través de la adecuada administración de la seguridad. La información específica y las tecnologías relacionadas son cada vez más esenciales para las

organizaciones, pero la seguridad de la información es esencial para la confianza de los accionistas”


93

GLOSARIO

Análisis Costo / Beneficio

Es aquel que da a la gerencia de SI un análisis del costo de la implementación del software y los beneficios que surgen del software propuesto.

Areas de Oportunidad Son aquellas que detectan todas las circunstancias que facilitarán la implantación de soluciones y que tendrán un impacto relevante en alguna

función del negocio.

Aseguramiento de la Calidad Es aquello que asegura el cumplimiento de los estándares predefinidos y los requerimientos corporativos.

Auditar

Es una actividad informática que requiere un determinado desempeño profesional para cumplir unos objetivos precisos.

Auditoría

Es un control selectivo, efectuado por un grupo independiente del sistema a auditar, con el objetivo de obtener información suficiente para evaluar el funcionamiento del sistema bajo análisis.

Auditoría Contable

Está diseñada para evaluar la exactitud de los estados o registros contables.

Auditoría del Desarrollo Es aquella que tratará de verificar la existencia y aplicación de

procedimientos de control adecuados que permitan garantizar que el desarrollo de SI se ha llevado a cabo según estos principios de ingeniería, o por el contrario, determinar las deficiencias existentes en este sentido.

Auditoría Externa Es aquella que es realizada por personas ajenas a la empresa auditada.

Auditoría Global

Es aquella que combina tanto pasos de auditoría contables como operativas. Auditoría Informática


94

Es un proceso formal ejecutado por los especialistas del área de auditoría y

de informática, el cual se orienta a la verificación y aseguramiento de que las políticas y procedimientos establecidos para el manejo y uso adecuado de la

TI en la organización se lleven a cabo de una manera oportuna y eficiente. Auditoría Interna

Es aquella que es realizada con recursos materiales y personas que

pertenecen a la Empresa auditada.

Auditoría Operativa Está diseñada para evaluar la estructura de control interno en un área determinada.

Calidad

Es la propiedad o conjunto de propiedades inherentes a una cosa que permiten apreciarla como igual, mejor o peor que las restantes de su especie.

Calidad de Software Es la concordancia con los requerimientos funcionales y de rendimiento

explícitamente establecidos, con los estándares de desarrollo explícitamente documentados y con las características implícitas que se esperan de todo software desarrollado profesionalmente.

Confidencialidad

Es aquello que se cumple cuando sólo las personas autorizadas pueden conocer los datos o la información correspondiente.

Comité de Informática Es el lugar en que se debaten los grandes asuntos de la informática que

afectan a toda la empresa y permite a los usuarios conocer las necesidades del conjunto de la organización y participar en la fijación de prioridades.

Control de Calidad Es aquello que asegura que las prestaciones son exactas y apropiadas sobre

el servicio o producto.

Controles Correctivos

Son aquellos que corrigen errores, omisiones o actos maliciosos una vez detectados (pe. Verificación de la fechas de las facturas)

Controles de Detección Son aquellos que detectan que se ha producido un error, omisión o acto

malicioso e informan de su aparición (pe. Impresión del registro histórico (log))

Controles Generales


95

Son controles interdependientes válidos para todas las áreas de la

organización.

Controles Preventivos Son aquellos controles diseñados para evitar que se produzca un error, omisión o acto malicioso. (pe. Software de control de acceso)

Disponibilidad

Es aquello que se alcanza si las personas autorizadas pueden acceder a tiempo a la información a la que estén autorizadas.

Documentación de Auditoría de SI Es el registro del trabajo de auditoría realizado y la evidencia que respalda

los hallazgos y conclusiones del auditor.

Eficacia

Es aquello que permite que una cosa sea eficaz.

Eficiencia

Conjunto de atributos que se refieren a las relaciones entre el nivel de rendimiento del software y la cantidad de recursos utilizados bajo unas

condiciones predefinidas. Estándar

Es toda regla aprobada o práctica requerida para el control de la performance técnica y de los métodos utilizados por el personal involucrado en el Planeamiento y Análisis de los Sistemas de Información.

Evaluación

Es el proceso de recolección y análisis de información, y a partir de ella presentar las recomendaciones que facilitarán la toma de decisiones.

Elemento del modelo Es un elemento que es una abstracción destacada del sistema que está siendo

modelado. Evaluación de Riesgo

Es el proceso utilizado para identificar y evaluar riesgos y su impacto potencial.

Evidencia

Es toda información que utiliza el AI para determinar si el ente o los datos

auditados siguen los criterios u objetivos de la auditoría.

Fiabilidad


96

Es el conjunto de atributos que se refieren a la capacidad del software de

mantener su nivel de rendimiento bajo unas condiciones especificadas durante un período definido.

Fiduciario Es aquello que equivale a requerimientos de información.

Funcionalidad

Es el conjunto de atributos que se refieren a la existencia de un conjunto de funciones y sus propiedades específicas.

Herramienta Es el conjunto de elementos físicos utilizados para llevar a cabo las acciones

y pasos definidos en la técnica.

Herramienta de Control

Son elementos de software que permiten definir uno o varios procedimientos de control para cumplir una normativa y un objetivo de control.

Herramientas de Software de Auditoría

Son programas computarizados que pueden utilizarse para brindar

información para uso de auditoría.

Informe de Auditoría Es el producto final del Auditor de SI y un medio formal de comunicar los objetivos de la auditoría, el cuerpo de las normas de auditoría que se

utilizan, el alcance de auditoría, y los hallazgos y conclusiones.

Integridad Consiste en que sólo los usuarios autorizados puedan variar los datos.

Irregualridades Son las violaciones intencionales a una política gerencial establecida

declaraciones falsas deliberadas u omisión de información del área auditada o la organización.

Legalidad

Es la calidad legal de la información existente.

Metodología Es un conjunto de etapas formalmente estructuradas, de manera que brinden a los interesados los siguientes parámetros de acción en el desarrollo de sus

proyectos: plan general y detallado, tareas y acciones, tiempos, aseguramiento de la calidad, involucrados, etapas, revisiones de avance,

responsables, recursos requeridos, etc

Muestreo Estadístico


97

Es un método objetivo para determinar el tamaño de la muestra y los

criterios de selección.

Normativa Es aquello que debe definir de forma clara y precisa todo lo que debe existir y ser cumplido, tanto desde el punto de vista conceptual, como práctico,

desde lo general a lo particular.

Objetivo de Control Son declaraciones sobre el resultado final deseado o propósito a ser alcanzado mediante las protecciones y los procedimientos de control. Son

los objetivos a cumplir en el control de procesos.

Ofimática Es el sistema informatizado que genera, procesa, almacena, recupera, comunica y presenta datos relacionados con el funcionamiento de la oficina.

Outsourcing

Es un contrato a largo plazo de un sistema de información o proceso de negocios a un proveedor de servicios externos.

Prioridad Son las acciones que deben llevarse a cabo antes que las demás sugeridas

para el proyecto. Procedimientos de Control

Son los procedimientos operativos de las distintas áreas de la empresa, obtenidos con una metodología apropiada, para la consecución de uno o

varios objetivos de control, y por tanto deben estar documentados y aprobados por la Dirección.

Procedimientos Generales de Auditoría Son los pasos básicos en la realización de una auditoría.

Proceso de Desarrollo de Sistemas

Es el enfoque utilizado para planificar, diseñar, probar, documentar e

implantar un sistema de aplicación.

Programa de Auditoría Es un conjunto documentado de procedimientos de auditoría diseñados para alcanzar los objetivos de auditoría planificados.

Pruebas de Cumplimiento

Son aquellas que proporcionan evidencia de que los controles claves existen y que son aplicables efectiva y uniformente.

Pruebas Sustantivas


98

Son aquellas que implican el estudio y evaluación de la información por

medio de comparaciones con otros datos relevantes.

Quality Assurance Son todas aquellas acciones planeadas, necesarias para poner la confidencia adecuada o la seguridad, que un producto o servicio cumplirá con calidad los

requerimientos dados.

Quality Control Son las técnicas y actividades operativas que se utilizan para verificar la calidad de los requerimientos.

Quality System

Es la estructura de la Organización, responsabilidades, procedimientos, procesos y recursos que implementan el manejo de la calidad.

Restricciones Son los hechos o circunstancias que están ocurriendo o que pueden ocurrir

en el transcurso de la Auditoría y que van a afectar directa o indirectamente al proyecto.

Resumen Ejecutivo Es un informe de fácil lectura, gramaticalmente correcto y breve que

presenta los hallazgos a la gerencia en forma comprensible. Riesgo

Es la posibilidad de que ocurra un hecho o suceso que pueda tener efecto adverso sobre la organización y sus sistemas de información.

Riesgo de Control

Es el riesgo que los sistemas de control en vigencia no puedan detectar o

evitar errores o irregularidades significativas en forma oportuna.

Riesgo de Detección Es el riesgo que a través de la labor de auditoría no se detecten errores o irregularidades significativas en el caso que existiesen y no hubiesen sido

prevenidos o detectados por los sistemas de control.

Riesgo del Negocio Son aquellos riesgos que pueden afectar la viabilidad a largo plazo de un determinado negocio o de la empresa en su conjunto.

Riesgo Global de Auditoría

Es la combinación de categorías individuales de riesgos de auditoría evaluados para cada objetivo de control individual específico.

Riesgo Inherente


99

Es la susceptibilidad a errores o irregularidades significativas, antes de

considerar la efectividad de los sistemas de control.

Sistema de Aplicación Es un conjunto integrado de programas de computación diseñados para determinada función que tiene actividades específicas de entrada,

procesamiento y salida.

Software de Auditoría Son paquetes que pueden emplearse para facilitar la labor del auditor.

Técnica Son el conjunto de pasos ordenados lógicamente para apoyarse en la

terminación (cómo hacerlo) de todas las acciones o tareas estimadas en el proyecto emanado de la metodología.

Técnica de Sistemas Es la actividad a desempeñar para instalar y mantener en adecuado orden de

utilización la infraestructura informática. Usabilidad

Es el conjunto de atributos que se refieren al esfuerzo necesario para usarlo, y sobre la valoración individual de tal uso, por un conjunto de usuarios de

usuarios definidos o implícitos. Vulnerabilidad

Es la situación creada, por falta de uno o varios controles, con lo que la amenaza pudiera acaecer y así afectar al entorno informático.


