ASI15

AUDITORA DE SISTEMAS DE INFORMACIN
NDICE
1.- INTRODUCCIN 2.- OBJETIVOS DE LA ASI 3.- CONTROL INTERNO 4.- METODOLOGAS DE ASI 5.- REAS DE REVISIN 6.- NORMAS Y REGULACIONES
REAS DE REVISIN
COBIT:
Una perspectiva detallada
REAS DE REVISIN
C OB I T
Control OBjectives for Information and Related Technology
REAS DE REVISIN
INDICE
Introduccin Marco de referencia Objetivos de Control Directrices de auditora Directrices gerenciales Gua para la implementacin
REAS DE REVISIN
Misin de los COBIT

Investigar, desarrollar, publicar y promover un conjunto de objetivos de control en tecnologa de informacin con autoridad, actualizados, de carcter internacional y aceptados generalmente para el uso cotidiano de gerentes de empresas y auditores
REAS DE REVISIN
Fuentes
* Estndares tcnicos de ISO, EDIFACT, etc. * Cdigos de conducta emitidos por Consejo de Europa, OECD, ISACA, etc. * Criterios de calificacin para procesos y sistemas TI: ITSEC, TCSEC, ISO 9000, SPICE, TickIT, Common Criteria, etc. * Estndares profesionales en control interno y auditora: COSO Report, CICA, IFAC, AICPA, IIA, ISACA, PCIE, GAO standards, etc. * Prcticas y requisitos industriales de foros industriales (BS 7799, ESF, I4) y plataformas patrocinadas por gobiernos (IBAG, NIST, DTI), etc. * Requisitos emergentes de industrias especficas de banca, comercio electrnico y fabricantes de TI
REAS DE REVISIN
Productos de la Familia COBIT
REAS DE REVISIN
INDICE
REAS DE REVISIN
Necesidad de un marco de referencia

* Orientado a control Alinear objetivos de control individuales con estndares de iure y de * Utilizado por directivos, usuarios y auditores
REAS DE REVISIN
El marco de referencia COBIT

Fusiona las expectativas con las responsabilidades de la direccin de TI
REAS DE REVISIN
La necesidad de control de TI * Directivos * Usuarios * Auditores
REAS DE REVISIN
Los directivos necesitan COBIT para

Evaluar las decisiones de inversin en TI Balancear el riesgo y el control de las inversiones Evaluar los entornos existentes y futuros
REAS DE REVISIN
Los usuarios necesitan COBIT
para
* Obtener confianza sobre la seguridad y controles de productos y servicios proporcionados por personal interno y terceros
REAS DE REVISIN
Los auditores de SI necesitan COBIT para Sustentar opiniones a la direccin sobre controles internos Contestar a la pregunta:
Qu mnimos controles son necesarios?
REAS DE REVISIN
Definicin de Control
Las polticas, procedimientos, prcticas y estructuras organizacionales diseadas para garantizar razonablemente que los objetivos del negocio sern alcanzados y que eventos no deseables sern prevenidos o detectados y corregidos
REAS DE REVISIN
Definicin de Objetivo de Control

Una sentencia del resultado o propsito que se desea alcanzar implementando procedimientos de control en una actividad de TI particular
REAS DE REVISIN
Principios del marco

Requerimientos del negocio
Procesos TI
Recursos TI
REAS DE REVISIN
Req. del negocio = criterios de informacin
REAS DE REVISIN
Criterios de informacin
Efectividad Eficiencia Confidencialidad Integridad Disponibilidad Cumplimiento Confiabilidad
REAS DE REVISIN
Efectividad: Se refiere a que la informacin relevante sea pertinente para el proceso del negocio, as como a que su entrega sea oportuna, correcta, consistente y de manera utilizable. Eficiencia: Se refiere a la provisin de informacin a travs de la utilizacin ptima (ms productiva y econmica) de recursos. Confidencialidad: Se refiere a la proteccin de informacin sensible contra divulgacin no autorizada. Integridad: Se refiere a la precisin y suficiencia de la informacin, as como a su validez de acuerdo con los valores y expectativas del negocio.
REAS DE REVISIN
Disponibilidad: Se refiere a la disponibilidad de la informacin cuando sta es requerida por el proceso de negocio ahora y en el futuro. Tambin se refiere a la salvaguarda de los recursos necesarios y capacidades asociadas. Cumplimiento: Se refiere al cumplimiento de aquellas leyes, regulaciones y acuerdos contractuales a los que el proceso de negocios est sujeto, por ejemplo, criterios de negocio impuestos externamente. Confiabilidad de la informacin: Se refiere a la provisin de informacin apropiada para la administracin con el fin de operar la entidad y para ejercer sus responsabilidades de reportes financieros y de cumplimiento.
REAS DE REVISIN
Recursos de Tecnologa de la Inf.

Datos: Son objetos en su ms amplio sentido, (por ejemplo, externos e internos), estructurados y no estructurados, grficos, sonido, etc. Sistemas de aplicacin: La suma de procedimientos manuales y programados. Tecnologa: cubre hardware, sistemas operativos, sistemas de administracin de bases de datos, redes, multimedia, etc. Instalaciones: Recursos para alojar y dar soporte a los sistemas de informacin. Personal: Habilidades del personal, conocimiento, sensibilizacin productividad para planear, organizar, adquirir, entregar,soportar y monitorear servicios sistemas de informacin.
REAS DE REVISIN
REAS DE REVISIN
Principios del marco
REAS DE REVISIN
Dominios y Procesos
Dominios
Procesos
Actividades
REAS DE REVISIN
Cubo COBIT
REAS DE REVISIN
DOMINIOS
PLANIFICACIN y ORGANIZACIN ADQUISICIN e IMPLANTACIN COBIT ENTREGA y SOPORTE (SERVICIO)
GESTIN y SUPERVISIN
REAS DE REVISIN
DOMINIOS
PLANIFICACIN Y ORGANIZACIN
Este dominio cubre las estrategias y las tcticas y se refiere a la identificacin de la forma en que la tecnologa de informacin puede contribuir de la mejor manera al logro de los objetivos del negocio. Adems, la consecucin de la visin estratgica necesita ser planeada, comunicada y administrada desde diferentes perspectivas. Finalmente, deber establecerse una organizacin y una infraestructura tecnolgica apropiadas.
REAS DE REVISIN
DOMINIOS
ADQUISICIN E IMPLEMENTACIN
Para llevar a cabo la estrategia de TI, las soluciones de TI deben ser identificadas, desarrolladas o adquiridas, as como implementadas e integradas dentro del proceso del negocio. Adems, este dominio cubre los cambios y el mantenimiento realizados a sistemas existentes, para asegurar que el ciclo de vida es continuo para esos sistemas
REAS DE REVISIN
DOMINIOS
ENTREGA Y SOPORTE
En este dominio se hace referencia a la entrega o distribucin de los servicios requeridos, que abarca desde las operaciones tradicionales hasta el entrenamiento, pasando por la seguridad en los sistemas y la continuidad de las operaciones as como aspectos sobre entrenamiento. Con el fin de proveer servicios, debern establecerse los procesos de soporte necesarios. Este dominio incluye el procesamiento de los datos el cual es ejecutado por los sistemas de aplicacin, frecuentemente clasificados como controles de aplicacin.
REAS DE REVISIN
DOMINIOS
MONITORIZACIN
Todos los procesos necesitan ser evaluados regularmente a travs del tiempo para verificar su calidad y suficiencia en cuanto a los requerimientos de control. Este dominio tambin advierte a la Administracin sobre la necesidad de asegurar procesos de control independientes, los cuales son provistos por auditoras internas y externas u obtenidas de fuentes alternativas.
REAS DE REVISIN
El control de
Proceso de TI
Que satisface
Req. de negocio
Es habilitado por
Declaracin de control
considerando
Prcticas de control
REAS DE REVISIN
INDICE
REAS DE REVISIN
Resumen de COBIT
Marco para revisar TI 4 dominios Cada dominio con procesos -- 34 en total Cada proceso con objetivos de control de alto nivel De 3 a 30 objetivos de control detallados Estos objetivos provienen de 41 fuentes Herramientas navegacionales cascada/cubo Un mtodo lgico y sistemtico para definir y comunicar los objetivos de control
REAS DE REVISIN
Control sobre el proceso de TI de:

Definicin de un plan Estratgico de TI
PO1
que satisface los requerimientos del negocio de:

