introducción a cobit - uladechfiles.uladech.edu.pe/docente/02659781/cat/s07/01...

© ITG I 2004 not for com m ercial use. 1

Introducción a COBIT

¿Por qué las TI necesitan de un ¿Por qué las TI necesitan de un

marco de control de Tlmarco de control de Tl??

¿Quién necesita de un marco de control de TI¿Quién necesita de un marco de control de TI??

¿Cómo y por qué se utiliza ¿Cómo y por qué se utiliza CCOBIOBIT?T?


¿Por qué las TI necesitan de un marco de control?

¿Alguna de estas condiciones le parece familiar?¿Alguna de estas condiciones le parece familiar? Incremento de la presión para aumentar la eficacia de la

tecnología en las estrategias de negocios Aumento de la complejidad de los entornos de TI Infraestructuras de TI fragmentadas Dificultades de comunicación entre los administradores de

negocios y TI Niveles de servicio decepcionantes de la función interna o

tercerizada de TI Disparada de los Costos de TI Ganancias marginales en ROI/productividad de las

inversiones en tecnología Disminución de la flexibilidad y agilidad de cambio

organizacional Frustración de usuarios que desemboca en soluciones ad

hoc


Aumento de la dependencia en la información y en los sistemas que producen esta información

Aumento de las vulnerabilidades y un amplio espectro de amenzas, tales como ciberamenazas y guerra de información

Tamaño y costo crecientes de las inversiones actuales y futuras en información y sistemas de información

La necesidad de cumplir con las regulaciones El potencial de las tecnologías de cambiar dramáticamente las

organizaciones y prácticas de negocios, crear nuevas oportunidades y reducir costos

Reconocimiento por muchas organizaciones de los beneficios potenciales que puede proporcionar la tecnología

Las organizaciones exitosas entienden y gestionan los Las organizaciones exitosas entienden y gestionan los riesgos asociados con la implantación de nuevas riesgos asociados con la implantación de nuevas

tecnologíastecnologías



TI proporciona valor � Costo, tiempo y funcionalidad son los esperados

TI no da sorpresasa Riesgos son mitigados

TI es innovadora� Nuevas oportunidades e innovaciones de

procesos, productos y servicios


Para asegurar quePara asegurar que

La gerencia debe mantener las TI bajo La gerencia debe mantener las TI bajo controlcontrol..


Directorio y Ejecutivos de Primer Nivel• Para asegurar que la gerencia sigue e implanta la dirección

estratégica de las TI Gerencia

• Para tomar decisiones de inversión en TI• Para equilibrar el riesgo y la inversión en su control• Para evaluar el entorno actual y futuro de las TI

Usuarios• Para garantizar la seguridad y control de los productos y servicios

adquiridos interna o externamente Auditores

• Para sustentar opiniones a la gerencia sobre controles internos• Para recomendar los controles mínimos necesarios

¿Quién necesita de un marco de control?


Incorpora los principales estándares internacionales

Se ha convertido en el estándar de facto para el control total de las TI

Parte de los requerimientos de negocios

Está orientado a procesosIT ProcessesIT Processes

IT Management ProcessesIT Management ProcessesIT Governance ProcessesIT Governance Processes

CobiTCobiTbest practices repository for

Procesos de TIGestión de Procesos de TIGovernance de Procesos de TI

COBITCOBITRepositorio de mejores prácticas

CCOBIOBIT es la respuesta a la necesidadT es la respuesta a la necesidad

¿Por qué y cómo se utiliza COBIT?


Ayuda sustancialmente a incrementar la aceptación y reducir el tiempo de implantación de programas de governance de TI

Proporciona una guía para auditorías / revisiones formales Ayuda en la utilización de resultados de auditoría como oportunidad de

mejoras Es un factor poderoso para lograr las metas primarias de governance de TI:

transformar prácticas organizacionales y mejorar procesos Proporciona un marco económico de mejora continua Proporciona una fuente creíble de decisiones gerenciales sobre controles Engancha y ayuda a los administradores de operaciones de TI con su

habilidad para discernir lo que los auditores quieren Es ideal para que las gerencias de negocios comuniquen sus

requerimientos y preocupaciones Es reconocido como una fuente confiable de referencia que asegura la

identificación de las principales áreas de riesgo Mejora la comunicación y relaciones con la administración de TI

Testimonios de Casos EstudioTestimonios de Casos Estudio



Para mejorar enfoques / programas de auditoría Para apoyar el trabajo de auditoría con directrices

detalladas Proporcionar asistencia para la governance de TI Como una referencia (benchmark) valiosa de control

de SI/TI Para mejorar los controles de SI/TI Para estandarizar enfoques / programas de auditoría

Resultados de EncuestasResultados de Encuestas



El Marco COBIT

ElEl marco marco CCOBIOBIT T incluyeincluye::

Enfoque en el negocioEnfoque en el negocio

Orientación a Orientación a procesprocesosos

Recursos de Recursos de TTII


Parte de la premisa que TI debe proporcionar la información que la empresa necesita para lograr sus objetivos

Promociona enfoque y propiedad de procesosDivide TI en 34 procesos que corresponden a

cuatro dominios y proporciona objetivos de control de alto nivel para cada uno

Las necesidades empresariales fiduciarias, de calidad y seguridad se logran mediante siete criterios de información utilizados genéricamente para definir lo que el negocio requiere de TI

Se apoya en un conjunto de más de 300 objetivos de control detallados

● Efectividad● Eficiencia● Disponibilidad● Integridad● Confidencialidad● Fiabilidad● Cumplimiento

● Planificar y Organizar● Adquirir e Implementar● Prestar Servicios y Soporte● Monitorizar y Evaluar

¿En qué consiste COBIT? :


“A fin de proporcionar la información que la organización necesita para lograr sus objetivos, los recursos de TI deben ser gestionados mediante un conjunto de procesos naturalmente agrupados”

Relacionado con requerimientos de negocios (expresados como criterios de información)

Ligado con procesos de negocios Faculta a los propietarios del negocio Descompone TI en cuatro dominios y 34 procesos Dominios: (planificarconstruirejecutar) +

monitorizar Control, auditoría, gestión de implementación y

desempeño estructurados por proceso

Neg

ocio

s P

roce

sos

Orientación a Negocios y Enfoque de Procesos

IT IT ProcessesProcesses

BusinessRequirements

IT IT ResourcesResources

IT IT ProcessesProcesses


IT IT ResourcesResources


Definición del Marco de COBIT

“Para proporcionar la información que la empresa necesita para lograr sus objetivos,los recursos de TI deben gestionarse mediante un conjunto de procesos

naturalmente agrupados.”