100

BIBLIOGRAFIA

http://es.wikipedia.org/wiki/Objetivos_de_control_para_la_informaci%C3%B3n_y

_tecnolog%C3%ADas_relacionadas eguinfo.wordpress.com/2009/07/28/cobit-4-1-en-espanol/

http://cntec.mx/cursos/105-cobit.html

http://redyseguridad.fip.unam.mx/proyectos/cobit/secion_informativa/pdfscobit/marco_de_trabajo.pdfç

http://www.crisoltic.com/2012/04/cobit-5-que-hay-de-nuevo.html

http://es.wikipedia.org/wiki/Objetivos_de_control_para_la_informaci%C3%B3n_y

_tecnolog%C3%ADas_relacionadas

http://ds5-andre-ortega-5a.host56.com/historia.html



http://es.wikipedia.org/wiki/Objetivos_de_control_para_la_informaci%C3%B3n_y_tecnolog%C3%ADas_relacionadas

eguinfo.wordpress.com/2009/07/28/cobit-4-1-en-espanol/ http://cntec.mx/cursos/105-cobit.html



http://www.isaca.org/About-ISACA/Press-room/News-

Releases/Spanish/Pages/ISACA-tiene-ya-disponible-la-version-en-espanol-de-

COBIT-5.aspx

http://www.isaca.org/spanish/Pages/default.aspx

http://es.pdfsb.com/cobit+5



















http://www.isaca.org/About-ISACA/Press-room/News-Releases/Spanish/Pages/ISACA-tiene-ya-disponible-la-version-en-espanol-de-COBIT-5.aspx



http://www.isaca.org/spanish/Pages/default.aspx

http://es.pdfsb.com/cobit+5


101

REACTIVOS

MARCO DE TRABAJO DE CONTROL PARA EL GOBIERNO DE TI

1. SELECCIONE LAS RESPUETA CORRECTA

1.1. ¿Cuál es el objetivo principal de marco referencial de COBIT?

1.1.1. Es investigar, desarrollar y promocionar un conjunto de objetivos de control

para las tecnologías de la información para el uso del día a día de los gestores de

negocios (directivos y auditores)

1.1.2. Compre actividades que se deben realizar para observar y analizar experiencias

o fenómenos relacionados con un problema de investigación

1.1.3. Es un grupo de conceptos y teorías que se utilizan para formular y desarrollar

un , se refieren a las ideas básicas que forman la base para los argumentos

2. ¿Qué función cumple el marco de trabajo de control COBIT?

2.1. Orientar a los negocios, procesos, basado en controles e impulsado por

mediciones.

2.2.La dirección espera un alto entendimiento de la manera en que la tecnología de

información (TI) es operada y de la posibilidad de que sea aprovechada con éxito

para tener una ventaja competitiva.

2.3.Coordinar los esfuerzos así como las actividades para lograr el cumplimiento de la misión de una organización

3. ¿Indique por qué se debe utilizar un marco de referencia?

Reconozca de forma apropiada las oportunidades y actúe de acuerdo a ellas.

Alinear la estrategia de TI con la estrategia del negocio Lograr que toda la estrategia de TI, así como las metas fluyan de forma gradual a

toda la empresa

Proporcionar estructuras organizacionales que faciliten la implementación de estrategias y metas

Crear relaciones constructivas y comunicaciones efectivas entre el negocio y TI, y con socios externos

Medir el desempeño de TI

4. ¿Indique Para que sirve un marco de referencia?

Brindar un enfoque de negocios que permita la alineación entre los objetivos de

negocio y de TI.


102

Establecer una orientación a procesos para definir el alcance y el grado de

cobertura, con una estructura definida que permita una fácil navegación en el contenido.

Ser generalmente aceptable al ser consistente con las mejores prácticas y estándares de TI aceptados, y que sea independiente de tecnologías específicas.

SELECCIONE LAS RESPUETA CORRECTA

5. ¿Cuáles son los principios básicos de COBIT?

5.1.Requerimientos de información, Procesos de Tecnologías de Información, Recursos

de Tecnologías de Información y Criterios de información

5.2.La efectividad, eficiencia, confidencialidad e integridad

5.3.Aplicaciones, información, infraestructura y personas

6. ¿Cuáles son los dominios o proceso de las tecnologías de información? 6.1.Confidencialidad. Integridad, disponibilidad y cumplimiento regulatorio.

6.2.Planificación y Organización, adquisición e Implementación, entrega y Soporte y Supervisión y Evaluación.

6.3.Requisitos de negocio, requisitos de gobierno y servicios de la información

7. ¿Qué función cumple el dominio de planear y organizar PO?

7.1.Permite llevar a cabo la estrategia de TI, las soluciones de TI necesitan ser identificadas, desarrolladas o adquiridas y posteriormente implementadas e integradas en los procesos del negocio

7.2.Cubre las estrategias y las tácticas, y tiene que ver con identificar la manera en que TI puede contribuir de la mejor manera al logro de los objetivos del negocio

7.3.Se encarga de evaluar de forma regular en el tiempo en cuanto a su calidad y cumplimiento de los requerimientos de control, este dominio abarca la administración del desempeño

8. ¿Qué es un modelo de madurez?

Un conjunto de las mejores prácticas que cubre el ciclo de vida de un producto, permite medir la madurez de los procesos a través del “Process Capability Model”, basado en el estándar internacionalmente reconocido.

PLANEAR Y ORGANIZAR


103

1. CUANTOS PROCESOS HAY PARA LA PLANIFICACION Y

ORGANIZACIÓN

a) Cinco

b) diez

c) ocho

2. QUE ES EL PLAN ESTRATEGICO

Lograr un balance óptimo entre las oportunidades de tecnología de información y los requerimientos de TI de negocio, para asegurar sus logros futuros.

3. QUE ES DEFINIR LOS PROCESOS, ORGANIZACIÓN Y RELACIONES

TI.

Agiliza la respuesta a las estrategias del negocio mientras se cumplan los

requerimientos del gobierno. Enfocado al El establecimiento de estructuras organizacionales de TI transparentes,

flexibles y responsables y en la definición e implementación de procesos de TI.

4. QUE SIGNIFICA COMUNICAR LAS ASPIRACIONES Y LA DIRECCION

DE LA GERENCIA?

Se debe implementar un programa de comunicación continua para dar a conocer la misión, los objetivos de servicio, políticas y procedimientos aprobados y apoyados por la dirección.

5. QUE ES ADMINISTRACIÓN DE PROYECTOS?

Coordinación de todos los proyectos y Programas de TI que se han establecido

incluir un Plan Maestro de Recursos Asegurar y Garantizar la Calidad y Definición de un Plan Formal.

COBIT ADQUIRIR E IMPLEMENTAR

Marque con una X la respuesta correcta

1.- Cuál de estos enunciados no corresponde al capítulo Adquirir e Implementar

----------- Identificar soluciones automatizadas ----------- Adquirir y mantener software

----------- Adquirir y mantener infraestructura tecnológica ----------- Facilitar la operación y el uso -----X---- Determinar la Dirección Tecnológica

2.- Ponga Verdadero o falso según corresponda


104

ADQUIRIR Y MANTENER SOFTWARE APLICATIVO.- La necesidad de una nueva

aplicación o función requiere de análisis antes de la compra o desarrollo para garantizar…….F…….

ADQUIRIR Y MANTENER INFRAESTRUCTURA TECNOLÓGICA.- Las organizaciones deben contar con procesos para adquirir, implementar y actualizar la

infraestructura tecnológica…….V……..

FACILITAR LA OPERACIÓN Y EL USO.- Este proceso requiere la generación de documentación y manuales para usuarios y para TI……V…….

3.- Una según sea uno de sus objetivos

INSTALAR Y ACREDITAR SOLUCIONES Y CAMBIOS CAMBIOS DE EMERGENCIA, CIERRE Y

DOCUMENTACIÓN DEL CAMBIO

ADMINISTRAR CAMBIOS ENTRENAMIENTO,

PLAN DE PRUEBA, PLAN DE IMPLANTACIÓN FACILITAR LA OPERACIÓN Y EL USO

TRANSFERENCIA DE CONOCIMIENTO A USUARIOS FINALES .

4.- ¿Cuál sería el orden correcto? Elija una de las opciones

a) Instalar y acreditar soluciones y cambios

b) Adquirir y mantener infraestructura tecnológica

c) Facilitar la operación y el uso

d) Adquirir recursos de TI

e) Identificar soluciones automatizadas

f) Administrar cambios

g) Adquirir y mantener software

1.-e, g, b, c, d, f, a

2.-a, b, c, d, e, f, g 3.-c, a, f, g, e, b, d

5.- Ponga el numeral correcto en su respectiva descripción

1. AI1 Identificar soluciones automatizadas

2. AI2 Adquirir y mantener software

3. AI3 Adquirir y mantener infraestructura tecnológica

4. AI4 Facilitar la operación y el uso


105

5. AI5 Adquirir recursos de TI

6. AI6 Administrar cambios

7. AI7 Instalar y acreditar soluciones y cambios

--------7-------- Los nuevos sistemas necesitan estar funcionales una vez que su desarrollo se completa. …….…6……….. Se deben suministrar recursos TI, incluyendo personas, hardware,

software y servicios. ……….2……….. Las aplicaciones deben estra disponibles de acuerdo con los

requerimientos del negocio.

DOMINIO ENTREGAR Y DAR SOPORTE

1. QUÉ SON LOS SISTEMAS DE INFORMACIÓN Y PARA QUÉ SIRVEN?

Los sistemas de información son herramientas tecnológicas que facilitan la ordenación, sistematización y canalización de la información que emplea una organización en base a los objetivos estratégicos de la misma. Los sistemas de información se estructuran a partir de

un Plan. Dicho plan se desglosa en programas y proyectos tecnológicos que se realizan en fases, de acuerdo a los objetivos

estratégicos y las necesidades de la organización, adaptándose, a la vez, a los recursos disponibles.

2. Quienes pueden ser usuarios de COBIT

a) La gerencia.

b) Los usuarios finales

c) Los auditores

d) Los responsables de TI

e) Organismos estatales de control

3. LA ADMINISTRACION DE LA BASE DE DATOS ES UNA

RESPONSABILIDAD DE:

a. Dirección empresa

b. Unidad de Operaciones c. Unidad de desarrollo de sistemas

d. Grupo de mantenimiento de sistemas

4. Que aspectos se toman en cuenta en este proceso Entregar y dar Soporte

Acuerdos o convenios formales


106

Definición de responsabilidades

Tiempos y volúmenes de respuesta

Cargos

Garantías de integridad.