Lograr un balance ptimo entre las oportunidades de tecnologa de informacin y los requerimientos del negocio para TI, as como para asegurar sus logros futuros.
se hace posible a travs de:

un proceso de planeacin estratgica emprendido en intervalos regulares dando lugar a planes a largo plazo. Los planes a largo plazo debern ser traducidos peridicamente en planes operacionales estableciendo metas claras y concretas a corto plazo:
y toma en consideracin:
Estrategia del negocio de la empresa Definicin de cmo TI soporta los objetivos de negocio inventario de soluciones tecnolgicas e infraestructura actual Monitoreo del mercado de tecnologa Estudios de factibilidad oportunos y chequeos con la realidad Anlisis de los sistemas existentes Posicin de la empresa sobre riesgos, en el proceso de compra Necesidades de la Admn. senior en el proceso de compra
REAS DE REVISIN
1. DEFINICIN DE UN PLAN ESTRATGICO DE TI 1.1 Tecnologa de Informacin como parte del Plan de la Organizacin a corto y largo plazo. OBJETIVO DE CONTROL La alta gerencia ser la responsable de desarrollar e implementar planes a largo y corto plazo que satisfagan la misin y las metas de la organizacin. A este respecto, la alta gerencia deber asegurar que los problemas de TI, as como las oportunidades, sean evaluados adecuadamente y reflejados en los planes a largo y corto plazo de la organizacin. Se deben desarrollar planes de TI a largo y corto plazo para ayudar a asegurar que el uso de la TI est acorde con la misin y las estrategias de negocio de la organizacin.
REAS DE REVISIN
1.2 Plan a largo plazo de TI OBJETIVO DE CONTROL La Gerencia de TI y los dueos del proceso de negocio sern responsables de desarrollar regularmente planes de TI a largo plazo , que apoyen el logro de la misin y las metas generales de la organizacin. El mtodo de planeacin deber incluir mecanismos para solicitar informacin a los interesados internos y externos ms importantes, que se ven afectados por los planes estratgicos de TI. De la misma manera, la Gerencia deber implementar un proceso de planeacin a largo plazo, adoptar un enfoque estructurado y determinar la estructura para el plan.
REAS DE REVISIN
1.3 Plan a largo plazo de TI - Enfoque y Estructura OBJETIVO DE CONTROL