IT Processes


IT Resources

IT Processes


IT Resources

I T RESOURCESI T RESOURCESI T RESOURCES

I T PROCESSESI T PROCESSESI T PROCESSES

BUSI NESSREQUI REMENTS

BUSI NESSBUSI NESSREQUI REMENTSREQUI REMENTS









Una orientación de procesos es un enfoque de gestión probado para ejercer Una orientación de procesos es un enfoque de gestión probado para ejercer eficientemente las responsabilidades, lograr las metas establecidas y eficientemente las responsabilidades, lograr las metas establecidas y gestionar razonablemente los riesgosgestionar razonablemente los riesgos

POR QUÉPOR QUÉ


RequRequeerriimmiiententooss de Calidad de Calidad• Calidad • Entrega• CostoRequiremRequiremiiententooss de de SeSegguriuridaddad • Confidencialidad• Integridad• DisponibilidadRequRequeerriimmiiententooss FiduciarFiduciariosios (Informe COSO)• Efectividad y eficiencia de

operaciones• Cumplimiento de leyes y

regulaciones • Fiabilidad de información finaciera

✔ Efectividad

✔ Eficiencia

✔ Confidencialidad

✔ Integridad

✔ Disponibilidad

✔ Cumplimiento

✔ Fiabilidad de la

información

Requerimientos de NegociosIT Processes


IT Resources

IT Processes


IT Resources


Efectividad –Se relaciona con la relevancia y pertinencia de la información para el proceso de negocios así como también con su entrega de manera oportuna, correcta, consistente y utilizableEficiencia –Se relaciona con la provisión de información mediante la óptima (más productiva y economica) utilización de los recursosConfidencialidad –Se relaciona con la protección de información sensible para evitar su divulgaciónIntegridad –Se relaciona con la exactitud y compleción de la información así como su validez de acuerdo con el conjunto de valores y expectativas del negocioDisponibilidad –Se relaciona con la disponibilidad de la información cuando sea requerida por el proceso de negocios, y por ende con la protección de los recursosCumplimiento –Trata del cumplimiento de leyes, regulaciones y contratos a que están sujetos los procesos de negocios, es decir, con criterios de negocios externamente impuestosFiabildad de la información –Se relaciona con que los sistemas provean a la gerencia de información apropiada para la operación de la entidad, proporcionen información financiera a quienes la requieran e información a los organismos reguladores relacionada con el cumplimiento de leyes y regulaciones

Requerimientos de NegociosIT Processes


IT Resources

IT Processes


IT Resources


Procesos

Una serie de actividades conjuntas con puntos de control naturales

Actividades o Tareas

Acciones requeridas para lograr un resultado medible. Las actividades tiene un ciclo de vida, mientras que las tareas son discretas

Dominios

Agrupamiento natural de procesos, a menudo coincidente con un dominio organizacional de responsabilidades

Orientación de ProcesosIT Processes


IT Resources

IT Processes


IT Resources


Dominios de TI • Planificar y

Organizar• Adquirir e

Implementar• Prestar

Servicios y Soporte

• Monitorizar y Evaluar

Procesos de TI • Estrategia de TI• Operaciones • Manejo de incidencias• Pruebas de aceptación• Gestión de cambios• Planes de contingencia• Gestión de problemas

Actividades• Registrar nuevo problema• Analizar• Proponer solución• Monitorizar solución• Registrar problema conocido• Etc.

Agrupamiento natural de procesos, a menudo coincidente con un dominio organizacional de responsabilidad

Una serie de actividades conjuntas con puntos naturales de control Acciones requeridas para lograr un

resultado medible. Las actividadeies tiene un ciclo de vida, mientras que las tareas son discretas

Orientación de ProcesosIT Processes


IT Resources

IT Processes


IT Resources


Descripción Este dominio incluye estrategias y tácticas, y se relaciona con la identificación

de cómo las TI pueden contribuir mejor al logro de los objetivos de negocios. Además, la consecución de la visión estratégica necesita ser planificada, comunicada y gestionada desde diferentes perspectivas. Finalmente, debe existir una organización apropiada y una infraestructura tecnológica

Tópicos Estrategias y tácticas Visión planificada Organización e infraestructura

Preguntas ¿Están alineadas las estrategias de negocios y TI? ¿Está la empresa utilizando óptimamente sus recursos? ¿Todos en la organización comprenden los objetivos de TI? ¿Se comprenden y gestionan los riesgos de TI? ¿Es la calidad de los sistemas de Ti apropiada para las necesidades de

negocios?

Dom

inio

s Orientación de Procesos Planificar y OrganizarPlanificar y Organizar

IT Processes


IT Resources

IT Processes


IT Resources


PO1 Definir un plan estratégico de tecnologías de información

PO2 Definir la arquitectura de información PO3 Determinar la dirección tecnológica PO4 Definir la organización y relaciones de TI PO5 Administrar las inversiones en tecnología de información PO6 Comunicar las metas y dirección de la gerencia PO7 Administrar recursos humanos PO8 Asegurar cumplimiento de requerimientos externos PO9 Evaluar riesgos PO10 Gestionar proyectos PO11 Gestionar calidad.

Orientación de Procesos Planificar y OrganizarPlanificar y Organizar


Adquirir e ImplementAdquirir e Implementar Descripción Para ejecutar la estrategia de TI, las soluciones de TI deben ser identificadas,

desarrolladas o adquiridas, así como implementadas e integradas con el proceso de negocios. Además, este dominio cubre los cambios y mantenimiento de los sistemas existentes para asegurar el cumplimiento del ciclo de vida de los sistemas.

Tópicos Soluciones de TI Cambios y mantenimiento

Preguntas ¿Los nuevos proyectos entregarán soluciones que atiendan las

necesidades de negocios? ¿Se terminarán puntualmente los nuevos proyectos respetando su

presupuesto? ¿Trabajará apropiadamente el nuevo sistema al ser implementado? ¿Se harán los cambios sin alterar las operaciones actuales de

negocios?

Dom

inio

s Orientación de Procesos

IT Processes


IT Resources

IT Processes


IT Resources


AI1 Identificar soluciones automatizadas

AI2 Adquirir y mantener software de aplicaciones

AI3 Adquirir y mantener infraestructura tecnológica

AI4 Desarrollar y mantener procedimientos de TI

AI5 Instalar y acreditar sistemas

AI6 Gestionar cambios

Orientación de Procesos

Adquirir e ImplementAdquirir e Implementar


Descripción Este dominio se encarga de la prestación real de los servicios requeridos, que varían desde

operaciones tradicionales, seguridad, aspectos de continuidad hasta entrenamiento. Para prestar servicios, deben establecerse los procesos necesarios de apoyo. Este dominio incluye el procesamiento real de los datos por las aplicaciones de sistemas, a menudo clasificado como controles de aplicaciones.