Acuerdos de confidencialidad

5. Responda con verdadero o falso

a) Los objetivos de control del DS1 son integración de los sistemas de cambio (F)

b) Los objetivos de DS 2 son monitoreo del desempeño del proveedor, administración de riesgos del proveedor identificación de relaciones con todos los proveedores

(V)

RESEÑA HISTORICA

VERDADERO O FALSO

1. El proyecto COBIT se emprendió por primera vez en el año 1995 (V)

2. El fin del COBIT es el de crear un mayor producto global que pudiese tener un

impacto duradero sobre el campo de visión de los negocios (V)

3. La primera edición del COBIT, fue publicada en 1996 y la segunda edición en el

año 2000. (F)

ESCOJA LA OPCION CORRECTA

4. La primera edición del COBIT, fue vendida en:

- 32 Países

- 96 Países

- 98 Países

5. El enfoque hacia procesos de COBIT se ilustra con un modelo de procesos, el cual

subdivide en:


107

- 34 procesos

- 24 procesos

- 36 procesos

COBIT 5

PREGUNTAS

1. Cuál es el Propósito de COBIT 5?

COBIT fue creado para ayudar a las organizaciones a obtener el valor óptimo de TI manteniendo un balance entre la realización de beneficios, la utilización de recursos y los

niveles de riesgo asumidos. 2. Elabore un gráfico con los principios de COBIT 5


f) La gerencia.

g) Los usuarios finales

h) Los auditores

i) Los responsables de TI

j) Organismos estatales de control


108

“TERMINOLOGÍA”

1- Conteste verdadero (v) o falso (f)

Cliente es una persona o una entidad externa o interna que recibe los servicios

empresariales de TI…………… (v)

2- Señale la respuesta correcta control interno es:

Procedimientos, prácticas y estructuras organizacionales diseñadas para brindar una

garantía razonable de que los objetivos del negocio.

Evaluar el estado de los controles internos de los proveedores de servicios externos.

3- Una según corresponda:

Dominio

Estándar

4- ¿Qué significa ITIL?

Significa: Librería de Infraestructura de TI de la Oficina de Gobierno Gubernamental del Reino Unido.

5- Una correctamente:

“Resumen Ejecutivo de COBIT”

Agrupación de objetivos de control en etapas lógicas en

el ciclo de vida de inversión en TI

Una práctica de negocio o producto tecnológico que es

una práctica aceptada, avalada por la empresa o por el equipo gerencial de TI

Un estándar para medir el desempeño contra la meta

es:

Matriz RACI

Métrica


109

1. ¿Qué beneficios arrojan la información y la tecnología para las

organizaciones?

• Mantener información de calidad para apoyar las decisiones del negocio.

• Generar un valor comercial de las inversiones habilitadas por la (TI)

• Lograr una excelencia operativa mediante la aplicación eficiente y fiable de la

tecnología.

2. ¿Cómo se logran estos beneficios con el fin de crear valor para las partes

interesadas de la organización?

Para lograr valor para las partes interesadas de la Organización, se requiere un buen

gobierno y una buena administración de los activos de TI y de la información.

Los Directivos, Gerentes y Ejecutivos de las Organizaciones deben acoger la TI

como cualquier otra parte importante del negocio.

3. ¿Enumere las 5 áreas de enfoque del Gobierno de TI?

Alineación estratégica

Entrega de valor

Administración de recursos

Administración de riesgos

Medición del desempeño

4. ¿En qué consiste el Alineamiento estratégico?

Se enfoca en asegurar el enlace de los planes del negocio y de TI; en definir, mantener y validar la proposición de valor de TI y en alinear las operaciones de TI con las operaciones

de la empresa

5. Mencione 3 beneficios de implementar COBIT

Mejor alineación, con base en su enfoque de negocios

Una visión, entendible para la gerencia, de lo que hace TI

Propiedad y responsabilidades claras, con base en su orientación a procesos

CUESTIONARIO CAPITULO 3

CAPÍTULO 3.6 Monitorear y Evaluar


110

1- QUE GARANTIZA EL ENFOQUE DEL MONITOREO

Garantizar que la gerencia establezca un marco de trabajo de monitoreo general y un enfoque que definan el alcance, la metodología y el proceso a seguir para monitorear la

contribución de TI a los resultados de los procesos de administración de programas y de administración del portafolio empresarial y aquellos procesos que son específicos para la entrega de la capacidad y los servicios de TI.

2- QUE DEBEN INCLUIR LOS INDICADORES DE DESEMPEÑO

La contribución al negocio que incluya, pero que no se limite a, la información financiera

Desempeño contra el plan estratégico del negocio y de TI

Riesgo y cumplimiento de las regulaciones Satisfacción del usuario interno y externo Procesos clave de TI que incluyan desarrollo y entrega del servicios

3- OBJETIVOS DE CONTROL INTERNO

Monitoreo del Marco de Trabajo de Control Interno

Monitorear de forma continua, comparar y mejorar el ambiente de control de TI y el marco de trabajo de control de TI para satisfacer los objetivos organizacionales.

-Revisiones de Auditoria

Monitorear y evaluar la eficiencia y efectividad de los controles internos de revisión de la gerencia de TI.

Excepciones de Control

Identificar las excepciones de control, y analizar e identificar sus causas raíces subyacentes. Escalar las excepciones de control y reportar a los interesados apropiadamente. Establecer

acciones correctivas necesarias.

Control de Auto Evaluación

Evaluar la completitud y efectividad de los controles de gerencia sobre los procesos, políticas y contratos de TI por medio de un programa continuo de auto-evaluación.

Aseguramiento del Control Interno

Obtener, según sea necesario, aseguramiento de la completitud y efectividad de los controles internos por medio de revisiones de terceros.

Control Interno para Terceros


111

Evaluar el estado de los controles internos de los proveedores de servicios externos.

Conformar que los proveedores de servicios externos cumplan con los requerimientos legales y regulatorios y obligaciones contractuales.

Acciones Correctivas

Identificar, iniciar, rastrear e implementar acciones correctivas derivadas de los controles de evaluación y los informes.

4- OBJETIVOS QUE PROPORCIONAN EL GOBIERNO DE LA TI

Alinear las metas de negocio con las metas de TI

Realizar una buena gestión

Realizar una buena administración de los riesgos para minimizar su impacto en la

organización

Evaluar el desempeño en cuanto al cumplimiento de los objetivos organizacionales.

5- ALCANCE DE LAS TI (TECNOLOGÍA DE LA INFORMACIÓN)

Se desea evaluar la calidad en el gobierno de TI manejado desde la organización, para controlar el uso de los recursos y su aporte al cumplimiento de los objetivos del negocio,

además de la comunicación existente entre los diferentes procesos.

PREGUNTAS

4. Cuál es el Propósito de COBIT 5?

COBIT fue creado para ayudar a las organizaciones a obtener el valor óptimo de TI manteniendo un balance entre la realización de beneficios, la utilización de recursos y los

niveles de riesgo asumidos. 5. Elabore un gráfico con los principios de COBIT 5


112


k) La gerencia.

l) Los usuarios finales

m) Los auditores

n) Los responsables de TI

o) Organismos estatales de control


113

COBIT 5

Misión

La misión de COBIT es "investigar, desarrollar, publicar y promocionar un conjunto de

objetivos de control generalmente aceptados para las tecnologías de la información que

sean autorizados (dados por alguien con autoridad), actualizados, e internacionales para el

uso del día a día de los gestores de negocios (también directivos) y auditores". Gestores,

auditores, y usuarios se benefician del desarrollo de COBIT porque les ayuda a entender

sus Sistemas de Información (o tecnologías de la información) y decidir el nivel de

seguridad y control que es necesario para proteger los activos de sus compañías mediante el

desarrollo de un modelo de administración de las tecnologías de la información.

¿Cuál es el propósito de COBIT?

COBIT fue creado para ayudar a las organizaciones a obtener el valor óptimo de TI

manteniendo un balance entre la realización de beneficios, la utilización de recursos y los

niveles de riesgo asumidos. COBIT 5 posibilita que TI sea gobernada y gestionada en

forma holística para toda la organización, tomando en consideración el negocio y áreas

funcionales de punta a punta así como los interesados internos y externos. COBIT 5 se

puede aplicar a organizaciones de todos los tamaños, tanto en el sector privado, público o

entidades sin fines de lucro.


114

¿Quién utiliza COBIT?

COBIT es empleado en todo el mundo por quienes tienen como responsabilidad primaria

los procesos de negocio y la tecnología, aquellos de quien depende la tecnología y la

información confiable, y los que proveen calidad, confiabilidad y control de TI.

¿Qué hay de la separación entre Gobierno y Gestión?

El gobierno asegura que los objetivos empresariales se logran evaluando las necesidades de

los accionistas, las condiciones y opciones; establecer la dirección a través de la

priorización y la toma de decisiones; y monitorear el desempeño, el cumplimiento y el

progreso versus la dirección y objetivos acordados (EDM, por Evaluar, Dirigir,

Monitorear).

Por su parte la gestión se ocupa de planificar, construir, ejecutar y monitorear las

actividades alineadas con la dirección establecida por el organismo de gobierno para el


115

logro de los objetivos empresariales (PBRM ó Planificar, Construir, Ejecutar y Monitorear,

por su sigla en inglés).

La siguiente imagen sintetiza muy bien estos dos conceptos, muchas veces confundidos:

¿Es COBIT 5 un modelo superior a otros modelos de control aceptados?

La mayoría de los ejecutivos conocen la importancia de los marcos generales de control en

relación con la responsabilidad fiduciaria, tales como COSO, Cadbury, CoCo, Sarbanes-

Oxley. Sin embargo, no necesariamente son conscientes del nivel de detalle de cada

uno. Por otro lado, los ejecutivos cada vez más conocen la importancia de guías técnicas

http://estratega.org/site/wp-content/uploads/COBIT-5-%E2%80%93-separaci%C3%B3n-entre-Gobierno-y-Gesti%C3%B3n.png


116

como ITIL (para la gestión de servicios de TI) e ISO 27001 (para seguridad de

información).

Si bien estos estándares y modelos enfatizan el control del negocio y la seguridad y servicio

de TI, COBIT es el único que se ocupa de los controles específicos de TI desde la

perspectiva del negocio. De hecho, COBIT 5 se basa en ISO/IEC 15504 e ITIL. No se

pretende que COBIT reemplace estos modelos de control, sino lo que se destacan son los

elementos de gobierno y gestión y las prácticas necesarias para crear valor para la

compañía.