La Gerencia de TI y los dueos del proceso de negocio debern establecer y aplicar un enfoque estructurado al proceso de planeacin a largo plazo. Esto deber traer como resultado un plan de alta calidad que cubra las preguntas bsicas de qu, quin, cmo, cundo y por qu el proceso de planeacin de TI debe tomar en cuenta los resultados del anlisis del riesgo, incluyendo los riesgos del negocio, entorno, tecnologa y recursos humanos. Los aspectos que necesitan ser tomados en cuenta y ser cubiertos adecuadamente durante el proceso de planeacin incluyen el modelo de organizacin y sus cambios, la distribucin geogrfica, la evolucin tecnolgica, los costos, los requerimientos legales y regulatorios, requerimientos de terceras partes o del mercado, el horizonte de planeacin, reingeniera de procesos del negocio, la asignacin de personal, outsourcing, datos, sistemas de aplicacin y arquitecturas de la tecnologa. Los planes de TI, de largo y corto alcance debern incorporar indicadores y objetivos de desempeo. El plan mismo deber hacer referencia a otros planes tales como el plan de calidad de la organizacin y el plan de manejo de riesgos de informacin.
REAS DE REVISIN
1.4 Cambios al Plan a largo plazo de TI OBJETIVO DE CONTROL La gerencia de TI y los dueos del proceso del negocio debern asegurar que se establezca un proceso con el fin de adaptar los cambios al plan a largo plazo de la organizacin y los cambios en las condiciones de la TI. La gerencia Senior deber establecer una poltica que requiera que se desarrollen y se mantengan planes de largo y corto plazo de TI.
REAS DE REVISIN
1.5 Planeacin a corto plazo para la Funcin de TI OBJETIVO DE CONTROL La Gerencia de TI y los dueos del proceso del negocio debern asegurar que el plan a largo plazo de TI se traduzca regularmente en planes a corto plazo de TI. Estos planes a corto plazo debern asegurar que se asignen los recursos apropiados de la funcin de servicios de TI con una base consistente con el plan a largo plazo de TI. Los planes a corto plazo debern ser reevaluados y modificados peridicamente segn se considere necesario respondiendo a las condiciones de cambios en el negocio y en TI. La realizacin oportuna de estudios de factibilidad deber asegurar que la ejecucin de los planes a corto plazo sea iniciada adecuadamente.
REAS DE REVISIN
1.6 Comunicacin de los Planes de TI OBJETIVO DE CONTROL La gerencia debe asegurar que los planes de largo y de corto plazo de tecnologa de la informacin sean comunicados a los dueos del proceso del negocio y a otras partes relevantes en toda la organizacin. 1.7 Monitoreo y Evaluacin de los Planes de Tecnologa de la Informacin OBJETIVO DE CONTROL La gerencia debe establecer procesos para captar y reportar la retroalimentacin de los dueos y usuarios del proceso del negocio respecto a la calidad y utilidad de los planes de largo y de corto plazo. La retroalimentacin obtenida debe ser evaluada y considerada en la planeacin futura de la tecnologa de la informacin.
REAS DE REVISIN
1.8 Evaluacin de los Sistemas Existentes OBJETIVO DE CONTROL Previo al desarrollo o modificacin del Plan Estratgico o plan a largo plazo de TI, la Gerencia de TI debe evaluar los sistemas existentes en trminos de: nivel de automatizacin de negocio, funcionalidad, estabilidad, complejidad, costo y fortalezas y debilidades, con el propsito de determinar el nivel de soporte que ofrecen los sistemas existentes a los requerimientos del negocio.
REAS DE REVISIN
PO2 Control sobre el proceso de TI de: Definicin de la Arquitectura de Informacin que satisface los requerimientos de negocio de: organizar de la mejor manera los sistemas de informacin se hace posible a travs de: la creacin y mantenimiento de un modelo de informacin de negocios y asegurando que se definan sistemas apropiados para optimizar la utilizacin de esta informacin y toma en consideracin:
Repositorio automatizado de datos y diccionario reglas de sintaxis de datos propiedad de la informacin y clasificacin con base en criticidad /seguridad un modelo de informacin que represente el negocio Normas de arquitectura de informacin de la empresa
REAS DE REVISIN
Control sobre el proceso de TI de: PO3 determinacin de la direccin tecnolgica que satisface los requerimientos de negocio de: aprovechar la tecnologa disponible y las que van apareciendo en el mercado para impulsar y posibilitar la estrategia del negocio. se hace posible a travs de: la creacin y mantenimiento de un plan de infraestructura tecnolgica que establece y administra expectativas claras y realistas de lo que puede brindar la tecnologa en trminos de productos, servicios y mecanismos de entrega y toma en consideracin: capacidad de la infraestructura actual
monitoreo de desarrollos tecnolgicos por la va de fuentes confiables realizacin de prueba de conceptos riesgos, restricciones y oportunidades planes de adquisicin estrategia de migracin y mapas alternativos (roadmaps) relaciones con los vendedores reevaluacin independiente de la tecnologa Cambios de precio /desempeo de hardware y de software
REAS DE REVISIN
Control sobre el proceso de TI de: PO4 definicin de la organizacin y de las relaciones de TI que satisface los requerimientos de negocio de: prestacin de los servicios correctos de TI se hace posible a travs de: una organizacin conveniente en nmero y habilidades, con tareas y responsabilidades definidas y comunicadas, acordes con el negocio y que facilita la estrategia y provee una direccin efectiva y un control adecuado. y toma en consideracin: responsabilidades del nivel directivo sobre TI
direccin de la gerencia y supervisin de TI Alineacin de TI con el negocio participacin de TI en los procesos clave de decisin flexibilidad organizacional roles y responsabilidades claras equilibrio entre supervisin y delegacin de autoridad descripciones de puestos de trabajo Niveles de asignacin de personal y personal clave Ubicacin organizacional de las funciones de seguridad, calidad y control interno Segregacin de funciones
REAS DE REVISIN
Control sobre el proceso de TI de: Manejo o administracin de la inversin de TI que satisface los requerimientos de negocio de: asegurar el financiamiento y el control de desembolsos de recursos financieros se hace posible a travs de: Inversin peridica y presupuestos operacionales establecidos y aprobados por el negocio y toma en consideracin:
PO5
alternativas de financiamiento Claros responsables del presupuesto Control sobre los gastos actuales justificacin de costos y concienciacin sobre el costo total de la propiedad j u s ti f icacin del beneficio y contabilizacin de todos los beneficios obtenidos Ciclo de vida del software de aplicacin y de la tecnologa Alineacin con las estrategias del negocio de la empresa Anlisis de impacto Administracin de los activos
REAS DE REVISIN
Control sobre el proceso de TI de: PO6 comunicacin de los objetivos y aspiraciones de la gerencia que satisface los requerimientos de negocio de: asegurar que el usuario sea conciente y comprenda dichas aspiraciones se hace posible a travs de: polticas establecidas y transmitidas a la comunidad de usuarios; adems, se necesitan estndares para traducir las opciones estratgicas en reglas de usuario prcticas y utilizables y toma en consideracin: Misin claramente articulada
Directivas tecnolgicas vinculadas con aspiraciones de negocios Cdigo de tica / conducta Compromiso con la calidad Polticas de seguridad y control interno Practicas de seguridad y control interno Ejemplos de liderazgo Programacin continua de comunicaciones Proveer guas y verificar su cumplimiento
REAS DE REVISIN
Control sobre el proceso de TI de: administracin de recursos humanos que satisface los requerimientos de negocio de: Adquirir y mantener una fuerza de trabajo motivada y competente y maximizar las contribuciones del personal a los procesos de TI se hace posible a travs de: prcticas de administracin de personal, sensatas,justas y transparentes para reclutar, alinear, pensionar, compensar, entrenar, promover y despedir y toma en consideracin:
reclutamiento y promocin Entrenamiento y requerimientos de calificaciones desarrollo de conciencia entrenamiento cruzado y rotacin de puestos Procedimientos para contratacin, veto y despidos evaluacin objetiva y medible del desempeo responsabilidades sobre los cambios tcnicos y de mercado Balance apropiado de recursos internos y externos Plan de sucesin para posiciones clave
PO7
REAS DE REVISIN
PO8 Control sobre el proceso de TI de: aseguramiento del cumplimiento de requerimientos externos que satisface los requerimientos de negocio de: cumplir con obligaciones legales, regulatorias y contractuales se hace posible a travs de: la identificacin y anlisis de los requerimientos externos en cuanto a su impacto en TI, y realizando las medidas apropiadas para cumplir con ellos y toma en consideracin: leyes, regulaciones y contratos monitoreo de desarrollos legales y regulatorios Monitoreo regular sobre cumplimiento seguridad y ergonoma privacidad propiedad intelectual
REAS DE REVISIN
Control sobre el proceso de TI de: PO9 anlisis de riesgos que satisface los requerimientos de negocio de: Soportar las decisiones de la gerencia a travs del logro de los objetivos de TI y responder a las amenazas reduciendo su complejidad e incrementando objetivamente e identificando factores importantes de decisin. se hace posible a travs de: la participacin de la propia organizacin en la identificacin de riesgos de TI y en el anlisis de impacto, involucrando funciones multidisciplinarias y tomando medidas efectivas en coste para mitigar los riesgos y toma en consideracin:
Administracin de riesgos de la propiedad y del registro de las operaciones diferentes tipos de riesgos de TI (por ejemplo: tecnolgicos, de seguridad, de continuidad, regulatorios, etc.) Definir y comunicar un perfil tolerable de riesgos Anlisis de las causas y sesiones de tormenta de ideas sobre riesgos Medicin cuantitativa y/o cualitativa de los riesgos metodologa de anlisis de riesgos Plan de accin contra los riesgos Volver a realiza anlisis oportunos
REAS DE REVISIN
Control sobre el proceso de TI de: PO10 administracin de proyectos que satisface los requerimientos de negocio de: establecer prioridades y entregar servicios oportunamente y de acuerdo al presupuesto de inversin se hace posible a travs de: La organizacin identificando y priorizando proyectos en lnea con el plan operacional y la adopcin y aplicacin de tcnicas de administracin de proyectos para cada proyecto emprendido y toma en consideracin: El patrocinio que la gerencia de negocios debe dar a los proyectos
Administracin de programas Capacidad para el manejo de proyectos Involucramiento del usuario Divisin de tareas, puntos de control y aprobacin de fases Distribucin de responsabilidades Rastreo riguroso de puntos de control y entregables Costos y presupuestos de mano de obra, balance de recursos internos y externos Planes y mtodos de aseguramiento de calidad Programa y anlisis de riesgos del proyecto Transicin de desarrollo a operacin
REAS DE REVISIN
Control sobre el proceso de TI de: Administracin de la calidad que satisface los requerimientos de negocio de: satisfacer los requerimientos del cliente de TI
PO11
se hace posible a travs de: la planeacin, implementacin y mantenimiento de estndares de administracin de calidad y sistemas provistos para las distintas fases de desarrollo, claros entregables y responsabilidades explcitas y toma en consideracin:
Establecimiento de una cultura de calidad Planes de calidad responsabilidades de aseguramiento de la calidad Practicas de control de calidad metodologa del ciclo de vida de desarrollo de sistemas pruebas y documentacin de sistemas y programas revisiones y reporte de aseguramiento de calidad Entrenamiento e involucramiento del usuario final y del personal de aseguramiento de calidad Desarrollo de una base de conocimiento de aseguramiento de calidad Benchmarking contra las normas de la industria
REAS DE REVISIN
Control sobre el proceso de TI de: AI1 Identificacin de soluciones automatizadas que satisface los requerimientos de negocio de: asegurar un efectivo y eficiente enfoque para satisfacer los requerimientos del usuario se hace posible a travs de: Una objetiva y clara identificacin y anlisis de oportunidades alternativas comparadas contra los requerimientos de los usuarios y toma en consideracin:
Conocimientos de soluciones disponibles en el mercado Metodologas de Adquisicin e implementacin Involucramiento del usuario en el proceso de compra Alineamiento con las estrategias de la empresa y de TI definicin de requerimientos de informacin estudios de factibilidad ( de costo-beneficio, alternativas, etc) Requerimientos de funcionalidad, operatividad, aceptacin y sostenimiento Cumplimiento con la arquitectura de informacin Costo - efectividad de la seguridad y los controles Responsabilidades de los proveedores
REAS DE REVISIN
Control sobre el proceso de TI de: AI2 Identificacin de soluciones automatizadas que satisface los requerimientos de negocio de: asegurar un efectivo y eficiente enfoque para satisfacer los requerimientos del usuario se hace posible a travs de: Una objetiva y clara identificacin y anlisis de oportunidades alternativas comparadas contra los requerimientos de los usuarios y toma en consideracin:
Conocimientos de soluciones disponibles en el mercado Metodologas de Adquisicin e implementacin Involucramiento del usuario en el proceso de compra Alineamiento con las estrategias de la empresa y de TI definicin de requerimientos de informacin estudios de factibilidad ( de costo-beneficio, alternativas, etc) Requerimientos de funcionalidad, operatividad, aceptacin y sostenimiento Cumplimiento con la arquitectura de informacin Costo - efectividad de la seguridad y los controles Responsabilidades de los proveedores
REAS DE REVISIN
Control sobre el proceso de TI de: AI3 adquisicin y mantenimiento de la infraestructura tecnolgica que satisface los requerimientos de negocio de: proporcionar las plataformas apropiadas para soportar las aplicaciones de negocios se hace posible a travs de: la juiciosa adquisicin de hardware y software, estandarizacin del software, anlisis del rendimiento del hardware y de software y la administracin consistente del sistema y toma en consideracin: Cumplimiento con las direcciones y estndares de la infraestructura
tecnolgica evaluacin de tecnologa Instalacin, mantenimiento y control de cambios Actualizacin, conversin y planes de migracin Uso de infraestructuras y/o recursos internos y externos Responsabilidades y relaciones del proveedor Administracin de cambios Costo total de propiedad Seguridad del software del sistema
REAS DE REVISIN
Control sobre el proceso de TI de: AI4 Desarrollo y mantenimiento de Procedimientos que satisface los requerimientos de negocio de: asegurar el uso apropiado de las aplicaciones y de las soluciones tecnolgicas establecidas se hace posible a travs de: un enfoque estructurado del desarrollo de manuales de procedimientos para las operaciones y para los usuarios, requerimientos de servicio y material de entrenamiento y toma en consideracin:
Rediseo de los procesos de negocios Tratamiento de procedimientos como cualquier otra tecnologa disponible Desarrollo a tiempo procedimientos y controles de usuarios procedimientos y controles operacionales materiales de entrenamiento Administracin de cambios
REAS DE REVISIN
Control sobre el proceso de TI de: AI5 instalacin y acreditacin de sistemas que satisface los requerimientos de negocio de: verificar y confirmar que la solucin sea adecuada para el propsito deseado se hace posible a travs de: la realizacin de una migracin de instalacin, conversin y plan de aceptacin adecuadamente formalizados y toma en consideracin: Entrenamiento del usuario y personal de operaciones de TI
Conversin de datos Una prueba ambiental reflejando al ambiente real Acreditacin revisiones post implementacin y retroalimentacin Participacin del usuario final en las pruebas Planes continuos de mejoramiento de calidad Requerimientos de continuidad del negocio Medicin de capacidad y desempeo a travs del sistema Acuerdos y criterios de aceptacin
REAS DE REVISIN
Control sobre el proceso de TI de: AI6 administracin de cambios que satisface los requerimientos de negocio de: minimizar la probabilidad de interrupciones, alteraciones no autorizadas y errores se hace posible a travs de: un sistema de administracin que permita el anlisis, implementacin y seguimiento de todos los cambios requeridos y llevados a cabo a la infraestructura de TI actual y toma en consideracin:
identificacin de cambios procedimientos de categorizacin, priorizacin y emergencia Anlisis de impacto autorizacin de cambios Administracin de la liberacin del cambio distribucin de software Uso de herramientas automatizadas Administracin de la configuracin Rediseo del proceso del negocio
REAS DE REVISIN
Control sobre el proceso de TI de: Definicin y administracin de niveles de servicio que satisface los requerimientos de negocio de: establecer un entendimiento comn del nivel de servicio requerido se hace posible a travs de: el establecimiento de acuerdos de niveles de servicio que formalicen los criterios de desempeo contra los cuales se medir la cantidad y la calidad del servicio y toma en consideracin: Acuerdos o convenios formales
DS1
definicin de responsabilidades tiempos y volmenes de respuesta cargos garantas de integridad Acuerdos de confidencialidad Criterio de satisfaccin del cliente Anlisis costo-beneficio de los niveles de servicio requerido Monitoreo y reporte
REAS DE REVISIN
Control sobre el proceso de TI de: DS2 administracin de servicios prestados por terceros que satisface los requerimientos de negocio de: asegurar que los roles y responsabilidades de las terceras partes estn claramente definidas y que cumplan y continen satisfaciendo los requerimientos
se hace posible a travs de: medidas de control dirigidas a la revisin y monitoreo de acuerdos/ contratos y procedimientos existentes, en cuanto a su efectividad y cumplimiento, con respecto a las polticas de la organizacin
y toma en consideracin: Acuerdos de servicio con terceras partes