Tópicos Prestación de los servicios requeridos Establecimiento de procesos de apoyo Procesamiento mediante las aplicaciones de sistemas

Preguntas ¿Los servicios de TI se proporcionan de acuerdo con las prioridades de

negocios? ¿Están optimizados los costos de TI? ¿La fuerza de trabajo tiene la habilidad de usar los sistemas de TI productiva y

seguramente? ¿Se cuenta con seguridad, integridad y disponibilidad adecuadas?

Dom

inio

s Orientación de Procesos Prestar Servicios y SoportePrestar Servicios y Soporte

IT Processes


IT Resources

IT Processes


IT Resources


DS1 Definir y administrar niveles de servicio DS2 Administrar servicios de terceros DS3 Administrar desempeño y capacidad DS4 Asegurar continuidad del servicio DS5 Garantizar seguridad de los sistemas DS6 Identificar y asignar costos DS7 Educar y entrenar usuarios DS8 Apoyar y asistir a los clientes de TI DS9 Administrar configuración DS10 Administrar problemas e incidencias DS11 Administrar datos DS12 Administrar instalaciones DS13 Administrar operaciones


Prestar servicios y MantenerPrestar servicios y Mantener


Descripción La calidad y el cumplimiento de los requerimientos de control de todos los

processes de TI deben ser periódicamente evaluados. Este dominio, en consecuencia, trata de la supervisión por gerencia del proceso de control de la organización y la garantía independiente proporcionada por auditorías internas o externas u obtenidas de fuentes alternativas.

Tópicos Evaluación periódica, prestación de garantías Supervisión gerencial del sistema de control Medición de desempeño

Preguntas ¿Puede ser medido el desempeño de TI y pueden detectarse los

problemas antes de que sea demasiado tarde? ¿Se necesita garantía independiente para asegurar que las áreas

críticas funcionan de la manera pretendida?

Dom

inio

s Orientación de Procesos Monitorizar y EvaluarMonitorizar y Evaluar

IT Processes


IT Resources

IT Processes


IT Resources


M1 Monitorizar los procesosM2 Evaluar la adecuación del control internoM3 Obtener aseguramiento independienteM4 Proporcionar auditoría independiente


Monitorizar y EvaluarMonitorizar y Evaluar


Datos: Objetos de datos en su sentido más amplio, i.e., externos e internos, estructurados y no estructurados, gráficos, sonido, etc.

Aplicaciones de Sistemas: Entendidas como la suma de procedimientos manuales y programados

Tecnología: Incluye hardware, sistemas operativos, sistemas de gestión de base de datos, redes, multimedia, etc.

Instalaciones: Recursos que alojan y soportan los sistemas de informacion

Gente: Habilidades del staff, conciencia y productividad para planificar, organizar, adquirir, prestar, apoyar, monitorizar y evaluar sistemas y servicios de información

Recursos de TIIT Processes


IT Resources

IT Processes


IT Resources


Procesos de TI

Recursosde TI

Requerim ientos

Negocios

Datos

Aplicaciones de Sistem as

Tecnología

Instalaciones

Gente

Planificar y Organizar

Adquirir e Im plem entar

Prestar Servicios y Soporte

M onitorizar y Evaluar

Efectividad Eficiencia Confidencialid

ad Integridad Disponibilidad Cum plim iento Fiabilidad de

la inform ación

¿Cómo se relacionan? IT Processes


IT Resources

IT Processes


IT Resources


IT Processe

s

IT Resource

s

Business Requirem ent

s

Data

Application system s

Technology Facilities

People

Plan and Organise

Aquire and Im plem ent

Deliver and Support

M onitor and Evaluate

Effectiveness Efficiency Confidentiality Integrity Availability Com pliance Inform ation

reliability

Com o se Com o se organiza TI para organiza TI para responder a los responder a los requerim ientosrequerim ientos

Lo que los Lo que los accionistas accionistas esperan de TIesperan de TI

Los recursos Los recursos disponibles y disponibles y

acum ulados por acum ulados por TITI


PO1 Definir un plan estratégico de TIPO2 Definir la arquitectura de informaciónPO3 Determinar la dirección tecnológicaPO4 Definir la organización y relaciones de TIPO5 Administrar la inversión de TIPO6 Comunicar las metas y dirección de la gerenciaPO7 Administrar recursos humanosPO8 Asegurar cumplimiento de requerimientos externosPO9 Evaluar riesgosPO10 Administrar proyectosPO11 Administrar calidad

AI1 Identificar soluciones automatizadasAI2 Adquirir y mantener software de aplicacionesAI3 Adquirir y mantener infraestructura tecnológicaAI4 Desarrollar y mantener procedimientos de TIAI5 Instalar y acreditar sistemasAI6 Administrar cambios

M1 Monitorizar los procesosM2 Evaluar adecuación del control internoM3 Obtener aseguramiento independienteM4 Proveer de auditoría independiente

DS1 Definir niveles de servicioDS2 Administrar servicios de tercerosDS3 Administrar desempeño y capacidadDS4 Asegurar continuidad de servicioDS5 Garantizar seguridad de sistemas DS6 Identificar y asignar costosDS7 Educar y entrenar usuariosDS8 Apoyar y asistir a clientes de TIDS9 Administrar la configuraciónDS10 Administrar problemas e incidentesDS11 Administrar datosDS12 Administrar instalacionesDS13 Administrar operaciones

RECURSOS DE TI

• Datos• Aplicaciones• Tecnología• Instalaciones• Gente PLANIFICAR Y

ORGANIZAR

ADQUIRIR EIMPLEMENTAR

PRESTAR SERV Y SOPORTE

• Efectividad• Eficiencia• Confidencialidad• Integridad• Disponibilidad• Cumplimiento• Fiabilidad

Criterios

Objetivos de NegociosMarco deCOBIT

MONITORIZAR Y EVALUAR


PROCESOSDE NEGOCIOS

INFORMACIÓN

• Efectividad• Eficiencia• Confidencialidad• Integridad• Disponibilidad• Cumplimiento• Fiabilidad

Criterios

COBIT

RECURSOS DE TI

• Datos• Aplicación de sistemas• Tecnología• Instalaciones• Gente PLANIFICAR

Y ORGANIZAR

ADQUIRIR EIMPLEMENTAR

PRESTAR SERV Y SOPORTE

Marco deCOBIT

Para proporcionar Para proporcionar la información que la información que

la organización la organización necesita para necesita para

lograr sus lograr sus objetivosobjetivos, , los los recursos de TI recursos de TI

deben ser deben ser administrados por administrados por

un conjunto de un conjunto de procesos procesos

naturalmente naturalmente agrupadosagrupados

MONITORIZARY EVALUAR


Resum en hasta el m om ento TI es indispensable para la supervivencia y crecimiento de las

empresas. La gerencia es responsable del control. Dicha responsabilidad requiere de un marco:

� Los requerimientos de negocio pueden ser expresados como criterios de información.

eTI generalmente es organizada como un conjunto de procesos. TI requiere de un conjunto de recursos.