¿Cuál es la forma más rápida y efectiva de presentar COBIT a los ejecutivos?

La cultura empresarial es de vital importancia. Una cultura proactiva será más receptiva

que una que no lo es. Sin embargo, hay que considerar el énfasis que COBIT hace en la

creación de valor para el accionista por estar guiado por los objetivos del negocio, la

alineación con estándares internacionales reconocidos y su simplicidad. Las áreas de

gobierno y gestión emanan de tan sólo 5 principios y 7 habilitadores.


117

USUARIOS DE COBIT

LA GERENCIA.- Apoya a decisiones de inversión en TI sobre su desempeño,

balanceo del riesgo y el control de la inversión en un ambiente a menudo

impredecible.

LOS USUARIOS FINALES.- Obtienen una garantía sobre el control y seguridad

de los productos que adquieren interna y externamente.

LOS AUDITORES.- Soportar sus opiniones sobre los controles de los proyectos

de TI su impacto en la organización y determinar el control mínimo requerido.

LOS REPONSABLES DE TI.- Para identificar a los controles que requieren en

sus áreas.

ORGANISMOS ESTATALES DE CONTROL.- Para saber qué es lo mínimo

que pueden exigir.


118

INTRODUCCIÓN:

Objetivos de Control para la Información y Tecnologías Relacionadas ( COBIT ) es un

marco creado por ISACA para la tecnología de la información (TI) y el gobierno de TI . Se

trata de un conjunto de herramientas de apoyo que permite a los administradores de cerrar

la brecha entre las necesidades de control, cuestiones técnicas y riesgos de negocio.

La Información constituye un Recurso Clave para todas las organizaciones.

La Información se crea, usa, retiene, divulga y destruye.

La Tecnología juega un Papel Clave en esas actividades.

La Tecnología se está convirtiendo en parte integral de todos los aspectos de la vida

personal y comercial.

¿QUÉ BENEFICIOS ARROJAN LA INFORMACIÓN Y LA TECNOLOGÍA PARA

LAS ORGANIZACIONES?

Las organizaciones y sus ejecutivos están haciendo esfuerzos para:

Mantener información de calidad para apoyar las decisiones del negocio.

http://en.wikipedia.org/wiki/ISACA

http://en.wikipedia.org/wiki/Information_technology_management

http://en.wikipedia.org/wiki/Corporate_governance_of_information_technology


119

Generar un valor comercial de las inversiones habilitadas por la Tecnología de la

Información (TI), o sea: lograr metas estratégicas y mejoras al negocio mediante el

uso eficaz e innovador de la TI.

Lograr una excelencia operativa mediante la aplicación eficiente y fiable de la

tecnología.

Mantener el riesgo relacionado con TI a niveles aceptables.

Optimizar el costo de la tecnología y los servicios de TI.

¿CÓMO SE LOGRAN ESTOS BENEFICIOS CON EL FIN DE CREAR VALOR

PARA LAS PARTES INTERESADAS DE LA ORGANIZACIÓN?

Valor para las Partes Interesadas

Para lograr valor para las partes interesadas de la Organización, se requiere un buen

gobierno y una buena administración de los activos de TI y de la información.

Los Directivos, Gerentes y Ejecutivos de las Organizaciones deben acoger la TI

como cualquier otra parte importante del negocio.

Cada día aumentan y se complican más los requisitos externos, tanto legales como

de cumplimiento regulatorio y contractual, relacionados con el uso de la

información y la tecnología en la Organización, amenazando el patrimonio si no se

cumplen.

COBIT5 proporciona un marco integral que ayuda a las Organizaciones a lograr sus

metas y entregar valor mediante un gobierno y una administración efectivos de la TI

de la Organización.

EL MARCO DE COBIT 5

Dicho en pocas palabras, COBIT 5 ayuda a las Organizaciones a crear un valor óptimo a

partir de la TI, al mantener un equilibrio entre la realización de beneficios y la optimización

de los niveles de riesgo y utilización de los recursos.

COBIT 5 permite que las tecnologías de la información y relacionadas se gobiernen y

administren de una manera holística a nivel de toda la Organización, incluyendo el alcance


120

completo de todas las áreas de responsabilidad funcionales y de negocios, considerando los

intereses relacionados con la TI de las partes interesadas internas y externas.

PRINCIPIOS Y HABILITADORES DE COBIT 5

Los principios y habilitadores de COBIT 5 son genéricos y útiles para las Organizaciones

de cualquier tamaño, bien sean comerciales, sin fines de lucro o en el sector público.

LOS PRINCIPIOS DE COBIT 5

HABILITADORES DE COBIT 5


121

GOBIERNO Y ADMINISTRACIÓN

El Gobierno asegura el logro de los objetivos de la Organización, al evaluar las necesidades

de las partes interesadas, así como las condiciones y opciones; fijando directivas al

establecer prioridades y tomar decisiones; así como monitorear el desempeño,

cumplimiento y progreso, comparándolos contra las directivas y objetivos acordados

(EDM).

La Administración planifica, construye, ejecuta y monitorea las actividades conforme a

las directivas fijadas por el ente de Gobierno para lograr los objetivos de la Organización

(PBRM por su sigla en inglés – PCEM)

Resumiendo: COBIT 5 une los cinco principios que permiten a la Organización construir

un marco efectivo de Gobierno y Administración basado en una serie holística de siete

habilitadores, que optimizan la inversión en tecnología e información así como su uso en

beneficio de las partes interesadas.

AHORA CON UNMARCO EMPRESARIAL COMPLETO


122

MARCO DE COBIT 5

El producto principal COBIT 5, de amplia cobertura

Contiene el resumen ejecutivo y la descripción completa de todos los componentes

del marco de COBIT 5:

Los 5 Principios de COBIT 5

Los 7 Habilitadores de COBIT 5, más:

Una introducción a la guía de implementación proporcionada por ISACA

(Implementación de COBIT 5)

Una introducción al Programa de Evaluación de COBIT (que no se refiere

específicamente al COBIT 5) y el enfoque de la capacidad de los procesos que

ISACA adopta para COBIT.


123

LOS 5 PRINCIPIOS DE COBIT 5:

1. Satisfacer las necesidades de las Partes Interesadas

2. Cubrir la Compañía de Forma Integral

3. Aplicar un solo Marco Integrado

4. Habilitar un Enfoque Holístico

5. Separar el Gobierno de la Administración

PRINCIPIO 1:

SATISFACER LAS NECESIDADES DE LAS PARTES INTERESADAS

Las Compañías existen para crear valor para sus partes interesadas.

Las Organizaciones tienen muchas partes interesadas y “crear valor” significa cosas

diferentes – a veces conflictivas – para cada una de ellas.

En el Gobierno se trata de negociar y decidir entre los diversos intereses de

beneficio de las diferentes partes interesadas.


124

El sistema de Gobierno deberá considerar a todas las partes interesadas al tomar

decisiones con respecto a la evaluación de riesgos, los beneficios y el manejo de

recursos.

Para cada decisión se puede, y se debe, hacer las siguientes preguntas:

¿Quién recibe los beneficios?

¿Quién asume el riesgo?

¿Qué recursos se necesitan?:

Las necesidades de las Partes Interesadas deben ser transformadas en una estrategia

accionable para la Organización.

Las metas en cascada de COBIT 5 traducen las necesidades de las Partes Interesadas en

metas específicas, accionables y personalizadas dentro del contexto de la Organización, de

las metas relacionadas con la TI y de las metas habilitadoras.

Los beneficios de las Metas en Cascada de COBIT 5:

Permite definir las prioridades para implementar, mejorar y asegurar el gobierno

corporativo de la TI, en base de los objetivos (estratégicos) de la Organización y los riesgos

relacionados:

En la práctica, las metas en cascada:

Definen los objetivos y las metas tangibles y relevantes, en diferentes niveles de

responsabilidad.

Filtran la base de conocimiento de COBIT 5, en base de las metas corporativas para extraer

una orientación relevante para la inclusión en los proyectos específicos de implementación,

mejora o aseguramiento.

Claramente identifican y comunican qué importancia tienen los habilitadores (algunas

veces muy operacionales) para lograr las metas corporativas.

PRINCIPIO 2:

CUBRIR LA COMPAÑÍA DE FORMA INTEGRAL

COBIT 5 se concentra en el gobierno y la administración de la tecnología de la información

y relacionadas desde una perspectiva integral a nivel de toda la Organización.

Esto significa que COBIT 5:


125

Integra el gobierno de la TI corporativa en el gobierno corporativo, o sea, el sistema de

gobierno para la TI corporativa propuesto por COBIT 5 se integra, de una manera fluida, en

cualquier sistema de gobierno, toda vez que COBIT 5 está alineado a los últimos

desarrollos en gobierno corporativo.

Cubre todas las funciones y los procesos dentro de la Organización; COBIT 5 no

solamente se concentra en la “Función de la TI”, sino trata la tecnología de la

información y relacionadas como activos que necesitan ser manejados como cualquier otro

activo, por todos en la Organización.

PRINCIPIO 3.

APLICAR UN ÚNICO MARCO INTEGRADO

Hay muchos estándares y mejores prácticas relacionadas con las TI, cada una proporciona

orientación sobre un subconjunto de las actividades de TI. COBIT 5 se alinea con otros

estándares y marco pertinentes en un máximo de nivel y por lo tanto puede servir como

marco general para la gobernanza y la gestión de las TI corporativas.


126

Un solo marco integrado): para cumplir con este principio, COBIT incorpora los estándares

y marcos más relevantes de la industria:

COBIT 5 está alineado con los últimos marcos y normas relevantes usados por las

organizaciones:

Corporativo: COSO, COSO ERM, ISO/IEC 9000, ISO/IEC 31000

Relacionado con TI: ISO/IEC 38500, ITIL, la serie ISO/IEC 27000, TOGAF,

PMBOK/PRINCE2, CMMI etc.

Así se permite a la Organización utilizar COBIT 5 como integrador macro en el marco de

gobierno y administración.

ISACA está desarrollando el modelo de capacidad de los procesos para facilitar al usuario

de COBIT el mapeo de las prácticas y actividades contra los marcos y normas de terceros.

La idea de contar con todo lo anterior es que las empresas utilicen COBIT como un marco

integrador de gobierno y administración de TI.