Administracin de contrato Acuerdos de confidencialidad Requerimientos legales y regulatorios Monitoreo y reporte de la entrega de servicio Anlisis de riesgos de la empresa y de TI Ejecucin de recompensas y sanciones Contabilidad organizacional interna y externa Anlisis de costos y variaciones en los niveles de servicio
REAS DE REVISIN
DS3 Control sobre el proceso de TI de: administracin de desempeo y capacidad que satisface los requerimientos de negocio de: asegurar que la capacidad adecuada est disponible y que se est haciendo el mejor uso de ella para alcanzar el desempeo deseado se hace posible a travs de: Recoleccin de datos, anlisis y reporte del rendimiento de los recursos, aplicacin de mediciones y demanda de cargas de trabajo y toma en consideracin: requerimientos de disponibilidad y desempeo
monitoreo y reporte automatizado herramientas de modelado administracin de capacidad disponibilidad de recursos Cambios en precio-rendimiento del hardware y software
REAS DE REVISIN
Control sobre el proceso de TI de: DS4 asegurar el servicio continuo que satisface los requerimientos de negocio de: Asegurar que los servicios de TI estn disponibles cuando se requieran y asegurar el impacto mnimo en el negocio en el evento que se presente una interrupcin mayor se hace posible a travs de: tener un plan de continuidad de TI probado y funcional, que est alineado con el plan de continuidad del negocio y relacionado con los requerimientos de negocio
y toma en consideracin: clasificacin de criticidad (severidad)

Procedimientos alternativos respaldo y recuperacin pruebas y entrenamiento sistemticos y regulares Monitoreo y procesos de escalamiento Responsabilidades organizacionales internas y externas Activacin de la continuidad del negocio, vuelta atrs (fallback) y plan de reactivacin Actividades de administracin de riesgos Anlisis de puntos nicos de falla Administracin de problemas
REAS DE REVISIN
Control sobre el proceso de TI de: DS5 garantizar la seguridad de los sistemas que satisface los requerimientos de negocio de: salvaguardar la informacin contra uso no autorizado, divulgacin o revelacin, modificacin, dao o prdida se hace posible a travs de: controles de acceso lgico que aseguren que el acceso a sistemas, datos y programas est restringido a usuarios autorizados y toma en consideracin:
Requerimientos de privacidad y confidencialidad Autorizacin, autenticacin y control de acceso identificacin de usuarios y perfiles de autorizacin Necesidad de saber y necesidad de tener administracin de llaves criptogrficas manejo, reporte y seguimiento de incidentes Prevencin y deteccin de virus Firewalls Administracin centralizada de seguridad Entrenamiento a los usuarios Herramientas para monitoreo del cumplimiento, pruebas de intrusin y reportes
REAS DE REVISIN
Control sobre el proceso de TI de: DS6 identificacin y asignacin de costos que satisface los requerimientos de negocio de: asegurar un conocimiento correcto de los costos atribuibles a los servicios de TI se hace posible a travs de: un sistema de contabilidad de costos que asegure que stos sean registrados, calculados y asignados a los niveles de detalle requeridos y al apropiado servicio ofrecido y toma en consideracin: Recursos identificables y medibles
Procedimientos y polticas de cargo Tarifas de cargo y procesos de reversin de cargos. Conexin a acuerdo de niveles de servicio Reporte automatizado Verificacin de comprensin de beneficios Benchmarking externo
REAS DE REVISIN
Control sobre el proceso de TI de: DS7 educacin y entrenamiento de usuarios que satisface los requerimientos de negocio de: asegurar que los usuarios estn haciendo un uso efectivo de la tecnologa y sean conscientes de los riesgos y responsabilidades involucrados se hace posible a travs de: un plan completo de entrenamiento y desarrollo y toma en consideracin: Plan de entrenamiento
Inventario de habilidades Campaas de concientizacin Tcnicas de concientizacin Uso de nuevas tecnologas y mtodos de entrenamiento Productividad del personal Desarrollo de una base de conocimientos
REAS DE REVISIN
Control sobre el proceso de TI de: Apoyo y asistencia a los clientes de TI que satisface los requerimientos de negocio de: asegurar que cualquier problema experimentado por los usuarios sea atendido apropiadamente se hace posible a travs de: un help desk, o mesa de control y ayuda, que proporcione soporte y asesora de primera lnea y toma en consideracin: consultas de los clientes y respuesta a
problemas monitoreo de consultas y respuestas anlisis y reporte de tendencias Desarrollo de una base de conocimientos Anlisis de las causas Escalamiento y seguimiento de problemas
DS8
REAS DE REVISIN
Control sobre el proceso de TI de: DS9 Administracin de la configuracin que satisface los requerimientos de negocio de: dar cuenta de todos los componentes de TI, prevenir alteraciones no autorizadas, verificar la existencia fsica y proporcionar una base para la sana administracin del cambio se hace posible a travs de: controles que identifiquen y registren todos los activos de TI as como su localizacin fsica y un programa regular de verificacin que confirme su existencia y toma en consideracin: registro de activos
administracin de cambios en la configuracin chequeo de software no autorizado controles de almacenamiento de software Integracin e interrelacin de hardware y software Uso de herramientas automatizadas
REAS DE REVISIN
Control sobre el proceso de TI de: DS10 administracin de problemas e incidentes que satisface los requerimientos de negocio de: asegurar que los problemas e incidentes sean resueltos y que sus causas sean investigadas para prevenir cualquier recurrencia se hace posible a travs de: un sistema de administracin de problemas que registre y d seguimiento a todos los incidentes y toma en consideracin:
pistas de auditora de problemas y soluciones resolucin oportuna de problemas reportados procedimientos de escalamiento reportes de incidentes accesibilidad a la informacin de la configuracin responsabilidades del proveedor coordinacin con la administracin de cambios
REAS DE REVISIN
Control sobre el proceso de TI de: DS11 Administracin de datos que satisface los requerimientos de negocio de: asegurar que los datos permanezcan completos, precisos y vlidos durante su entrada, actualizacin y almacenamiento se hace posible a travs de: una combinacin efectiva de controles generales y de aplicacin sobre las operaciones de TI y toma en consideracin:
diseo de formatos controles sobre documentos fuente controles de entrada, procesamiento y salida identificacin, movimiento y administracin de la librera de medios Recuperacin y almacenamiento de datos autenticacin e integridad propiedad de datos polticas de administracin de datos modelos de datos y estndares de representacin de datos integracin y consistencia en todas las plataformas requisitos legales y regulatorios
REAS DE REVISIN
Control sobre el proceso de TI de: DS12 Administracin de instalaciones (sitios donde se procesa informacin) que satisface los requerimientos de negocio de: proporcionar un ambiente fsico conveniente que proteja los equipos y al personal de TI contra peligros naturales o fallas humanas
se hace posible a travs de: la instalacin de controles fsicos y ambientales adecuados que sean revisados regularmente para garantizar su adecuado funcionamiento y toma en consideracin:
acceso a instalaciones identificacin del sitio (instalacin) seguridad fsica Polticas de inspeccin y escalamiento Plan de continuidad de negocios y administracin de crisis salud y seguridad del personal Polticas de mantenimiento preventivo proteccin contra amenazas ambientales Monitoreo automatizado
REAS DE REVISIN
Control sobre el proceso de TI de: DS13 administracin de operaciones que satisface los requerimientos de negocio de: asegurar que las funciones importantes de soporte de TI estn siendo llevadas a cabo regularmente y de una manera ordenada se hace posible a travs de: una programacin o planeacin de las actividades que sea registrada y diligenciada con base en el cumplimiento de todas las actividades y toma en consideracin:
manual de procedimiento de operaciones