COBIT es un estándar aceptado internacionalmente

Para proporcionar la información que la organización Para proporcionar la información que la organización necesita para lograr sus objetivosnecesita para lograr sus objetivos, , los recursos de TI deben los recursos de TI deben ser administrados porser administrados por un conjunto naturalmente agrupado un conjunto naturalmente agrupado de procesosde procesos

Marco de COBIT


El Cubo COBIT


Dom inios TI

Recursos TI

Criterios deInform ación

Planificar yOrganizar

Adquirir e Im plem entar

Entregar y M antener

M onitorizar y Evaluar

Gente

Apliccaci

ó nTecnolog

íaInstalaciones

Daosa

Efectiv

idad

Eficien

cia

Confid

encia

lidad

Integ

ridad

Dispon

ibilid

ad

Cumpli

miento

Fiabilid

ad

S P

Ayudas de Navegación

Cubo COBIT


ResumenResumenProcesProcesoos, s, CriteriCriterios yos y ReReccurursososs


Efec

tivid

adEf

icie

ncia

Conf

iden

cial

idad

Inte

grid

adDi

spon

ibili

dad

Cum

plim

ient

oFi

abili

dad

Gen

teA

plic

acio

nes

Tecn

olog

í aIn

stal

acio

nes

Dato

s

Dominio ProcesoAdquirir eImplementar

AI1 Identificar soluciones automatizadas P S ➼ ➼ ➼

AI2 Adquirir y mantener software de aplicacines P P S S S ➼

AI3 Adquirir y mantener infraestructura tecnológica P P S ➼

AI4 Desarrollar y mantener procedimientos P P S S S ➼ ➼ ➼ ➼

AI5 Instalar y acreditar sistemas P S S ➼ ➼ ➼ ➼ ➼

AI6 Administrar cambios P P P P S ➼ ➼ ➼ ➼ ➼

COBIT Resumen de Procesos, Criterios y Recursos

AI6


Tarea

El proceso CEl proceso COBIOBIT más importanteT más importante

““En un negocio con el cual esté familiarizadoEn un negocio con el cual esté familiarizado, , ¿cuál sería¿cuál sería el el procesproceso de TI o de TI mmásás important importantee? ? ¿Por ¿Por

quéqué?”?”


Productos COBIT Importantes

Objetivos de Control—Objetivos de Control—““Los controles mínimos son...”Los controles mínimos son...”

Directrices Gerenciales—Directrices Gerenciales—““Así es como se mide…”Así es como se mide…”

Directrices de Auditoría—Directrices de Auditoría—““Así es como se audita...”Así es como se audita...”


Definiciones de Control y Objetivos de Control

Las politicas, procedimientos, prácticas y estructuras organizacionales diseñadas para proporcionar certeza razonable de la consecución de los objetivos de negocios y prevención, detección o corrección de eventos indeseables

DefiniDefinicciióón n dede ControlControl

DefiniDefinicciióón n dede ObjetivObjetivoo de de Control Control de de TTII

Un enunciado del resultado deseado o propósito a lograr mediante la implementación de prácticas de control en una actividad particular de TI


Objetivo de control de alto nivel• Uno por proceso

Objetivos de control detallados• De tres a 30 por proceso

Prácticas de control• De cinco a siete por objetivo de control

Objetivos de Control y Prácticas de Control


El control de

Procesos de TI que satisfacen

es habilitado porEnunciadosde Control que consideran

Prácticas de Control

El Modelo de Cascada

4 Domin4 Dominioios 34 Process 34 Procesoos 318 Objetivs 318 Objetivoos s de de ControlControl

Requerimientosde negocios


AI6AI6 Administrar cambiosAdministrar cambios

La administración de cambios a los programas de computador es necesaria para asegurar la integridad de procesamiento entre versiones, y la consistencia de resultados entre períodos. Los cambios deben ser formalmente administrados vía controles de solicitud de cambio, evaluación de impacto, documentación, políticas y procedimientos de autorización, liberación, y distribución

Objetivo de Control de Alto Nivel


AI6Objetivo de Control de Alto Nivel


AI6 Administrar cambios

6.1 Solicitud de inicio de cambio y controlLa administración de TI debe asegurar que todas las solicitudes de cambios, mantenimiento de sistemas y mantenimiento de proveedores sean estandarizadas y sujetas a procedimientos formales de administración de cambios. Los cambios deben ser categorizados y priorizados, y debe haber procedimientos específicos para manejar cambios de urgencia. Los solicitantes de cambios deben ser informados del estado de su solicitud.6.2 Evaluación de impactoDebe existir un procedimiento para asegurar que todas las solicitudes de cambio son evaluadas de manera estructurada para determinar todos los posibles impactos sobre el sistema operacional y su funcionalidad �

6.3 Control de cambiosLa administración de TI debe asegurar que la administración de cambios y el control y distribución del software están integradas apropiadamente con un sistema comprehensivo de gestión de configuración. El sistema utilizado para monitorizar los cambios a las aplicaciones de sistemas debe ser automatizado para apoyar el registro y seguimiento de cambios hechos en sistemas de información grandes y complejos.i

6.4 Cambios de emergenciaLa administración de TI debe establecer parámetros de definición de cambios de emergencia y procedimientos para controlar estos cambios cuando obvien el proceso normal de evaluación técnica, operacional y administrativa previo a su implementación. Los cambios de emergencia deben ser registrados y autorizados por la administración de TI antes de ser implementados.

Objetivos de Control Detallados


Objetivos de Control Detallados

AI6 Administrar Cambios (continución))

6.5 Documentación y procedimientosEl proceso de cambios debe asegurar que, cada vez que se implementan cambios en el sistema, la documentación y procedimientos asociados son documentados consiguientemente.

6.6 Mantenimiento autorizadoLa administración de TI debe asegurar que el personal de mantenimiento tiene tareas específicas y su trabajo es apropiadamente monitorizado. Además, sus derechos de acceso al sistema deben ser controlados para evitar riesgos de acceso no autorizados a los sistemas automatizados.

6.7 Política de liberación de softwareLa administración de TI debe asegurar que la liberación de software se controla con procedimientos formales—garantiza corte, empaquetado, pruebas de regresión, instalación, etc.e

6.8 Distribución de softwareDebe establecerse medidas específicas de control interno para asegurar la distribución del elemento correcto de software, al lugar correcto, con integridad, oportunamente y con pistas de auditoría adecuadas.