PRINCIPIO 4.

HABILITAR UN ENFOQUE HOLÍSTICO

Un gobierno eficiente y eficaz y la gestión de TI de la empresa requieren un enfoque

integral teniendo en cuenta varios componentes que interactúan. COBIT 5 define un

conjunto de habilidades de una gestión integral y un sistema de gestión de las TI

corporativas.

Factores que, individual y colectivamente, influyen sobre si algo funcionará – en el caso de

COBIT, Gobierno y Administración sobre la TI corporativa. Impulsados por las metas en

cascada, o sea: las metas de alto nivel relacionadas con la TI definen qué deberían lograr

los diferentes habilitadores.

Descritos por el marco de COBIT 5 en siete categorías.


127

Procesos: Describen una serie organizada de prácticas y actividades para lograr

determinados objetivos y producir una serie de resultados como apoyo al logro de

las metas globales relacionadas con la TI.

Estructuras Organizacionales: Constituyen las entidades claves para la toma de

decisiones en una organización.

Cultura, Ética y Comportamiento: De los individuos así como de la organización;

se subestima frecuentemente como factor de éxito en las actividades de gobierno y

administración.

Principios, Políticas y Marcos: Son los vehículos para traducir el comportamiento

deseado en una orientación práctica para la administración diaria.

Información: Se encuentra presente en todo el ambiente de cualquier organización;

o sea se trata de toda la información producida y usada por la Organización. La

información es requerida para mantener la organización andando y bien gobernada,

pero a nivel operativo, la información frecuentemente es el producto clave de la

organización en si.


128

Servicios, Infraestructura y Aplicaciones: Incluyen la infraestructura, la

tecnología y las aplicaciones que proporcionan servicios y procesamiento de

tecnología de la información a la organización.

Personas, Habilidades y Competencias: Están vinculadas con las personas y son

requeridas para completar exitosamente todas las actividades y para tomar las

decisiones correctas, así como para llevar a cabo las acciones correctivas.

Administración y Gobierno sistémico mediante habilitadores interconectados:

Para lograr los objetivos principales de la Organización, siempre debe considerarse

una serie interconectada de habilitadores, o sea, cada habilitador: Necesita una

entrada de otros habilitadores para ser completamente efectivo, o sea, los procesos

necesitan información, las estructuras organizacionales necesitan habilidades y

comportamiento.

Entrega un producto de salida a beneficio de otros habilitadores, o sea, los procesos

entregan información, las habilidades y el comportamiento hacen que los procesos

sean eficientes. Esto constituye un principio CLAVE que surge del trabajo de

desarrollo de ISACA en el Modelo de Negocios para la Seguridad de la Información

(BMIS por su sigla en inglés).

LAS DIMENSIONES HABILITADORES DE COBIT 5:

Todos los habilitadores tienen una serie de dimensiones comunes. Dicha serie de

dimensiones comunes:

1. Proporciona una manera común, sencilla y estructurada para tratar los habilitadores

2. Permite a una entidad manejar sus interacciones complejas

3. Facilita resultados exitosos de los habilitadores

PRINCIPIO 5.

SEPARAR EL GOBIERNO DE LA ADMINISTRACIÓN:

El marco de COBIT 5 plasma una distinción muy clara entre el Gobierno y la

Administración. Dichas dos disciplinas:

Comprenden diferentes tipos de actividades


129

Requieren diferentes estructuras organizacionales

Cumplen diferentes propósitos

Gobierno: En la mayoría de las organizaciones el Gobierno es responsabilidad de la Junta

Directiva bajo el liderazgo de su Presidente.

Administración: En la mayoría de las organizaciones, la Administración es

responsabilidad de la Gerencia Ejecutiva, bajo el liderazgo del Gerente General (CEO).

El Gobierno: asegura que se evalúen las necesidades de las partes interesadas, así como

las condiciones y opciones, para determinar los objetivos corporativos balanceados

acordados a lograr; fijando directivas al establecer prioridades y tomar decisiones; así

como monitorear el desempeño, cumplimiento y progreso comparándolos contra las

directivas y objetivos fijados (EDM).

La Administración planifica, construye, ejecuta y monitorea las actividades conforme a

las directivas fijadas por el ente de Gobierno para lograr los objetivos de la Compañía

(PBRM por su sigla en inglés – PCEM).

COBIT 5 no es obligatorio, pero propone que las organizaciones implementen los procesos

de gobierno y administración de tal manera que las áreas claves queden cubiertas, tal como

se muestra a continuación:


130

COBIT 5 no es obligatorio, pero propone que las organizaciones implementen los procesos

de gobierno y administración de tal manera que las áreas claves queden cubiertas, tal como

se muestra a continuación:

El marco de COBIT 5 describe siete categorías de habilitadores (Principio 4). Los procesos

constituyen una categoría.

Una compañía puede organizar sus procesos como estime conveniente, siempre y cuando

queden cubiertos todos los objetivos necesarios de gobierno y administración. Las

compañías más pequeñas podrán tener menos procesos, las compañías más grandes y más

complejas podrán tener muchos procesos, todos para cubrir los mismos objetivos.

COBIT 5 incluye un Modelo de Referencia de Procesos (PRM por su sigla en inglés), que

define y describe en detalle un número de procesos de administración y de gobierno. Los

detalles de dicho modelo habilitador específico pueden encontrarse en el Volumen de

COBIT 5: Procesos Habilitadores complementa COBIT 5 y contiene una guía detallada de

referencias a los procesos definidos en el Modelo de Referencia de Procesos de COBIT 5:

En el Capítulo 2 se recapitula las metas en cascada de COBIT 5 y se complementa con una

serie de métricas ejemplo para las metas corporativas y las metas relacionadas con la TI.


131

En el Capítulo 3 se explica el Modelo de Procesos de COBIT 5 y se definen sus

componentes.

En el Capítulo 4 se muestra el diagrama de dicho Modelo de Referencias de Procesos.

El Capítulo 5 contiene la información detallada de procesos para todos los 37 procesos de

COBIT 5 en el Modelo de Referencias de Procesos.

PROCESOS HABILITADORES


132

PROCESO HABILTADOR


133

El Modelo de Referencia de Procesos de COBIT 5 subdivide las actividades y prácticas de la Organización relacionadas con la TI en

dos áreas principales Gobierno y Administración con la Administración a su vez dividida en dominios de procesos:

El Dominio de GOBIERNO contiene cinco procesos de gobierno; dentro de cada proceso se definen las prácticas para Evaluar, Dirigir

y Monitorear (EDM).

Los cuatro dominios de la ADMINISTRACIÓN están alineados con las áreas de responsabilidad de Planificar, Construir, Operar y

Monitorear (PBRM por su sigla en inglés).

COBIT 5 IMPLEMENTACIÓN

ISACA ha desarrollado el marco de COBIT 5 para ayudar a las compañías a implementar unos habilitadores de gobierno sanos. De

hecho, la implementación de un buen GEIT es casi imposible sin la activación de un marco efectivo de gobierno. También están

disponibles las mejores prácticas y los estándares que soportan al COBIT 5.

Los marcos, mejores prácticas y normas son útiles solamente si son adoptados y adaptados de manera efectiva. Hay que superar

muchos retos y resolver varios asuntos para poder implementar GEIT de manera exitosa.

COBIT 5: implementación les proporciona una guía de orientación acerca de cómo hacerlo.

ISACA ha desarrollado el marco de COBIT 5 para ayudar a las compañías a implementar unos habilitadores de gobierno sanos. De

hecho, la implementación de un buen GEIT es casi imposible sin la activación de un marco efectivo de gobierno. También están

disponibles las mejores prácticas y los estándares que soportan al COBIT 5.

Los marcos, mejores prácticas y normas son útiles solamente si son adoptados y adaptados de manera efectiva. Hay que superar

muchos retos y resolver varios asuntos para poder implementar GEIT de manera exitosa:

Posicionamiento de GEIT en la organización

Adopción de los primeros pasos para mejorar GEIT


134

Factores de éxito y retos para la implementación

Habilitación del cambio de comportamiento y organizacional relacionado con el GEIT

Implementación de una mejora continua que incluye la habilitación del cambio y la gestión del programa

Uso de COBIT 5 y sus componentes.

COBIT 5: cubre los siguientes asuntos:

Posicionamiento de GEIT en la organización

Adopción de los primeros pasos para mejorar GEIT

Factores de éxito y retos para la implementación

Habilitación del cambio de comportamiento y organizacional relacionado con el GEIT

Implementación de una mejora continua que incluye la habilitación del cambio y la gestión del programa

COBIT 5: IMPLEMENTACIÓN


135


136

COBIT 5: FAMILIA DE PRODUCTOS DE APOYO

UNIVERSIDAD CENTRAL DEL ECUADOR

AUDITORIA DE SISTEMAS INFORMATICOS COBIT 4.1

137

COBIT 5 PRODUCTOS FUTUROS DE APOYO

Productos Futuros de Apoyo:

Guías Profesionales de Orientación:

1. COBIT 5 para la Seguridad de Información

2. COBIT 5 para el Aseguramiento

3. COBIT 5 para Riesgos

4. Guías de Orientación de los Habilitadores:

5. COBIT 5: Información Habilitadora

6. COBIT En Línea Reemplazo

7. COBIT Programa de Evaluación:

8. Modelo de Evaluación de Procesos (PAM): Usando COBIT 5

9. Guía para Asesores: Usando COBIT 5

10. Guía de Auto-Evaluación: Usando COBIT 5

COMPARACIÓN DE CONTROLES INTERNOS: COBIT, SAC Y COSO

En los años recientes, se dedicó una atención creciente al control interno por parte de los

auditores, gerentes, contadores y legisladores. Tres documentos emitidos recientemente



138

son el resultado de los esfuerzos continuos para definir, evaluar, reportar y mejorar el

control interno. Estos son:

COBIT (Control Objectives for Information and related Technology) de la Information

Systems Audit and Control Foundation,

SAC (Systems Auditability and Control) del Institute of Internal Auditors Research

Foundation,

COSO - Internal Control - Integrated Framework del Committee of Sponsoring

Organizations of the Treadway Commission

COBIT (1996) es una estructura que provee una herramienta para los propietarios de los

procesos del negocio para descargar eficiente y efectivamente sus responsabilidades de

control sobre los sistemas informáticos.

SAC (1991, revisado en 1994) ofrece asistencia a los auditores internos sobre el control

y auditoria de los sistemas y tecnología informática.