documentacin para el inicio de procesos administracin de servicios de red Programacin del personal y cargas de trabajo proceso de cambio de turno registro de eventos del sistema Coordinacin con las reas de administracin de cambios, disponibilidad y manejo continuo de negocios Mantenimiento preventivo Acuerdos de niveles de servicio Operaciones automatizadas Registro, rastreo y escalamiento de incidentes
REAS DE REVISIN
Control sobre el proceso de TI de: M1 monitoreo del proceso que satisface los requerimientos de negocio de: asegurar el logro de los objetivos establecidos para los procesos de TI se hace posible a travs de: la definicin de indicadores de desempeo gerenciales, el reporte oportuno y sistemtico del desempeo y la oportuna accin sobre las desviaciones y toma en consideracin:
Tarjetas de decisin (scorecards) con indicadores de desempeo y medicin de resultados evaluacin de la satisfaccin de clientes reportes gerenciales Base de conocimientos del desempeo histrico Benchmarking externo
REAS DE REVISIN
Control sobre el proceso de TI: Evaluar lo adecuado del control interno que satisface los requerimientos de negocio de: asegurar el logro de los objetivos de control interno establecidos para los procesos de TI se hace posible a travs de: el compromiso de la Gerencia de monitorear los controles internos, evaluar su efectividad y emitir reportes sobre ellos en forma regular y toma en consideracin:
M2
Responsabilidades para el control interno Monitoreo del control interno en proceso benchmarks reportes de errores y excepciones autoevaluaciones reportes gerenciales Cumplimiento con los requerimientos legales y regulatorios
REAS DE REVISIN
Control sobre el proceso de TI de: obtencin de aseguramiento independiente que satisface los requerimientos de negocio de: incrementar los niveles de confianza entre la organizacin, clientes y proveedores externos se hace posible a travs de: revisiones de aseguramiento independientes llevadas a cabo en intervalos regulares y toma en consideracin: certificaciones / acreditaciones independientes evaluaciones independientes de efectividad aseguramiento independiente sobre cumplimiento de requerimientos legales y regulatorios aseguramiento independiente del cumplimiento de compromisos contractuales revisiones y benchmarking a proveedores externos de servicios Revisin por personal calificado del aseguramiento de desempeo involucramiento proactivo de la auditora
M3
REAS DE REVISIN
Control sobre el proceso de TI de: proveer auditora independiente que satisface los requerimientos de negocio de: incrementar los niveles de confianza y beneficiarse de recomendaciones basadas en mejores prcticas se hace posible a travs de: auditoras independientes desarrolladas a intervalos regulares y toma en consideracin: independencia de auditora
involucramiento proactivo de la auditora ejecucin de auditoras por parte de personal calificado aclaracin de resultados y recomendaciones actividades de seguimiento Evaluacin del impacto de lasrecomendaciones de la auditoria (costos,beneficios, y riesgos)
M4
REAS DE REVISIN
REAS DE REVISIN
INDICE
REAS DE REVISIN
Directrices de Auditora
1 Directriz genrica 34 Directrices orientadas a procesos
REAS DE REVISIN
REAS DE REVISIN
REAS DE REVISIN
Directriz Genrica de Auditora
REAS DE REVISIN
1) OBTENCIN DE UN ENTENDIMIENTO Los pasos de auditora que se deben realizar para documentar las actividades que generan inconvenientes a los objetivos de control, as como tambin identificar las medidas/procedimientos de control establecidas. Entrevistar al personal administrativo y de staff apropiado para lograr la comprensin de:
Los requerimientos del negocio y los riesgos asociados La estructura organizacional Los roles y responsabilidades Polticas y procedimientos Leyes y regulaciones Las medidas de control establecidas La actividad de reporte a la administracin (estatus, desempeo, acciones)
Documentar el proceso relacionado con los recursos de TI que se ven especialmente afectados por el proceso bajo revisin. Confirmar el entendimiento del proceso bajo revisin, los Indicadores Clave de Desempeo (KPI) del proceso, las implicaciones de control, por ejemplo, mediante una revisin paso a paso del proceso.
REAS DE REVISIN
2) EVALUACIN DE LOS CONTROLES Los pasos de auditora a ejecutar en la evaluacin de la eficacia de las medidas de control establecidas o el grado en el que se logra el objetivo de control. Bsicamente, decidir qu se va a probar, si se va a probar y cmo se va a probar. Evaluar la conveniencia de las medidas de control para el proceso bajo revisin mediante la consideracin de los criterios identificados y las prcticas estndares de la industria, los Factores Crticos de xito (CSF) de las medidas de control y la aplicacin del juicio profesional de auditor. Existen procesos documentados Existen resultados apropiados La responsabilidad y el registro de las operaciones son claros y efectivos Existen controles compensatorios, en donde es necesario Concluir el grado en que se cumple el objetivo de control.
REAS DE REVISIN
3) VALORACIN DEL CUMPLIMIENTO Los pasos de auditora a realizar para asegurar que las medidas de control establecidas estn funcionando como es debido, de manera consistente y continua, y concluir sobre la conveniencia del ambiente de control. Obtener evidencia directa o indirecta de puntos/perodos seleccionados para asegurarse que se ha cumplido con los procedimientos durante el perodo de revisin, utilizando evidencia tanto directa como indirecta. Realizar una revisin limitada de la suficiencia de los resultados del proceso. Determinar el nivel de pruebas sustantivas y trabajo adicional necesarios para asegurar que el proceso de TI es adecuado.
REAS DE REVISIN
4) JUSTIFICAR/COMPROBAR EL RIESGO Los pasos de auditora a realizar para justificar el riesgo de que no se cumpla el objetivo de control mediante el uso de tcnicas analticas y/o consultas a fuentes alternativas. El objetivo es respaldar la opinin e impresionar a la administracin para que tome accin. Los auditores tienen que ser creativos para encontrar y presentar esta informacin que con frecuencia es sensible y confidencial. Documentar las debilidades de control y las amenazas y vulnerabilidades resultantes. Identificar y documentar el impacto real y potencial; por ejemplo, mediante el anlisis de causa-efecto. Brindar informacin comparativa; por ejemplo, mediante benchmarks.
REAS DE REVISIN
REAS DE REVISIN
REAS DE REVISIN
Directrices de auditora
Son slo un punto de inicio para identificar tareas asociadas con determinados objetivos de control de proceso.
REAS DE REVISIN
REAS DE REVISIN
PO 1 DEFINIR UN PLAN ESTRATGICO DE TI Objetivos de control 1.- TI como parte del Plan a largo y corto plazo 2.- Plan a largo plazo de TI 3.- Plan a largo plazo de TI - Enfoque y Estructura 4.- Cambios al Plan a largo plazo de TI 5.- Planeacin a corto plazo para la Funcin de Servicios de Informacin 6.- Comunicacin de los planes de TI 7.- Monitoreo y evaluacin de los planes de TI 8.- Evaluacin de los sistemas existentes
REAS DE REVISIN
Obtener un entendimiento a travs de: Entrevistas:

Director General (Chief Executive Officer) Director de Operaciones (Chief Operations Officer) Director de Finanzas (Chief Financial Officer) Director de TI (Chief Information Officer) Miembros del comit de planeacin/direccin de la funcin de servicios de informacin. Gerencia de TI y personal de apoyo de RRHH
Obteniendo:
Polticas y procedimientos inherentes al proceso de planeacin. Roles y responsabilidades del equipo de Direccin Objetivos de la Organizacin a largo y corto plazo Objetivos de TI a largo y corto plazo Reportes y minutas de seguimiento de las reuniones del comit de Planeacin/Direccin
REAS DE REVISIN
Evaluar los controles: Considerando si:

Las polticas y procedimientos de negocios de la funcin de servicios de informacin siguen un enfoque de planeacin estructurado. Se ha establecido una metodologa para formular y modificar los planes y que cubre, como mnimo:
misin y las metas de la organizacin iniciativas de tecnologa de informacin para soportar la misin y las metas de la organizacin oportunidades para las iniciativas de tecnologa de informacin estudios de factibilidad de las iniciativas de tecnologa de informacin evaluacin de los riesgos de las iniciativas de tecnologa de informacin inversin ptima de las inversiones en tecnologa de informacin actuales y futuras reingeniera de las iniciativas de tecnologa de informacin para reflejar los cambios en la misin y las metas de la organizacin evaluacin de las estrategias alternativas para las aplicaciones de datos, tecnologa y organizacin
REAS DE REVISIN
Los cambios organizacionales, la evolucin tecnolgica, los requerimientos regulatorios, la reingeniera de los procesos de negocios, el in-sourcing y el outsourcing, las reas de apoyo, etc. estn siendo consideradas y dirigidas adecuadamente en el proceso de planeacin. Existen planes de tecnologa de informacin a corto y largo plazo, estn actualizados, estn dirigidos adecuadamente a toda la empresa, su misin y funciones clave de negocios. Los proyectos de TI estn soportados por la documentacin apropiada segn lo definido en la metodologa de planeacin de tecnologa de informacin. Existen puntos de revisin para asegurar que los objetivos de tecnologa de informacin y los planes a corto y largo plazo continan satisfaciendo los objetivos y los planes a corto y largo plazo de la organizacin.
REAS DE REVISIN
Los propietarios de procesos y la Gerencia llevan a cabo revisiones y aprobaciones formales a los planes de TI. El plan de tecnologa de informacin evala los sistemas de informacin existentes en trminos del grado de automatizacin, funcionalidad, estabilidad, complejidad, costos, fortalezas y debilidades del negocio. La ausencia de planeacin a largo plazo para los sistemas de informacin y la estructura que lo soporta resulta en sistemas que no soportan los objetivos de la empresa ni los procesos del negocio, o no proveen integridad, seguridad y control apropiados.
REAS DE REVISIN
Evaluar la suficiencia: Probando que:

Las minutas de las reuniones del comit de Planeacin de la funcin de servicios de informacin reflejan el proceso de planeacin. Los entregables de la metodologa de planeacin existen segn lo indicado. Se incluyen iniciativas de tecnologa de informacin relevantes en los planes a corto y largo plazos de la funcin de servicios de informacin (por ejemplo, cambios de hardware, planeacin de capacidad, arquitectura de informacin, desarrollo u obtencin de nuevos sistemas, planeacin de recuperacin en caso de desastre, instalacin de plataformas para nuevos procesamientos, etc.). Las iniciativas de tecnologa de informacin soportan la investigacin, el entrenamiento, la asignacin de personal, las instalaciones, el hardware y el software.
REAS DE REVISIN
Evaluar la suficiencia: Probando que:

Se han identificado las implicaciones tcnicas para las iniciativas de tecnologa de informacin Se ha tomado en consideracin la optimizacin de las inversiones de tecnologa de informacin actuales y futuras Los planes a corto y largo plazo de tecnologa de informacin son consistentes con los planes a corto y largo plazo de la organizacin, as como con los requerimientos de sta. Se han modificado los planes para reflejar condiciones cambiantes. Los planes a largo plazo de tecnologa de informacin son traducidos peridicamente en planes a corto plazo.
REAS DE REVISIN
Comprobar el riesgo de los objetivos de control no cumplidos: Llevando a cabo: Mediciones ("Benchmarking") de planes estratgicos de tecnologa de informacin contra organizaciones similares o apropiados estndares internacionales reconocidos como buenas prcticas de la industria. Una revisin detallada de los planes de TI para asegurar que las iniciativas de tecnologa de informacin reflejen la misin y las metas de la organizacin. Una revisin detallada de los planes de TI para determinar si, como parte de las soluciones de tecnologa de informacin contenidas en los planes, se han identificado reas dbiles dentro de la organizacin que requieren ser mejoradas.
REAS DE REVISIN
Comprobar el riesgo de los objetivos de control no cumplidos: Identificando: Fallas en la tecnologa de informacin para satisfacer la misin y las metas de la organizacin. Fallas en la tecnologa de informacin para concordar con los planes a corto y largo plazo. Fallas en los proyectos de TI para satisfacer los planes a corto plazo. Fallas en la tecnologa de informacin para satisfacer lineamientos de costos y tiempos. Oportunidades de negocios no aprovechadas. Oportunidades no aprovechadas por TI.
REAS DE REVISIN
INDICE
REAS DE REVISIN
REAS DE REVISIN
Factores crticos de xito
REAS DE REVISIN
Indicadores clave de desempeo (KPI)
REAS DE REVISIN
Indicadores clave de objetivos (KGI)

El control de
Que satisface KGI (goal/objetivo) Req. de indicadores medibles negocio Es habilitado por Declaraci n del proceso para conseguir de control considerando su objetivo Pr cticas f(Req. Del negocio de la cascada ) de control Influenciados por los criterios de informacin primarios y secundarios Una fuente potencial puede encontrarse en la seccin sustanciar el riesgo de las directrices de auditora de COBIT
Proceso de TI
REAS DE REVISIN
Directrices gerenciales
Genricas y orientadas a la accin Con el propsito de

Perfilar el control de TI qu es importante? Conciencia dnde est el riesgo? Benchmarking qu hacen los dems?
Soportar la toma de decisiones y

supervisin
Indicadores claves de desempeo para procesos TI Factores crticos de xito de los controles Alternativas de implementacin de los controles
REAS DE REVISIN
Modelos de madurez para autoevaluacin
REAS DE REVISIN
DIMENSIONES DEL MODELO DE MADUREZ

Entendimiento y conocimiento de los riesgos y de los problemas de control Capacitacin y comunicacin aplicadas a los problemas Proceso y prcticas que son implementados Tcnicas y automatizacin para hacer los procesos ms efectivos y eficientes Grado de cumplimiento de la poltica interna, las leyes y las reglamentaciones Tipo y grado de pericia empleada.
REAS DE REVISIN
Directriz de Proceso Genrico

Gobierno sobre la tecnologa de informacin y los procesos con las metas del negocio para aadir valor, mientras se balancean los riesgos y el retorno Asegurar la entrega de informacin al Negocio el cual establece los Criterios de Informacin requeridos y es medido por Indicadores Clave de Resultados/Logros Se hace posible a travs de la creacin y mantenimiento de un sistema de procesos y controles apropiados para el negocio, el cual dirige y monitorea el valor del negocio proporcionado por TI Considera Factores Crticos de xito que tiene en cuenta todos los Recursos de TI y es medido por Indicadores Clave de Desempeo
REAS DE REVISIN
Factores Crticos de xito

- Las actividades del gobierno de TI son integradas dentro del proceso de gobierno de la empresa y las conductas de liderazgo - El gobierno de TI se enfoca en los objetivos y metas de la empresa, en las iniciativas estratgicas y el uso de tecnologa para mejorar el negocio, con base en la disponibilidad de recursos y capacidades suficientes para soportar las demandas del negocio Las actividades del Gobierno de TI estn definidas sobre propsitos claros, documentados e implementados, basados en las necesidades de la empresa y con responsabilidades concretas. - Las prcticas gerenciales son implementadas para incrementar la eficiencia y el uso ptimo de los recursos as como incrementar la efectividad de los procesos de TI.
REAS DE REVISIN
Factores Crticos de xito