COBIT

AI6Objetivosde Control Detallados


Prácticas de control. Son mecanismos claves de control que apoyan:• El logro de los objetivos de control• La prevención, detección y corrección de eventos

indeseablesPrácticas de control. Logran lo anterior mediante:

• Utilización responsable de recursos• Administración apropiada de riesgos • Alineación de TI con el negocio

Traducen los objetivos de control de CTraducen los objetivos de control de COBIOBIT en prácticas detalladas e T en prácticas detalladas e implementables y proporcionan la argumentation de negocios para su implementables y proporcionan la argumentation de negocios para su implementación, a partir de una perspectiva de valor y riesgosimplementación, a partir de una perspectiva de valor y riesgos



1. La administración define parámetros, características y procedimientos que identican y declaran emergencias.

2. Todos los cambios de emergencia son documentados,sino antes, después de la implementación.

3. Todos los cambios de emergencia son probados, sino antes. después de la implementación.

4. Todos los cambios de emergencia son formalmente autorizados por el propietario del sistema y la administración antes de su implementación.

5. Imágenes antes y después así como logs de intervención se guardan para revisión subsiguiente.

El control de cambios de emergencia mediante la implementación de prácticas control:� Asegurará que los procedimientos de emergencia se usen solo en emergencias declaradasi Asegurará que los cambios urgentes se implementen sin comprometer la integridad, disponibilidad, fiabilidad, seguridad, confidencialidad o exactitud

AI6 AI6 Administrar cambiosAdministrar cambiosAI6.4 AI6.4 Cambios de emergenciaCambios de emergenciaLa administración de TI debe establecer parámetros de definición de cambios de emergencia y procedimientos para controlar estos cambios cuando obvien el proceso normal de evaluación técnica, operacional y administrativa previo a su implementación. Los cambios de emergencia deben ser registrados y autorizados por la administración de TI antes de ser implementados.

Prácticas de Control ¿Por qué se ejecutan?





Directrices Gerenciales—Directrices Gerenciales—““Así es como se mide…”Así es como se mide…”



Modelo de Governance de TI

Governance de TI ayuda a determinar la manera en que los sistemas automatizados :• Simplifican operaciones• Reducen costos• Aumentan las utilidades

Requiere de un m arco de control de TI


¿Cómo se enlaza COBIT con Governance de TI?

Metas ResponsabilidadesObjetivos de control

Requerimientos

NegocioNegocio TITI GovernanceGovernance

Información que el negocio necesita para lograr sus objetivos

Información que los Ejecutivos y

Directorio necesitan para ejercer sus

responsabilidades

Dirección y Recursos


GovernanceGovernance de TI de TI

Metas ResponsabilidadesObjetivos de Control

Requerimientos

Negocio ITTI Governance

Información quenegocio necesita para

lograr sus objetivos

Dirección(Estrategia de TI y Políticas)

Información(Control de TI, Riesgos

y Seguridades)

¿Cómo se enlaza COBIT con Governance de TI?


Sin embargo, la gerencia tiene preguntas que sobrepasan el marco de control:

¿Cómo "mantiene el curso de la nave"un gerente responsable?

PIZARRA

¿Cómo lograr resultados satisfactorios para elmayor segmento posible de nuestros stakeholders?

SCORECARDS

¿Cómo adaptar oportunamente la organizacióna las tendencias y desarrollos en el entorno de la empresa?

BENCHMARKING

¿Indicadores?¿Indicadores?

¿Medidas?¿Medidas?

¿Escalas?¿Escalas?

Directrices Gerenciales


Control Statem ents

Control Practices

is enabled by

and considers

IT Processes

The control of

Business Requirem ents

which satisfy

Descripción de Procesos

Factores Críticos de Éxito (CSF)

� � � � �

Indicadores Claves de Metas (KGI)� �

Indicadores Claves de Desempeño (KPI)� �

Criterios deInformación

Recursos

00 No se aplican procesos de adm inistración.

11 Procesos son ad hoc y desorganizados.

22 Procesos siguen un patrón regular.

33 Procesos se docum entan y com unican.

44 Procesos se m onitorizan y m iden.

55 – Se siguen las m ejores prácticas y se autom atizan.

Modelo de Madurez

Marco de Directrices Gerenciales


● Describen el resultado del proceso (i.e., medibles después del hecho); son medidas de “qué,” y pueden describir el impacto de no lograr la meta del proceso

● Son indicadores del éxito del proceso y su contribución al negocio

● Se enfocan en las dimensiones cliente y financiera del balanced scorecard

Indicadores Claves de Metas, KGI

Control Statem ents

Control Practices

is enabled by

and considers

IT Processes

The control of


which satisfy

Definiciones


● Nivel incrementado de entrega de servicio● Número de clientes y costo por cliente atendido● Disponibilidad de sistemas y servicios● Ausencia de riesgos de integridad y confidencialidad● Eficiencia de costos de procesos y operaciones● Confirmación de fiabilidad y efectividad● Adherencia a costos y cronograma de desarrollo● Eficiencia de costos del proceso● Productividad y moral del staff ● Número de cambios oportunos a procesos y sistemas● Productividad mejorada (e.g., producción de valor por empleado)

Indicadores Claves de Metas, KGI

Ejemplos


● Son medidas de “cuán bien” se desempeña un proceso

● Predicen la probabilidad de éxito o fracaso

● Se enfocan en las dimensiones de proceso y aprendizaje del balanced scorecard

● Se expresan en términos precisos y medibles

● Deben servir para mejorar el proceso de TI

Indicadores Claves de Desempeño, KPI

Control Statem ents

Control Practices

is enabled by

and considers

IT Processes

The control of


which satisfy

Definiciones


•Núm ero de clientes de TI

•Costo por cliente de TI

•Costo eficiencia de los procesos de TI

•Entrega de valor de TI por em pleado

Inform ación

•Disponibilidad de sistem as y servicios

•Desarrollos a tiem po y dentro de presupuesto

•“Throughput” y tiem pos de respuesta

•Cantidad de errores y reproceso

•Nivel de servicio entregado

•Satisfacción de los clientes existentes

•Núm ero de nuevos clientes logrados

•Núm ero de nuevos canales de servicio

FFinanciera

ClienteCliente

•Productividad y m oral del staff

•Núm ero de staff entrenados en nuevas tecnologías / servicios

•Entrega de valor por em pleado

•Disponibilidd aum entada de sistem as de conocim iento

AprendizajeAprendizaje

PProceso

Indicadores Claves de Desempeño, KPI

Ejemplos


● Son las cosas más importantes que hacer para incrementar la probabilidad de éxito del proceso

● Son características observables—a menudo medibles—de la organización y proceso

● Se enfocan en obtener, mantener y potenciar capacidades, habilidades y comportamiento

Factores Críticos de Éxito, CSF

Control Statem ents

Control Practices

is enabled by

and considers

IT Processes

The control of


which satisfy

Definiciones


● Son lineamientos de implementación dirigidos a la gerencia e identifican las cosas más importantes que hacer estratégica, técnica, organizacional o procedimentalmente

Ejemplos de CSFs incluyen:

● Los procesos de TI son definidos y alineados con las estrategias de TI y los objetivos de negocios

● Los clientes del proceso y sus expectativas son conocidos● Los procesos son escalables y sus recursos son gestionados y

desplegados apropiadamente

Factores Críticos de Éxito, CSF

Definiciones (cont.)