COSO (1992) brinda recomendaciones a la dirección sobre cómo evaluar, reportar y

mejorar los sistemas de control.

Como diferentes cuerpos desarrollaron los documentos para encarar las necesidades

específicas de sus propias audiencias, podrían existir algunas disparidades. No obstante,

cada documento se enfoca en el control interno y cada audiencia, ej: los auditores

internos, la dirección y los auditores externos, dedican mucho tiempo y esfuerzo hacia

el establecimiento o evaluación de los controles internos. En consecuencia, comparar

los conceptos de control interno presentados en esos documentos es de interés para los

miembros de las tres audiencias.

Una comparación de los tres documentos revela que cada uno de ellos se construyó

sobre la base de las contribuciones de los documentos previos. COBIT incorpora como

parte de sus documentos fuentes tanto a COSO como a SAC.



139

Toma su definición de control de COSO y su definición de Objetivos de Control de TI

de SAC, COSO utiliza los conceptos de control interno de SAC.

Este artículo resume los tres documentos y compara los conceptos de control interno

presentados en cada uno de ellos. La Tabla siguiente denota los aspectos principales

presentados.

TABLA COMPARATIVA DE DISTINTOS ATRIBUTOS DE CONTROL

INTERNO

Atributo COBIT SAC COSO

Audiencia

Primaria Dirección, usuarios, Auditores Internos Dirección

auditores de SI

CI visto como Conjunto de procesos

Conjunto de

procesos, Procesos incluyendo políticas, subsistemas y gente

procedimientos,

prácticas estructuras

organizacionales

Objetivos Operaciones Efectivas

y Operaciones

Efectivas y Operaciones

Efectivas y

Organizacionales eficientes eficientes eficientes

del CI Confidencialidad, Informes financieros Informes

financieros

Integridad y confiables confiables

disponibilidad de Cumplimiento de las

Cumplimiento de

las información leyes y regulaciones leyes y regulaciones Informes financieros

confiables

Cumplimiento de las

leyes y regulaciones

Componentes o Dominios: Componentes: Componentes: Dominios Planeamiento y Ambiente de Control Supervisión



140

organización

Manual y

Automatizado

Ambiente de

Control Adquisición e Procedimientos de Administración de

implementación Control de Sistemas Riesgos

Entrega y soporte Actividades de

Control

Monitoreo Información y Comunicación

Foco Tecnología

Informática Tecnología

Informática Toda la Entidad

Efectividad del

CI

Por un período de

tiempo Por un período de

En un momento

dado Evaluado tiempo

Responsabilidad Dirección Dirección Dirección

por el Sistema de

CI

Tamaño 187 páginas en cuatro 1193 páginas en 12 353 páginas en

cuatro documentos módulos volúmenes

RESÚMENES DE LOS DOCUMENTOS

COBIT: CONTROL OBJECTIVES FOR INFORMATION AND RELATED

TECHNOLOGY

La Information Systems Audit and Control Foundation (ISACF) desarrolló los

Objetivos de Control para la Información y Tecnología relacionada (COBIT) para servir

como una estructura generalmente aplicable y prácticas de seguridad y control de SI

para el control de la tecnología de la información. Esta estructura COBIT le permite a la

gerencia comparar (benchmark) la seguridad y prácticas de control de los ambientes de

TI, permite a los usuarios de los servicios de TI asegurarse que existe una adecuada

seguridad y control y permite a los auditores sustanciar sus opiniones sobre el control

interno y aconsejar sobre materias de seguridad y control de TI.



141

La motivación primaria para brindar esta estructura fue posibilitar el desarrollo de una

política clara y buenas prácticas para el control de TI a través de toda la industria en

todo el mundo.

La fase ya completada del proyecto COBIT provee un Resumen Ejecutivo, un Marco

para el control de TI, una lista de Objetivos de Control, y un conjunto de Guías de

Auditoría. (Los objetivos de control y las guías de auditoria están referenciadas a la

estructura).

Las fases futuras del proyecto proveerán guías de auto-evaluación para la dirección e

identificarán objetivos nuevos o actualizados mediante incorporación de otros

estándares globales de control que se identifiquen. Además, agregar guías de control e

identificar indicadores claves de desempeño.

Definición: COBIT adaptó su definición de control a partir de COSO: Las políticas,

procedimientos, prácticas y estructuras organizacionales están diseñadas para proveer

aseguramiento razonable de que se lograrán los objetivos del negocio y que se

prevendrán, detectarán y corregirán los eventos no deseables.

COBIT adapta su definición de un objetivo de control de TI del SAC: Una declaración

del resultado deseado o propósito a lograr implementando procedimientos de control en

una actividad particular de TI.

COBIT enfatiza el rol e impacto del control de TI en lo relacionado con los procesos del

negocio. El documento describe objetivos de control de TI independientes de

plataformas y aplicaciones.

Recursos de TI: COBIT clasifica los recursos de TI como datos, sistemas de

aplicación, tecnología, instalaciones y gente. Los datos son definidos en su sentido más

amplio e incluyen no sólo números, textos y fechas, sino también objetos tales como

gráficos y sonido. Los sistemas de aplicación son entendidos como la suma de

procedimientos manuales y programados. La tecnología se refiere al hardware, sistemas



142

operativos, equipos de redes y otros. Instalaciones son los recursos utilizados para

albergar y soportar los sistemas de información. Gente comprende las capacidades y

habilidades individuales para planear, organizar, adquirir, entregar, apoyar y monitorear

los servicios y sistemas de información.

Requerimientos: Para satisfacer los objetivos del negocio, la información necesita

conformarse a ciertos criterios a los cuales COBIT se refiere como requerimientos del

negocio respecto de la información. COBIT combina los principios incorporados en los

modelos de referencia existentes en tres amplias categorías: calidad, responsabilidad

fiduciaria y seguridad. De estos amplios requerimientos, el informe extrae siete

categorías superpuestas de criterios para evaluar cuan bien están satisfaciendo los

recursos de TI los requerimientos de información del negocio. Estos criterios son

efectividad, eficiencia, confidencialidad, integridad, disponibilidad, cumplimiento y

confiabilidad de la información.

Procesos y Dominios: En base al análisis de un documento del Reino Unido sobre

prácticas de administración de TI de la biblioteca de infraestructura tecnológica (ITIL),

COBIT clasifica los procesos de TI en cuatro dominios. Estos cuatro dominios son (1)

planeamiento y organización, (2) adquisición e implementación, (3) entrega y soporte y

(4) monitoreo. El agrupamiento natural de procesos en dominios es a menudo

confirmado como dominios de responsabilidad en las estructuras organizacionales y

sigue el ciclo gerencial o ciclo de vida aplicable a los procesos de TI en cualquier

ambiente de TI.

COBIT presenta una estructura de control para los propietarios de los procesos del

negocio. Cada vez más, la dirección está totalmente facultada con responsabilidad y

autoridad completa por los procesos del negocio. COBIT incluye definiciones tanto de

control interno como de los objetivos de control de TI, cuatro dominios de procesos y

32 declaraciones de control de alto nivel para esos procesos, 271 objetivos de control

referenciados a esos 32 procesos y guías de auditoría vinculadas a los objetivos de

control.



143

Estructura: La estructura COBIT provee declaraciones de control de alto nivel para los

procesos particulares de TI. La estructura identifica la necesidad del negocio satisfecha

por la declaración de control, identifica los recursos de TI administrados por los

procesos, establece los controles habilitados y lista los principales objetivos de control

aplicables.



144

INFORME SAC

El informe SAC define el sistema de control interno, describe sus componentes, provee

varias clasificaciones de los controles, describe objetivos de control y riesgos, y define

el rol del auditor interno. El informe provee una guía sobre el uso, administración y

protección de los recursos de tecnología informática y discute los efectos de la

computación de usuario final, las telecomunicaciones y las tecnologías emergentes.

Definición: El informe SAC define a un sistema de control interno como: un conjunto

de procesos, funciones, actividades, subsistemas, y gente que son agrupados o

concientemente segregados para asegurar el logro efectivo de los objetivos y metas.

El informe enfatiza el rol e impacto de los sistemas computarizados de información

sobre el sistema de control interno. El mismo acentúa la necesidad de evaluar los

riesgos, pesar los costos y beneficios y construir controles en los sistemas en lugar de

agregarlos luego de la implementación.

Componentes: El sistema de control interno consiste en tres componentes: el ambiente

de control, los sistemas manuales y automatizados y los procedimientos de control. El

ambiente de control incluye la estructura de la organización, la estructura de control, las

políticas y procedimientos y las influencias externas. Los sistemas automatizados

consisten en sistemas y software de aplicación. SAC discute los riesgos de control



145

asociados con los sistemas de usuario final y departamentales pero no describe ni define

los sistemas manuales. Los procedimientos de control consisten en controles generales,

de aplicaciones y compensatorios.

Clasificaciones: SAC provee cinco esquemas de clasificación para los controles

internos en los sistemas informáticos: (1) preventivos, detectivos, y correctivos, (2)

discrecionales y no-discrecionales, (3) voluntarios y obligatorios, (4) manuales y

automatizados y (5) controles de aplicaciones y generales. Estos esquemas se enfocan

en cuándo se aplica el control, si el control puede ser evitado, quién impone la

necesidad del control, cómo se implementa el control, y dónde se implementa el control

en el software.

Objetivos de Control y Riesgos: Los riesgos incluyen fraudes, errores, interrupción del

negocio, y el uso ineficiente e inefectivo de los recursos. Los objetivos de control

reducen estos riesgos y aseguran la integridad de la información, la seguridad, y el

cumplimiento. La integridad de la información es resguardada por los controles de

calidad del input, procesamiento, output y software. Las medidas de seguridad incluyen

los controles de seguridad de los datos, física y de programas. Los controles de

cumplimiento aseguran conformidad con las leyes y regulaciones, los estándares

contables y de auditoría, y las políticas y procedimientos internos.

Rol del Auditor Interno: Las responsabilidades de los auditores internos incluyen

asegurar la adecuación del sistema de control interno, la confiabilidad de los datos y el

uso eficiente de los recursos de la organización. A los auditores internos también les

concierne la prevención y detección de fraudes, y la coordinación de actividades con los

auditores externos. Para los auditores internos es necesaria la integración de las

habilidades de auditoria y sistemas de información y una comprensión del impacto de la

tecnología informática sobre el proceso de auditoria. Estos profesionales realizan ahora

auditorias financieras, operativas y de los sistemas de información.