- Se establecen prcticas organizacionales para: evitar descuidos; una cultura/ambiente de control; anlisis de riesgos como prctica estndar; grado de adherencia a estndares establecidos; monitoreo y seguimiento a los riesgos y a las deficiencias de control. - Se definen prcticas de control para evitar el incumplimiento o mal uso de controles internos. - Hay integracin e interoperabilidad transparente de los procesos de TI mas complejos como podran ser: problemas, cambios y administracin de la configuracin. - Se establece un comit de auditora para designar y supervisar un auditor independiente enfocado sobre TI cuando dirige la ejecucin de planes de auditora y revisa los resultados de las auditoras y revisiones de terceros.
REAS DE REVISIN
Indicadores clave de objetivo

- Incrementar el desempeo y la administracin de costos - Mejorar el retorno de la inversin sobre las mayores inversiones de TI -Mejorar el tiempo de comercializacin -Incrementar la calidad, la innovacin y la administracin de riesgos - Procesos del negocio apropiadamente integrados y estandarizados - Bsqueda de nuevos clientes y satisfacer los existentes - Disponibilidad de apropiado ancho de banda, poder de cmputo y mecanismos para la entrega de servicios de TI - Satisfacer los requerimientos y las expectativas de los clientes de los procesos con base en un presupuesto y a tiempo - Cumplir con las leyes, regulaciones, estndares de la industria y compromisos contractuales. - Transparencia en los riesgos asumidos y cumplimiento con el acuerdo del perfil de riesgo organizacional. - Comparaciones mediante Benchmarking sobre el nivel de madurez de TI - Creacin de nuevos canales de distribucin y entrega de servicios
REAS DE REVISIN
Indicadores clave de desempeo

- Mejorar los procesos de costo-eficiencia de TI (costos versus entregables o servicios) - Incrementar el nmero de planes de accin de TI para las iniciativas de mejora de procesos - Incrementar la utilizacin de la infraestructura de TI - Incrementar la satisfaccin de los socios y accionistas (encuestas y nmero de reclamaciones). - Incrementar la productividad de los funcionarios de TI (nmero de entregables) y su moral (encuesta) - Incrementar la disponibilidad de conocimiento e informacin para administrar la empresa. - Incrementar las relaciones entre el gobierno de la empresa y el gobierno de TI - Incrementar el desempeo mediante mediciones utilizando tarjetas de medicin (Balanced Scorecards)
REAS DE REVISIN
PO1 Planeacin y Organizacin Definir un Plan Estratgico de Tecnologa de Informacin El Control sobre el proceso de TI de Definir un Plan Estratgico de TI con el objetivo del negocio de lograr un equilibrio ptimo de oportunidades de tecnologa de la informacin y de los requerimientos de TI del negocio as como tambin asegurar su cumplimiento posterior Asegura la entrega de informacin al negocio que satisface los Criterios de Informacin requeridos y se mide por los Indicadores Clave de Objetivo Es posibilitado por un proceso de planeacin estratgica emprendido a intervalos regulares dando lugar a planes a largo plazo; los planes a largo plazo deben ser traducidos peridicamente en planes operativos que fijan metas a corto plazo claras y concretas Considera los Factores Crticos de xito que apalancan Recursos de TI especficos y se mide por medio de los Indicadores Clave de Desempeo.
REAS DE REVISIN
REAS DE REVISIN
REAS DE REVISIN
REAS DE REVISIN
REAS DE REVISIN
PO1 Modelo de Madurez El control sobre el proceso de TI de Definir un Plan Estratgico de TI con el objetivo del negocio de alcanzar un balance ptimo de oportunidades de tecnologa de la informacin y requerimientos de TI del negocio as como tambin asegurando su posterior cumplimiento 0 Inexistente. No se realiza la planeacin estratgica de TI. La administracin no est conciente de que la planeacin estratgica de TI es necesaria para apoyar los objetivos del negocio.
REAS DE REVISIN
1 Inicial /Ad hoc La administracin de TI est conciente de la necesidad de planeacin estratgica de TI, pero no se ha instalado un proceso estructurado de decisin. La planeacin estratgica de TI se realiza con base a la necesidad en respuesta a un requerimiento especfico del negocio y los resultados son por lo tanto espordicos e inconsistentes. La planeacin estratgica de TI es discutida ocasionalmente en las reuniones de administracin de TI, pero no en las reuniones de administracin del negocio. La correspondencia con los requerimientos del negocio, las aplicaciones y la tecnologa ocurren de manera reactiva, impulsadas por ofertas de los vendedores, en lugar de ser por una estrategia en toda la organizacin. La posicin estratgica de riesgo es identificada informalmente en cada proyecto.
REAS DE REVISIN
2 Repetible pero Intuitiva La planeacin estratgica de TI es entendida por la administracin de TI, pero no est documentada. La planeacin estratgica de TI es realizada por la administracin de TI, pero slo es compartida con la administracin del negocio en la medida en que se necesita. La actualizacin del plan estratgico de TI se lleva a cabo slo en respuesta a solicitudes de la administracin y no hay un proceso proactivo para identificar los desarrollos de TI y del negocio que requieren actualizaciones del plan. Las decisiones estratgicas son impulsadas por proyecto, sin consistencia con una estrategia general de la organizacin. Los riesgos y los beneficios de usuario de las principales decisiones estratgicas estn siendo reconocidos, pero su definicin es intuitiva.
REAS DE REVISIN
3 Proceso Definido Una poltica define cundo y cmo realizar la planeacin estratgica de TI. La planeacin estratgica de TI sigue un mtodo estructurado que est documentado y que es conocido por todos los miembros del personal. El proceso de planeacin de TI es razonablemente adecuado y asegura que la planeacin apropiada probablemente se realice. Sin embargo, se da discrecin a los administradores individuales respecto a la implementacin del proceso y no hay procedimientos para examinar el proceso regularmente. La estrategia general de TI incluye una definicin consistente de riesgos que la organizacin est dispuesta a correr como un innovador o seguidor. Las estrategias financiera, tcnica y de recursos humanos de TI impulsan cada vez ms la adquisicin de nuevos productos y tecnologas.
REAS DE REVISIN
4. Administrado y Medible La planeacin estratgica de TI es una prctica estndar y la administracin sealara las excepciones. La planeacin estratgica de TI es una funcin definida de la administracin con responsabilidades a nivel de alta gerencia. Con respecto al proceso de planeacin estratgica de TI, la administracin puede monitorearla, tomar decisiones inteligentes con base en sta y medir su efectividad. Tanto la planeacin a corto como a largo plazo se realiza y cae en cascada a la organizacin hacindose actualizaciones a medida que se necesitan. La estrategia de TI y la estrategia de toda la organizacin se estn volviendo cada vez ms coordinadas resolviendo procesos de negocio y capacidades de valor agregado y apalancando el uso de aplicaciones y de tecnologas a travs de reingeniera del proceso de negocio. Hay un proceso bien definido para balancear los recursos internos y externos requeridos en el desarrollo y en las operaciones del sistema. Benchmarking frente a normas y competidores de la industria se est volviendo cada vez ms formalizada.
REAS DE REVISIN
5. Optimizado La planeacin estratgica de TI, es un proceso documentado, viviente, es constantemente considerado en la determinacin del objetivo del negocio y tiene como resultado un valor discernible de negocio a travs de inversiones en TI. Constantemente se estn actualizando las consideraciones de riesgo y de valor agregado en el proceso de planeacin estratgica de TI. Hay una funcin de planeacin estratgica de TI que es integral con la funcin de planeacin del negocio. Se desarrollan planes realistas de TI a largo plazo y los mismos estn siendo constantemente actualizados para que reflejen la tecnologa cambiante y los desarrollos relacionados con el negocio. Los planes de corto plazo de TI contienen hitos de tareas de proyectos y productos que son constantemente monitoreados y actualizados, a medidas que ocurren cambios. El establecimiento de Benchmarking frente a normas de la industria bien entendidas y confiables es un proceso bien definido y est integrado con el proceso de formulacin de estrategias. La organizacin de TI identifica y respalda nuevos desarrollos de la tecnologa para impulsar la creacin de nuevas capacidades de negocios y para mejorar la ventaja competitiva de la organizacin.
DEBATE
En un plan de continuidad de negocio, Cul de los siguientes directorios de notificacin es el ms importante?