• El plan estratégico de TI claramente enuncia una posicion de riesgo tal como uso de la tecnología de punta o tecnología probada, innovador o seguidor, con el consiguiente equilibrio entre tiempo para mercadear, costo de propiedad y calidad de servicio.

• Si no está listo para hacer cumplir la política, no la emita.

• Un programa de permisos de construcción para construir sistemas de TI y un programa de “licencias de conducir” para los constructores

• Un buen plan de seguridad demora en evolucionar.

EstrategiaEstrategia

PolíticaPolítica

CumplimientoCumplimiento

SeguridadSeguridad

Ejemplos

Factores Críticos de Éxito


● Se refieren a los requerimientos de negocios (ICM, KGI en inglés) y a los aspectos habilitadores(ICD, KPI en inglés) en los diferentes niveles

● Son una escala que se presta a comparaciones prácticas, que permite medir fácilmente la diferencia

● Son reconocibles como un perfil de la empresa con relación a governance y control de TI

● Asisten en determinar como están y como serán las posiciones relativas a governance y control de madurez y en analizar la brecha

● No son específicos de cada industria ni aplicables con generalidad. La naturaleza del negocio determina cual es un nivel apropiado

Modelos de Madurez

Definiciones


0 1 2 3 4 5

Inexistente Inicial Repetible Definido Adm inistradoOptim izado

Status actual de la em presa

Lineam ientos estándares internacionales

M ejores prácticas de la industria

Estrategia em presarial

Leyenda de Sím bolos Usados

Leyenda de Escala Usada

0 – No se aplica la adm inistración de procesos1 Procesos son ad hoc y desorganizados2 Procesos siguen un patrón regular3 Procesos se docum entan y com unican.4 Processes se m onitorizan y m iden5 – Se siguen las m ejores prácticas y se autom atizan

Modelos de Madurez

Uso


AI6Directrices

Gerenciales




Lineamientos de Gerenciales—Lineamientos de Gerenciales—““Así es como se mide…”Así es como se mide…”



Proporcionar a la gerencia seguridad razonable del cumplimiento de los objetivos de control

Donde existan debilidades significtivas de control, fundamentar los riesgos resultantes

Proponer a la gerencia las acciones correctivas

Objetivos de la Auditoría

““¿¿Estoy bien? Y, si no, ¿cómo lo arreglo?iEstoy bien? Y, si no, ¿cómo lo arreglo?� ””


Estructura del Proceso de Auditoría

Identificacion y

Docum entación

Evaluación Pruebas de Cum plim ient

o

PruebasPruebasSustantivasSustantivas


Un proceso de TI es auditado mediante:

• ObtObtenciónención de entendimientode entendimiento de los riesgos relacionados con los requerimientos de negocios y medidas de control relevantes

• EvaluaEvaluación de loción de lo apropia apropiadodo de los controles establecidos

• Evaluación de cumplimientoEvaluación de cumplimiento probando si los controles establecidos trabajan según lo prescrito, consistente y continuamente

• Fundamentación del riesgoFundamentación del riesgo de los objetivos de control incumplidos mediante técnicas analíticas y/o consultando fuentes alternativas


Una directrizUna directriz ggenenéérica rica yy 34 34 directrices directrices orientorientaadadas a ps a procesrocesooss

Una directriz genérica identifica varias tareas a realizar para evaluar cualquir objetivo de control de un proceso. Esta directriz genérica es un modelo para todos los objetivos de control

Otros, son específicos, sugerencias de tareas orientadas a procesos para proporcionar seguridad a la gerencia de que existe un control con un nivel razonable de efectividad

COBIT Directrices de Auditoría


Obtención de entendimientoLos pasos de auditoría a ejecutar para documentar las actividades subyacentes a los objetivos de control e identificar las medidas/procedimientos de control establecidos

Entreviste a las gerencias apropiadas y staff para obtener y adquirir un entendimiento de:• Requerimientos de negocios y riesgos asociados• Estructura de la organización• Roles y responsabilidades• Políticas y procedimientos• Leyes y regulaciones• Medidas de control establecidas• Informes gerenciales (status, desempeño, acciones)

Documente los recursos de TI relacionados con procesos particularmente afectados por el proceso en revisión Confirme el entendimiento del proceso en revisión, las implicancias de control, e.g., mediante un recorrido del proceso

Directriz Genérica de Auditoría (1 de 4)


Evaluación de ControlesLos pasos de auditoría a ejecutar con miras a evaluar la efectividad de los controles establecidos o el grado de cumplimiento de los objetivos de control

Evalúe lo apropiado de las medidas de control del proceso en revisión mediante la consideración de criterios identificados, practicas estándares de la industria y aplicación de juicio profesional. Determine si: • Existe un proceso documentado • Existen entregables apropiados • Responsabilidad y rendición de cuentas son claras y efectivas • Existen controles compensatorios en caso necesario

Concluya señalando el grado de cumplimiento de los objetivos de control



Evaluación de CumplimientoLos pasos de auditoría a ejecutar para asegurar que las medidas de control establecidas trabajan según lo prescrito, consistente y continuamente

Obtenga evidencia directa o indirecta de items/períodos seleccionados para asegurar que los procedimientos se han cumplido en el período de revisión, empleando tanto evidencia directa como indirecta

Ejecute una limitada revisión de lo adecuado de los entregables del proceso

Determine el nivel de pruebas sustantivas y trabajo adicional necesarios para proporcionar seguridad de que el proceso de TI is adecuado.



Fundamentación del RiesgoLos pasos de auditoría a ejecutar para fundamentar el riesgo de no cumplimiento del objetivo de control mediante el uso de técnicas analíticas y/o consulta de fuentes alternativas

Documente las debilidades de control y las correspondientes amenazas y vulnerabilidades.