INFORME COSO

El informe COSO define el control interno, describe sus componentes, y provee

criterios contra los cuales pueden evaluarse los sistemas de control. El informe ofrece



146

una guía para la elaboración de informes públicos sobre control interno y provee

materiales que la gerencia, los auditores y otros pueden utilizar para evaluar un sistema

de control interno. Dos objetivos principales del informe son (1) establecer una

definición común de control interno que sirve a muchas partes diferentes, y (2) provee

un estándar contra el cual las organizaciones pueden evaluar sus sistemas de control y

determinar como mejorarlos.

Definición: El informe COSO define control interno como: un proceso, efectuado por el

directorio, la gerencia y otro personal de la entidad, diseñado para proveer un

aseguramiento razonable en relación al logro de los objetivos en las siguientes

categorías:

efectividad y eficiencia de las operaciones

confiabilidad de los reportes financieros

cumplimiento con las leyes y regulaciones aplicables.

Aunque el informe define el control interno como un proceso, recomienda evaluar la

efectividad del control interno a un momento dado.

Componentes: El sistema de control interno consiste en cinco componentes

interrelacionados: (1) ambiente de control, (2) evaluación de riesgos, (3) actividades de

control, (4) información y comunicación, y (5) monitoreo. El ambiente de control

provee la base para los otros componentes. El mismo abarca factores tales como

filosofía y estilo operativo de la gerencia, políticas y prácticas de recursos humanos, la

integridad y valores éticos de los empleados, la estructura organizacional, y la atención

y dirección del directorio. El informe COSO brinda una guía para evaluar cada uno de

estos factores. Por ejemplo, la filosofía gerencial y el estilo operativo pueden ser

evaluados examinando la naturaleza de los riesgos del negocio que acepta la gerencia, la

frecuencia de su interacción con los subordinados, y su actitud hacia los informes

financieros.

La evaluación de riesgo consiste en la identificación del riesgo y el análisis del riesgo.

La identificación del riesgo incluye examinar factores externos tales como los



147

desarrollos tecnológicos, la competencia y los cambios económicos, y factores internos

tales como calidad del personal, la naturaleza de las actividades de la entidad, y las

características de procesamiento del sistema de información. El análisis de riesgo

involucra estimar la significación del riesgo, evaluar la probabilidad de que ocurra y

considerar cómo administrarlo.

Las actividades de control consisten en las políticas y procedimientos que aseguran

que los empleados lleven a cabo las directivas de la gerencia. Las actividades de control

incluyen revisiones del sistema de control, los controles físicos, la segregación de tareas

y los controles de los sistemas de información. Los controles sobre los sistemas de

información incluyen los controles generales y los controles de las aplicaciones.

Controles generales son aquellos que cubren el acceso, el desarrollo de software y

sistemas. Controles de las aplicaciones son aquellos que previenen que ingresen errores

en el sistema o detectan y corrigen errores presentes en el sistema.

La entidad obtiene información pertinente y la comunica a través de la organización. El

sistema de información identifica, captura y reporta información financiera y operativa

que es útil para controlar las actividades de la organización. Dentro de la organización,

el personal debe recibir el mensaje que ellos deben comprender sus roles en el sistema

de control interno, tomar seriamente sus responsabilidades por el control interno, y, si es

necesario, reportar problemas a los altos niveles de gerencia. Fuera de la entidad, los

individuos y organizaciones que suministran o reciben bienes o servicios deben recibir

el mensaje de que la entidad no tolerará acciones impropias.

La gerencia monitorea el sistema de control revisando el output generado por las

actividades regulares de control y realizando evaluaciones especiales. Las actividades

regulares de control incluyen comparar los activos físicos con los datos registrados,

seminarios de entrenamiento, y exámenes realizados por auditores internos y externos.

Las evaluaciones especiales pueden ser de distinto alcance y frecuencia. Las

deficiencias encontradas durante las actividades regulares de control son normalmente

reportadas al supervisor a cargo; las deficiencias detectadas durante evaluaciones

especiales son normalmente comunicadas a los niveles altos de la organización.



148

Otros Conceptos: El informe COSO encara las limitaciones de un sistema de control

interno y los roles y responsabilidades de las partes que afectan a un sistema. Las

limitaciones incluyen el juicio humado defectuoso, falta de comprensión de las

instrucciones, errores, atropellos de la gerencia, colusión, y consideraciones de costo

versus beneficio.

El informe COSO define deficiencias como "condiciones dentro de un sistema de

control interno digno de atención". Las deficiencias deberían ser reportadas a la persona

responsable por la actividad y a la gerencia que está como mínimo un nivel por encima

del individuo responsable.

Un sistema de control interno es juzgado efectivo si están presentes y funcionando

efectivamente los cinco componentes respecto de las operaciones, los reportes

financieros y el cumplimiento.



149

COMPARACIÓN DE COBIT, SAC Y COSO

COBIT, SAC y COSO definen el control interno, describen sus componentes y proveen

herramientas de evaluación. SAC y COSO también sugieren formas de reportar los

problemas de control interno. Adicionalmente COBIT provee una estructura amplia

facilitando el análisis y comunicación de las observaciones de control interno. Esta

sección compara las contribuciones que hacen los documentos individuales a cada una

de estas áreas.

DEFINICIONES

Aunque las tres definiciones de control contienen esencialmente los mismos conceptos,

el énfasis es algo diferente. COBIT ve el control interno como un proceso que incluye

políticas, procedimientos, prácticas y estructuras organizacionales que soportan

procesos y objetivos de negocio. SAC enfatiza que el control interno es un sistema, ej.

que el control interno es un conjunto de funciones, subsistemas, y gente y sus

interrelaciones. COSO acentúa el control interno como un proceso, ej. el control interno

debería ser una parte integrante de las actividades del negocio en curso.

La gente es parte del sistema de control interno. COBIT clasifica a la gente (definida

como habilidad, concientización y productividad del personal para planear, organizar,

adquirir, entregar, soportar y monitorear servicios y sistemas de información) como uno

de los recursos primarios administrados por distintos procesos de tecnología

informática. El involucramiento de la gente se ha hecho más explícito a medida que los

documentos evolucionaron. SAC define explícitamente a la gente como una parte

integral del sistema de control interno. COSO denota que la gente involucrada con el

control interno son miembros del Directorio, la gerencia, u otro personal de la entidad.

Los documentos acuerdan que la gerencia es la parte responsable por establecer,

mantener y monitorear el sistema de control interno.

Los tres documentos acentúan el concepto de aseguramiento razonable en lo que se

relaciona con el control interno. El control interno no garantiza que la entidad logrará

sus objetivos ni que permanecerá en el negocio. Por lo contrario, el control interno está

diseñado para proveer a la dirección con un aseguramiento razonable respecto del logro

de los objetivos. Los documentos también reconocen que hay limitaciones inherentes al

control interno y que, por consideraciones de costo/beneficio, no serán implementados



150

todos los controles posibles. Las limitaciones inherentes pueden causar que los

controles internos sean menos efectivos que lo planeado.

Al presentar las definiciones de control interno, los documentos asumen que la entidad

ha establecido objetivos para sus operaciones. COBIT establece la premisa de que estos

objetivos son soportados por procesos de negocio. Estos procesos, a la vez, son

soportados por la información provista mediante el uso de recursos de tecnología

informática. Los requerimientos del negocio para esa información sólo son satisfechos

mediante medidas adecuadas de control. SAC establece que el logro de los objetivos del

negocio debería ser realizado efectivamente y acentúa que los objetivos deberían ser

traducidos en metas mensurables. COSO categoriza los objetivos como operacionales,

reportes financieros y cumplimiento. Mientras que SAC y COSO se interesan con

objetivos en las tres categorías.

COMPONENTES

El informe SAC describe tres componentes del sistema de control interno. El informe

COSO considera cinco componentes. COBIT incorpora los cinco componentes

considerados en el informe COSO y los focaliza dentro del entorno de los control

interno de tecnología informática. El diseño de COBIT salta la brecha entre los modelos

de control de negocios tales como COSO y los sistemas los modelos de control de

sistemas de información más altamente técnicos disponibles en todo el mundo. Aunque

pueden parecer que los documentos difieren en sus enfoques de los controles, los

estudios posteriores revelan muchas similaridades.

Ambiente de Control: COBIT, SAC y COSO todos incluyen el ambiente de control

como un componente y discuten esencialmente los mismos conceptos. Los factores que

impactan el ambiente de control incluyen la integridad y valores éticos de la gerencia, la

competencia del personal, la filosofía gerencial y el estilo operativo, cómo se asignan la

autoridad y responsabilidades, y la guía que provee el directorio. COBIT entrelaza las

implicancias del ambiente de control en todos los objetivos de control aplicables.

Categoriza los procesos dentro de planeamiento y organización, adquisición e

implementación, entrega y soporte, y monitoreo. También habla del ambiente de control

donde es apropiado. SAC divide el ambiente de control en unas pocas categorías, está

más orientado a los sistemas de información, e incluye ideas como parte del ambiente

de control que los otros dos documentos discuten como parte de otros componentes. En



151

la mayoría de las áreas, los conceptos de control interno se desarrollaron de SAC (1991,

1994) a COSO (1992) a COBIT (1996). COSO utiliza una mayor cantidad de categorías

de conceptos ambientales y en consecuencia define bien al ambiente de control.

Sistemas de Información y Comunicación: COBIT, SAC y COSO difieren en sus

focos y profundidad de tratamiento de los sistemas de información. El foco exclusivo de

COBIT es el establecimiento de una estructura de referencia para seguridad y control en

tecnología informática. Define un vínculo claro entre los controles de los sistemas de

información y los objetivos del negocio. Además, provee objetivos de control validados

globalmente para cada proceso de tecnología informática lo cual brinda una guía

pragmática de control para todas las partes interesadas. COBIT también provee un

vehículo para facilitar las comunicaciones entre la gerencia, los usuarios y los auditores

en relación a los controles de los sistemas de información.

SAC se enfoca en los sistemas de información automatizados. El documento examina

las relaciones entre control interno y software de sistemas, sistemas de aplicación, y los

sistemas departamentales de usuarios finales. El software de sistemas provee el sistema

operativo, telecomunicaciones, administración de datos, y otras funciones de utilidad

requeridas por los sistemas de aplicación. Los sistemas de aplicación incluyen los

sistemas de negocios, financieros y operativos de la entidad (ej: recursos humanos,

cuentas a cobrar, y programación de la producción, respectivamente). Los sistemas

departamentales y de usuarios finales sirven a las necesidades de grupos específicos de

usuarios. Muchos de los volúmenes del informe SAC proveen guías del control interno

necesario en cada una de estas áreas.