1. vendedores de equipos y suministros 2. agentes de compaas de seguro 3. servicios de contratacin de personal 4. una lista priorizada de contactos
DEBATE
1.
2.
3. 4.
Un auditor de SI descubre que un plan de continuidad de negocio de una instalacin de procesamiento de informacin provee un sitio alternativo de procesamiento que alojar el 50% de la capacidad del sitio de procesamiento primario. Sobre la base de esto, cul de las acciones siguientes debe emprender el auditor de SI? No hacer nada, porque generalmente, menos del 25% de todo el procesamiento es crtico para la supervivencia de una organizacin y la capacidad de respaldo es por tanto adecuada Identificar las aplicaciones que podran ser procesadas en el sitio alternativo y desarrollar procedimientos manuales para dar respaldo al otro procesamiento. Asegurar que se hayan identificado las aplicaciones crticas y que el sitio alternativo pueda procesar todas estas aplicaciones. Recomendar que la instalacin de procesamiento de informacin haga los arreglos para un sitio alternativo de procesamiento de la informacin con la capacidad de manejar por lo menos el 75% del procesamiento normal.
DEBATE
Cul de los siguientes componentes de un plan de continuidad del negocio es primariamente responsabilidad del departamento de SI de una organizacin?
1. Desarrollar el plan de continuidad del negocio 2. Seleccionar y aprobar la estrategia para el plan de continuidad del negocio 3. Declarar un desastre 4. Restaurar los sistemas de SI y los datos despus de un desastre.
DEBATE
En una auditora de un plan de continuidad de negocio cul de los siguientes hallazgos es de ms preocupacin?
1. No hay seguros para la adicin de activos durante el ao 2. El manual del plan no es actualizado peridicamente 3. La prueba de las copias de respaldo de datos no se ha hecho regularmente 4. Los registros de mantenimiento del sistema de acceso no se han mantenido
DEBATE
Un auditor de SI debera involucrarse en:

1. Observar las pruebas del plan de recuperacin de desastres 2. Desarrollar el plan de recuperacin de desastres 3. Mantener el plan de recuperacin de desastres 4. Revisar los requerimientos de recuperacin de desastres en los contratos de los proveedores
DEBATE
Cul de lo siguiente es necesario tener primero en el desarrollo de un plan de continuidad de negocio?

1. Clasificacin de los sistemas basada en el riesgo 2. Inventario de todos los activos 3. Documentacin completa de todos los desastres 4. Disponibilidad de hardware y de software
DEBATE
Los planes de prueba de las aplicaciones se desarrollan en cul de las siguientes etapas del ciclo de vida de sistemas?
1. Diseo 2. Prueba 3. Requisitos 4. Desarrollo
DEBATE
El propsito primario de llevar a cabo la ejecucin en paralelo de un sistema nuevo es:

1. Verificar que el sistema provea la funcionalidad que requiere el negocio 2. Validar la operacin del sistema nuevo contra el que lo precedi 3. Resolver cualquier error en las interfaces de programas y de archivo 4. Verificar que el sistema pueda procesar la carga de produccin
DEBATE
Cul de las siguientes opciones sera la que ms probablemente asegurara que un proyecto de desarrollo de sistemas cumpla con los objetivos de negocio?
1. Mantenimiento de las bitcoras de cambios de los programas 2. El desarrollo de un plan de proyectos que identifique todas las actividades 3. La liberacin de los cambios en determinadas fechas del ao 4. La participacin del usuario en la especificacin y aceptacin del sistema
DEBATE
Cuando se audita la fase de requisitos de una adquisicin de software, el auditor de SI debe:

1. Evaluar la factibilidad del cronograma del proyecto 2. Evaluar los procesos de calidad propuestos por el vendedor 3. Asegurarse que se adquiera el mejor paquete de software 4. Revisar que las especificaciones estn completas
DEBATE
La mantenibilidad est ms relacionada con cul de lo siguientes atributos software:

1. Los recursos que se necesitan para hacer modificaciones especficas 2. El esfuerzo que se necesita para usar la aplicacin del sistema 3. Relacin entre el desempeo del software y los recursos necesarios 4. La satisfaccin de las necesidades del usuario
DEBATE
Cuando se llevaba a cabo una revisin de la reingeniera de los procesos de negocio, un auditor de SI encontr que un control preventivo clave haba sido eliminado. El auditor de SI debe:
1. Informar a la gerencia sobre el hallazgo y determinar si la gerencia est dispuesta a aceptar el riesgo material potencial de no tener ese control preventivo 2. Determinar si un control detectivo ha reemplazado al control preventivo durante el proceso, y si as fuera, no reportar la eliminacin del control preventivo 3. Recomendar que ste y todos los procedimientos de control que existan antes de que al proceso se le hubiera aplicado reingeniera, sean incluidos en el nuevo proceso 4. Desarrollar un mtodo de auditora continua para monitorear los efectos de la eliminacin del control preventivo

ASI15

Загружено:

Сведения о документе

Оригинальное название

Авторское право

Доступные форматы

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Доступные форматы

ASI15

Загружено:

Авторское право:

Доступные форматы

AUDITORA DE SISTEMAS DE INFORMACIN

AUDITORA DE SISTEMAS DE INFORMACIN

AUDITORA DE SISTEMAS DE INFORMACIN

Control OBjectives for Information and Related Technology

AUDITORA DE SISTEMAS DE INFORMACIN

AUDITORA DE SISTEMAS DE INFORMACIN

Misin de los COBIT

AUDITORA DE SISTEMAS DE INFORMACIN

AUDITORA DE SISTEMAS DE INFORMACIN

Productos de la Familia COBIT

AUDITORA DE SISTEMAS DE INFORMACIN

AUDITORA DE SISTEMAS DE INFORMACIN

Necesidad de un marco de referencia

AUDITORA DE SISTEMAS DE INFORMACIN

El marco de referencia COBIT

AUDITORA DE SISTEMAS DE INFORMACIN

La necesidad de control de TI * Directivos * Usuarios * Auditores

AUDITORA DE SISTEMAS DE INFORMACIN

Los directivos necesitan COBIT para

AUDITORA DE SISTEMAS DE INFORMACIN

Los usuarios necesitan COBIT

AUDITORA DE SISTEMAS DE INFORMACIN

AUDITORA DE SISTEMAS DE INFORMACIN

AUDITORA DE SISTEMAS DE INFORMACIN

Definicin de Objetivo de Control

AUDITORA DE SISTEMAS DE INFORMACIN

Principios del marco

AUDITORA DE SISTEMAS DE INFORMACIN

Req. del negocio = criterios de informacin

AUDITORA DE SISTEMAS DE INFORMACIN

AUDITORA DE SISTEMAS DE INFORMACIN

AUDITORA DE SISTEMAS DE INFORMACIN

AUDITORA DE SISTEMAS DE INFORMACIN

Recursos de Tecnologa de la Inf.

AUDITORA DE SISTEMAS DE INFORMACIN

AUDITORA DE SISTEMAS DE INFORMACIN

Principios del marco

AUDITORA DE SISTEMAS DE INFORMACIN

AUDITORA DE SISTEMAS DE INFORMACIN

AUDITORA DE SISTEMAS DE INFORMACIN

AUDITORA DE SISTEMAS DE INFORMACIN

AUDITORA DE SISTEMAS DE INFORMACIN

AUDITORA DE SISTEMAS DE INFORMACIN

AUDITORA DE SISTEMAS DE INFORMACIN

AUDITORA DE SISTEMAS DE INFORMACIN

AUDITORA DE SISTEMAS DE INFORMACIN

AUDITORA DE SISTEMAS DE INFORMACIN

AUDITORA DE SISTEMAS DE INFORMACIN

Control sobre el proceso de TI de:

que satisface los requerimientos del negocio de:

se hace posible a travs de:

AUDITORA DE SISTEMAS DE INFORMACIN

AUDITORA DE SISTEMAS DE INFORMACIN

AUDITORA DE SISTEMAS DE INFORMACIN

1.3 Plan a largo plazo de TI - Enfoque y Estructura OBJETIVO DE CONTROL

AUDITORA DE SISTEMAS DE INFORMACIN

AUDITORA DE SISTEMAS DE INFORMACIN

AUDITORA DE SISTEMAS DE INFORMACIN

AUDITORA DE SISTEMAS DE INFORMACIN

AUDITORA DE SISTEMAS DE INFORMACIN

AUDITORA DE SISTEMAS DE INFORMACIN

AUDITORA DE SISTEMAS DE INFORMACIN

AUDITORA DE SISTEMAS DE INFORMACIN