Identifique y documente el impacto actual y potencial



OBJETIVOS DE CONTROL�1.� � � � � Interfaces de proveedores 2.2. � � � Relaciones de propietarios 3.3. � � � Contratos con terceros 4.4. � � � Calificaciones de terceros 5.5. � � � Contratos de tercerización 6.6. � � � Continuidad de servicio 7.7. � � � Relaciones de seguridad 8.8. � � � Monitoreo

Directriz Detallada de Auditoría (1 de n)DS2 GESTIONE LOS SERVICIOS DE TERCEROS


TANTO LOS OBJETIVOS DE CONTROL DE ALTO NIVEL COMO LOS DETALLADOS SON AUDITADOS MEDIANTE:Obtención de entendimiento por medio de:O EntrevistasE

El jefe de TI La dirección senior de TIEl administrador de contratos/niveles de servicio de TI La dirección de producción de Ti El oficial de seguridad

Directriz detallada de auditoría (1 de n)DS2 GESTIONE LOS SERVICIOS DE TERCEROS


TANTO LOS OBJETIVOS DE CONTROL DE ALTO NIVEL COMO LOS DETALLADOS SON AUDITADOS MEDIANTE:Obtención de entendimiento por medio de:O La obtención de:L Políticas y procedimientos aplicables a toda la organización relacionadas con los servicios comprados y, en particular, las relaciones con terceros Políticas y procedimientos de TI relacionadas con: relaciones con terceros, procedimientos de selección de proveedores, contenido del contrato de tales relaciones, seguridad física y lógica, mantenimiento de calidad de proveedores, planeamiento de contingencia y tercerización



TANTO LOS OBJETIVOS DE CONTROL DE ALTO NIVEL COMO LOS DETALLADOS SON AUDITADOS MEDIANTE:Obtención de entendimiento por medio de:O La obtención de (continuación):: La lista de todas las relaciones tercerizadas actuales y los contratos reales asociados con cada una Información de nivel de servicio relacionada con las relaciones y servicios de terceros Actas de reuniones en que se discutió la revisión del contrato, evaluación de desempeño y gestión de la relación Los acuerdos de confidencialidad de todas las relaciones tercerizadas



TANTO LOS OBJETIVOS DE CONTROL DE ALTO NIVEL COMO LOS DETALLADOS SON AUDITADOS MEDIANTE:Obtención de entendimiento por medio de:O La obtención de (continuación):: Los listados de perfiles de acceso de seguridad y recursos de los proveedores



TANTO LOS OBJETIVOS DE CONTROL DE ALTO NIVEL COMO LOS DETALLADOS SON AUDITADOS MEDIANTE:Evaluación de controles mediante:E Considerando si:C Existen políticas y procedimientos para las relaciones tercerizadas y éstas son consistentes con las políticas organizacionales generales Existen políticas que tratan de la necesidad de contratos, definición del contenido de los contratos, propietario o administrador de la relación responsable de asegurar que los contratos se creen, mantengan, supervisen y renegocien según sea requerido �

directriz detallado de auditoría (1 de n)DS2 GESTIONE LOS SERVICIOS DE TERCEROS


TANTO LOS OBJETIVOS DE CONTROL DE ALTO NIVEL COMO LOS DETALLADOS SON AUDITADOS MEDIANTE:Evaluación de controles mediante:E Considerando si (continuación):: Se definen las interfaces con agentes independientes involucrados en la conducción del proyecto y cualquier otra parte, tales como subcontratistas Los contratos representan un registro exhaustivo y completo de relaciones con proveedor de servicios de terceros Se establecen contratos específicamente para la continuidad de servicio, y estos contratos incluyen el planeamiento de contingencia por el proveedor para asegurar el servicio continuo a los usuarios de sus servicios

directriz detallado de auditoría (1 de n)DS2 GESTIONE LOS SERVICIOS DE TERCEROS


TANTO LOS OBJETIVOS DE CONTROL DE ALTO NIVEL COMO LOS DETALLADOS SON AUDITADOS MEDIANTE:Evaluación de controles mediante:E Considerando si (continuación):: El contenido del contrato incluye por lo menos lo siguienteEl cont gestión formal y aprobación legal gest i ón entidad legal proveedora de servicios ent i dad servicios proporcionados ser vi ci acuerdos de nivel de servicios tanto cualitativos como cuantitativos cuant i t costo de servicios y frecuencia de pago de los servicios ost o d proceso de resolución de problemas pr oceso las multas por faltas de desempeño



TANTO LOS OBJETIVOS DE CONTROL DE ALTO NIVEL COMO LOS DETALLADOS SON AUDITADOS MEDIANTE:Evaluación de controles mediante:

:Considerando si (continuación):

: El contenido del contrato incluye por lo menos lo siguiente (continuación) ( cont i proceso de disolución proceso de modificación informes de servicio contenido, frecuencia, y distribución los roles de las partes contratantes durante la vida de contrato garantías de continuidad de que los servicios continuarán siendo proporcionados por el proveedor si endo



TANTO LOS OBJETIVOS DE CONTROL DE ALTO NIVEL COMO LOS DETALLADOS SON AUDITADOS MEDIANTE:Evaluación de controles mediante:

:Considerando si (continuación):

: El contenido del contrato incluye por lo menos lo siguiente (continuación) ( cont i proceso y frecuencia de comunicación entre el usuario de servicios y el proveedor duración del contrato dur aci nivel de acceso proporcionado al proveedor ni ve requisitos de seguridad equi garantías de confidencialidad ar an derecho de acceso y derecho de auditar



TANTO LOS OBJETIVOS DE CONTROL DE ALTO NIVEL COMO LOS DETALLADOS SON AUDITADOS MEDIANTE:

Evaluación de controles mediante:

Considerando si:C Se ha negociado los acuerdos de garantía de ser apropiado Los proveedores potenciales son calificados apropiadamente a través de una valoración de su capacidad de prestar el servicio requerido (diligencia debida)

Directriz detalladao de auditoría (1 de n)DS2 GESTIONE LOS SERVICIOS DE TERCEROS


TANTO LOS OBJETIVOS DE CONTROL DE ALTO NIVEL COMO LOS DETALLADOS SON AUDITADOS MEDIANTE:Evaluación del cumplimiento mediante:� Probando que: P La lista de contratos, y los contratos reales existentes, es exacta Ningún servicio es proporcionado por proveedores que no están en la lista de contratos Los proveedores de los contratos están realmente ejecutando los servicios definidos La administración/propietarios del proveedor entienden sus responsabilidades en los contratos