COSO discute tanto información como comunicación. En su discusión sobre

información, COSO revisa la necesidad de capturar la información pertinente interna y

externa, el potencial de sistemas estratégicos e integrados, y la necesidad de calidad en

los datos. La discusión sobre comunicación se focaliza en trasmitir asuntos de control

interno, y recoger información competitiva, económica y legislativa.

Actividades de Control: COBIT y SAC examinan procedimientos de control relativos

al sistema automatizado de información de una entidad; COSO discute los

procedimientos y actividades de control utilizados en toda la entidad. COBIT clasifica

los controles en 32 procesos agrupados naturalmente en cuatro dominios aplicables a

cualquier ambiente de procesamiento de información. SAC utiliza cinco esquemas de

clasificación diferentes para los procedimientos de control de SI. COSO utiliza solo un



152

esquema de clasificación para los procedimientos de control del sistema de información

(SI). La discusión de COSO sobre las actividades de control enfatiza en quién realiza las

actividades y en lo operativo más que en los objetivos de informes financieros. COSO

también enfatiza la deseabilidad de integrar las actividades de control con la evaluación

de riesgos.

Evaluación de Riesgos: COSO identifica la evaluación de riesgos como un

componente importante del control interno. COBIT identifica un proceso dentro del

ambiente de tecnología informática como evaluando riesgos. Este proceso en particular

cae dentro del dominio de planeamiento y organización y tiene seis objetivos

específicos de control asociados al mismo. Aunque la evaluación de riesgos no es un

componente explícito del sistema de control interno de SAC, el documento contiene

amplias discusiones sobre riesgo.

COBIT considera en profundidad varios componentes de evaluación de riesgos en un

ambiente de tecnología informática. Esto incluye evaluación de riesgos del negocio, el

enfoque de evaluación de riesgos, identificación de riesgos, medición de los riesgos,

plan de acción sobre riesgos y aceptación de riesgos. Trata directamente con tipos de

riesgos de tecnología informática tales como riesgos de tecnología, seguridad,

continuidad y regulatorios. Adicionalmente, considera el riesgo tanto desde la

perspectiva global como los específicos de sistemas.

Los conceptos de riesgo presentados en SAC y COSO son similares. Además del riesgo

de fallar en satisfacer los objetivos de informes financieros, SAC y COSO tratan los

riesgos de fallar en el cumplimiento y especialmente, en los objetivos operativos. COSO

discute la identificación de los riesgos internos y externos para toda la entidad y para las

actividades individuales. COSO considera también el análisis del riesgo por la gerencia:

estimando la significación del riesgo, evaluando su probabilidad de ocurrencia, y

considerando como administrarlo. SAC examina los riesgos para el sistema

automatizado de información. SAC provee un análisis detallado de los riesgos de SI y

explora cómo podría mitigarse cada uno de estos riesgos. SAC y COSO enfatizan en

consideraciones de costo/beneficio, la necesidad de interrelacionar los objetivos de la

entidad y los controles, la naturaleza “sobre la marcha” de la identificación y evaluación

de riesgos, y la habilidad gerencial para ajustar el sistema de control interno de la

entidad.



153

Monitoreo: En contraste con COBIT y COSO, SAC no incluye explícitamente el

monitoreo como un componente del sistema de control interno. Todos los documentos

asignan a la gerencia la responsabilidad de asegurar que los controles continúen

operando apropiadamente. COBIT considera la responsabilidad gerencial de monitorear

todos los procesos de tecnología informática y la necesidad de obtener un

aseguramiento independiente sobre los controles. Clasifica monitoreo como un dominio

– en línea con el ciclo gerencial. SAC reconoce las responsabilidades de los auditores

internos para seleccionar áreas de tecnología informática en las cuales una revisión

independiente puede producir mayores beneficios y para verificar controles para obtener

evidencia del cumplimiento y eficacia vigentes. Como los controles internos deberían

evolucionar y evolucionan con el tiempo, COSO reconoce la necesidad de que la

gerencia monitoree todo el sistema de control interno de las actividades en marcha

incorporadas en el sistema de control en si mismo y mediante evaluaciones especiales

dirigidas a áreas o actividades específicas.

Aunque SAC y COSO comparten la misma perspectiva (interna), COSO discute el

monitoreo de actividades en términos amplios y SAC discute actividades específicas de

monitoreo que deberían ser realizadas por o dentro de los sistemas automatizados de

información de la entidad. COBIT en forma parecida, pero de manera más profunda,

define los requerimientos y responsabilidades específicas de monitoreo dentro de la

función de tecnología informática.

REPORTAR PROBLEMAS DE CONTROL INTERNO

Como marco, COBIT brinda la definición de controles y objetivos de control para

procesos específicos de tecnología informática. En forma similar a COSO, los informes

de COBIT sobre problemas de control interno se asume que están disponibles para el

propietario del proceso de negocio responsable desde distintas fuentes. Estas pueden ir

desde la auto-evaluación del control hasta revisiones de auditorias externas – todas

realizadas utilizando la estructura COBIT.

SAC asigna a los auditores internos la responsabilidad de evaluar si hay vigentes

controles apropiados y si estos controles están funcionando como fueron diseñados. Los

auditores internos envían los resultados de sus auditorias financieras, operativas y de los

sistemas de información a la gerencia y al comité de auditoria. Ellos deberían articular



154

los costos y beneficios de los cambios propuestos para remediar las deficiencias en el

sistema de control interno.

COSO discute cómo recolecta y disemina la gerencia la información sobre las

deficiencias de control interno. La gerencia puede tomar conocimiento de las

deficiencias a través de los reportes generados por el sistema de control interno en si

mismo, las evaluaciones realizadas por la gerencia o los auditores internos, o

comunicaciones de terceras partes tales como clientes, reguladores, o auditores

externos. La gerencia quiere información relacionada con cualquier deficiencia que

podría afectar la habilidad de la entidad para lograr sus objetivos operativos, de

información financiera, o de cumplimiento. COSO recomienda que el personal de la

entidad reporte las deficiencias a los supervisores inmediatos y a la gerencia ubicada

como mínimo un nivel por encima de la persona directamente responsable. Deberían

existir canales de comunicación separados para reportar información sensible.

PERÍODO DE TIEMPO VERSUS UN MOMENTO DADO

COBIT es una estructura modelo. Soporta evaluaciones a un momento dado o durante

períodos de tiempo, dependiendo de la preferencia del revisor.

Aunque SAC no establece explícitamente si la efectividad interna debería evaluarse a un

momento dado o durante un período de tiempo, parece favorecer más las evaluaciones

por períodos de tiempo. Por ejemplo, SAC habla de asegurar la confiabilidad de los

datos financieros y operativos, describe el uso de módulos de auditoria incorporados

para monitorear y analizar transacciones en forma continuada, y recomienda emplear

controles de cambios para asegurar la estabilidad de las aplicaciones y el software de los

sistemas.

Aunque COSO acentúa al control interno como un proceso, el informe establece que la

efectividad del control interno es un estado o condición del proceso a un momento dado.

Si las deficiencias de control interno han sido corregidas a la fecha de emitir un informe,

COSO aprueba los informes gerenciales dirigidos a terceros que describen que el

control interno es efectivo.

HERRAMIENTAS

COBIT provee explícitamente una guía para los 32 procesos que define. Esta guía toma

la forma de más de 250 objetivos de control. Luego provee ayudas de navegación que

todos los usuarios, dependiendo de su perspectiva particular, implementan para



155

organizar y categorizar los objetivos de control de acuerdo con las vistas de control de

los procesos de TI, los criterios de información o los recursos de TI.

SAC provee una guía detallada sobre los controles necesarios en el desarrollo,

implementación y operación de sistemas automatizados de información a través de la

mayoría de sus 12 módulos. Muchos módulos contienen secciones particulares sobre los

riesgos y controles asociados a los tópicos discutidos en ese módulo.

El informe COSO brinda al lector herramientas que se pueden utilizar para evaluar el

sistema de control interno. Un volumen entero está dedicado a las formas sugeridas para

utilizar en el examen de los controles y a muestras de formularios completados.

CONCLUSIÓN

Presiones internas y externas motivan a las profesiones contables y gerenciales a

continuar desarrollando y refinando conceptos de control interno. Este artículo resume y

compara documentos importantes resultantes de estos esfuerzos: COBIT, SAC y COSO.

COBIT es una colección de objetivos de control validados globalmente, organizados en

procesos y dominios y vinculados a requerimientos de información del negocio. SAC

ofrece una guía detallada sobre los efectos de distintos aspectos de la tecnología

informática en el sistema de controles internos. COSO presenta una definición común

de control interno y enfatiza que los controles internos ayudan a las organizaciones a

lograr operaciones eficaces y eficientes, informes financieros confiables, y el

cumplimiento de las leyes y regulaciones aplicables. El documento provee una guía

sobre la evaluación de sistemas de control, informar públicamente sobre control interno,

y realizar evaluaciones de sistemas de control.

COBIT, COSO y SAC contienen muchos de los mismos conceptos de control interno;

desde luego, los documentos posteriores trabajaron sobre conceptos de control interno

desarrollados por los anteriores. Los documentos difieren en la audiencia a los que van

dirigidos, en el propósito del documento, y el nivel de detalle que proveen como guía.

Aunque otras partes encontrarán útiles a cada uno de estos documentos, COBIT está

dirigido a tres audiencias distintas: la gerencia, los usuarios y los auditores de sistemas

de información; SAC está primariamente dirigido a los auditores internos y COSO a los

gerentes y directorios.

COBIT está focalizado exclusivamente en los controles sobre la tecnología informática

en soporte de los objetivos del negocio. SAC se enfatiza en tecnología informática y

COSO provee una visión amplia, a nivel de entidad. SAC y COSO son documentos auto



156

contenidos. Los cuatro documentos se complementan y soportan unos a otros. SAC y

COSO son útiles para la audiencia primaria de COBIT, para los legisladores y en

general para los interesados en comprender o mejorar el control interno.

cobit 4, trabajo final

Education

metas de ti

ti a metas

procesos de cobit

aplicacin de ti

misin de cobit

relaciones de ti po5

riesgos de ti po10

procesos de ti4