TANTO LOS OBJETIVOS DE CONTROL DE ALTO NIVEL COMO LOS DETALLADOS SON AUDITADOS MEDIANTE:Evaluación del cumplimiento medianteE Probando que (continuación): : Las políticas y procedimientos que tienen que ver con las relaciones con terceras partes existen y son consistente con las políticas generales de la organización Existen políticas que tratan específicamente de la necesidad de contratos, definición del contenido de contratos, propietario o administrador de la relación responsable de asegurar que los contratos se creen, mantengan, supervisen y renegocien según sea requerido n



TANTO LOS OBJETIVOS DE CONTROL DE ALTO NIVEL COMO LOS DETALLADOS SON AUDITADOS MEDIANTE:Evaluación del cumplimiento medianteE Probando que (continuación): : Los contratos representan un registro exhaustivo y completo de relaciones tercerizadas con proveedores Se establecen contratos específicamente para continuidad de servicios, y que estos contratos incluyen el planeamiento de contingencia por el proveedor para asegurar el servicio continuo al usuario de servicios



TANTO LOS OBJETIVOS DE CONTROL DE ALTO NIVEL COMO LOS DETALLADOS SON AUDITADOS MEDIANTE:Evaluación del cumplimiento medianteE Probando que (continuación): : El contenido del contrato incluye por lo menos lo siguiente:El cont gestión formal y aprobación legal gest i ón entidad legal proveedora de servicios ent i dad servicios proporcionados ser vi ci acuerdos de nivel de servicios tanto cualitativos como cuantitativos cuant i t costo de servicios y frecuencia de pago de los servicios ost o d proceso de resolución de problemas pr oceso las multas por faltas de desempeño




Evaluación del cumplimiento mediante:

Probando que (continuación):

: El contenido del contrato incluye por lo menos lo siguiente (continuación) ( cont i proceso de disolución proceso de modificación informes de servicio contenido, frecuencia, y distribución los roles de las partes contratantes durante la vida del contrato garantías de continuidad de que los servicios continuarán siendo proporcionados por el proveedor si endo




Evaluación del cumplimiento mediante: El contenido del contrato incluye por lo menos lo siguiente (continuación) ( cont i proceso y frecuencia de comunicación entre el usuario de servicios y el proveedor duración del contrato nivel de acceso proporcionado al proveedor requisitos de seguridad garantías de confidencialidad derecho de acceso y derecho de auditar



TANTO LOS OBJETIVOS DE CONTROL DE ALTO NIVEL COMO LOS DETALLADOS SON AUDITADOS MEDIANTE:Evaluación del cumplimiento mediante:

Probando que (continuación): Los usuarios son conscientes y entienden la necesidad de las políticas de contratos y de los contratos para proporcionar servicios Existe independencia apropiada entre el proveedor y la organización Ocurre independencia de fuente de proveedor y de los procesos de selección Las listas de accesos de seguridad incluyen sólo el número mínimo de personal del proveedor requerido, y el acceso es el mínimo necesario




Probando que (continuación): : El acceso vía hardware y software a los recursos de la organización es administrado y controlado para minimizar el uso del proveedor El nivel real de servicio logrado se compara favorablemente con las obligaciones contractuales Las instalaciones de outsourcing, personal, operaciones y control aseguran el nivel requerido de desempeño comparable a lo esperado La administración realiza un monitoreo continuo de la entrega de servicio por terceros




Probando que (continuación): : Ocurren auditorías independientes de las operaciones del contratista Existen informes de valoración de terceras partes potenciales para evaluar su capacidad de entregar el servicio requerido Historia de actividad de litigación pasada y actual Las interfaces con agentes independientes involucrados en la conducción del proyecto se documentan en el contrato Los contratos con proveedores de Private Branch Exchange (PBX) se incluyen



TANTO LOS OBJETIVOS DE CONTROL DE ALTO NIVEL COMO LOS DETALLADOS SON AUDITADOS MEDIANTE:Fundamentando el riesgo de incumplimiento de los objetivos control mediante: o La ejecución de: L Benchmarking de servicios tercerizados contra los proporcionados por organizaciones similares o estándares internacionales apropiados /mejores prácticas reconocidas de la industria Una revisión detallada de cada contrato con terceros para determinar las provisiones cualitativas y cuantitativas que confirmen que las obligaciones están definidas



TANTO LOS OBJETIVOS DE CONTROL DE ALTO NIVEL COMO LOS DETALLADOS SON AUDITADOS MEDIANTE:Fundamentando el riesgo de incumplimiento de los objetivos control mediante:

Identificando: Provisiones que describen la coordinación y comunicación de la relación entre proveedor y usuario de los servicios de información Las facturas de terceros reflejan los cargos exactos por los servicios de los contratos seleccionados El enlace de la organización con los proveedores tercerizados asegura la comunicación de problemas del contrato entre las partes y usuarios de servicios El asesor legal y la dirección aprueban todos los contratos




Identificando: Se realiza una valoración continuada de riesgo para confirmar la necesidad de la relación o la necesidad de modificar la relación Ocurre la revisión y la acción correctiva continua por parte de la dirección basada en informes de contratos Se compara la razonabilidad de los cargos con medidas de desempeño internas, externas y de industrias comparables Todos los servicios contratados tienen planes de contingencia establecidos, específicamente servicios de recuperación de desastres para la función de TI




Identificando (conclusión): Para las funciones tercerizadas, las limitaciones claras o las oportunidades de mejorar desempeño o reducir los costos que existen Ocurre la implementación de recomendaciones resultado de las auditorías independientes del contratista



Cómo se enlazan los Directrices de Auditoría y los Objetivos de Control

Obtención de entendimientoObtención de entendimiento

Evaluación de apropiabilidadEvaluación de apropiabilidad

Evaluación de cumplimientoEvaluación de cumplimiento

Fundamentación del riesgoFundamentación del riesgo

Objetivos de control traducidos para verificar si son tratados y si se toma en cuenta su apropiabilidad para la empresa y las afirmaciones de la gerencia sobre su presencia

Objetivos de control traducidos para probar y/o medir si los controles de apoyo de los objetivos de control están presentes como se afirma y si operan satisfactoriamente

• Compilar información relacionada con procesos de negocios, riesgos, infraestructura, etc.

• Ilustrar objetivos de negocios incumplidos, pérdidas, etc, debido a la ausencia de control


Negocio

Procesosde TI

Directrices de

Auditoría

Objetivosde

Control

Prácticas de

Control

Factores Críticos de Éxito

Indicadores Claves

de Desem peñ

o

IndicadoresClaves de M etas

M odelos de

M adurez

requerimientos información

medidas con

controlados por

implementad

con

auditados por

de desempe

ño

de resultados de madurez

hechos efectivos

y eficientes conse traducen en

= considera

Cómo se enlazan las directrices de Auditoría y los demás elementos de COBIT

introducción a cobit - uladechfiles.uladech.edu.pe/docente/02659781/cat/s07/01...

Documents