Вы находитесь на странице: 1из 235

DIRECTRICES DE AUDITORIA

COBIT
Julio de 2000 3a Edicin

DIRECTRICES DE AUDITORIA

Emitido por el Comit Directivo de COBIT y El IT Governance Institute TM

La Misin de COBIT:
Investigar, desarrollar, publicar y promover un conjunto de objetivos de control en tecnologa de informacin con autoridad, actualizados, de carcter internacional y aceptados generalmente para el uso cotidiano de gerentes de empresas y auditores.
IT GOVERNANCE INSTITUTE

ARGENTINA ARUBA AUSTRALIA AUSTRIA BAHAMAS BAHRAIN BANGLEDESH BARBADOS BLGICA BERMUDA BOLIVIA BOSTSWANA BRASIL BRUENI CANAD CHILE CHINA COLOMBIA COSTA RICA CROATA CURAZAO CYPRUS REPBLICA CHECA DINAMARCA REPBLICA DOMINICANA ECUADOR EGIPTO ESTONIA ISLAS FAEROE FINLANDIA FRANCIA ALEMANIA GHANA GRECIA GUAM GUATEMALA HONDURAS HONG KONG HUNGRA ISLANDIA INDIA INDONESIA IRLANDA ISRAEL ITALIA IVORY COAST JAMAICA JAPN JORDN KENYA COREA KUWAIT LATVIA LEBANON 2

INFORMATION SYSTEMS AUDIT AND CONTROL ASSOCIATION DIRECTRICES DE AUDITORIA


Una sola Fuente Internacional para los Controles de la Tecnologa de Informacin

Information Systems Audit and Control Association es una organizacin global lder de profesionales que representa a individuos en ms de 100 pases y comprende todos los niveles de la tecnologa de informacin Direccin ejecutiva, gerencia media y practicantes. La Asociacin est nicamente posesionada para cubrir el papel de generador central que armoniza los estndares de las prcticas de control de TI a nivel mundial. Sus alianzas estratgicas con otros grupos dentro del mbito profesional financiero, contable, de auditora y de TI aseguran a los dueos del proceso del negocio un nivel sin paralelo de integracin y compromiso.

su programa de educacin profesional ofrece conferencias tcnicas y administrativas en cinco continentes, as como seminarios en todo el mundo para ayudar a los profesionistas de todas partes a recibir educacin contina de alta calidad.

su rea de publicidad tcnica proporciona materiales de desarrollo profesional y referencias con el fin de aumentar su distinguida seleccin de programas y servicios. La Information Systems Audit and Control Association se cre en 1969 para cubrir las necesidades nicas, diversas y de alta tecnologa en el naciente campo de la TI. En una industria donde el progreso se mide en nanosegundos, ISACA se ha movido gil y velozmente para satisfacer las necesidades de la comunidad de negocios internacionales y de la profesin de controles de la TI.

Programas y Servicios de la Asociacin


Los Programas y Servicios de la Asociacin han ganado prestigio al establecer los niveles ms altos de excelencia en certificacin, estndares, educacin profesional y publicidad tcnica. su programa de certificacin (el Auditor de Sistemas de Informacin Certificado) es la nica designacin global en toda la comunidad de control y auditora de la TI.

Para ms Informacin
Para recibir informacin adicional, puede llamar al (+1.847.253.1545), enviar un email a (research@isaca.org) o visitar los siguientes sitios web:

LIECHTENSTEIN LITUANIA LUXEMBURGO MALASIA MALTA MALAWI MXICO PASES BAJOS NUEVA GUINEA NUEVA ZELANDA NIGERIA NORUEGA OMN PAKISTN PANAM PER FILIPINAS POLONIA PORTUGAL QATAR RUSIA SAIPAN ARABIA SAUDITA ESCOCIA SEYCHELLES SINGAPUR REP. ESLOVACA ESLOVENIA SUDFRICA ESPAA SRI LANKA ST. KITTS ST. LUCIA SUECIA SUIZA SIRIA TAIWAN TANZANIA TASMANIA TAILANDIA TRINIDAD & TOBAGO

www.itgovernance.org www.isaca.org

TURQUA UGANDA EMIRATOS ARAB UNIDOS REINO UNIDO ESTADOS UNIDOS

sus actividades estndar establecen la base de calidad mediante la cual otras actividades de control y auditora de TI se miden.

URUGUAY VENEZUELA VIETNAM GALES YEMEN ZAMBIA ZIMBABWE

IT GOVERNANCE INSTITUTE

DIRECTRICES DE AUDITORIA
CONTENIDO
Reconocimientos................................................................. 4 Resumen Ejecutivo..............................................................5 El Marco Referencial de COBIT.........................................9 Los Principios del Marco Referencial...............................14 Historia y Antecedentes del COBIT..................................19 Introduccin a las Directrices de Auditoria...................... 21 Directriz General de Auditoria..........................................26 Tabla ResumenObjetivos de Control ............................30 Resumen de las Ayudas de Navegacin de las Directrices de Auditoria..........................................31 Relacin entre los Objetivos de Control Dominios, Procesos y Objetivos de Control .....................33 Directrices de Auditora....................................................39 Planeacin y Organizacin..........................................41 Adquisicin e Implementacin...................................95 Entrega de Servicios y Soporte.................................129 Monitoreo..................................................................201 Apndice I Directrices Gerenciales del Gobierno de TI..............220 Apndice II Descripcin del Proyecto COBIT.............................224 Apndice III Material de Referencia Primaria de COBIT..............226 Apndice IV Glosario de Trminos................................................229 Apndice V Proceso de Auditora.................................................231 Directriz Genrica para realizar Auditora......................235
Information Systems Audit and Control Foundation IT Governance Institute 3701 Algonquin Road, Suite 1010 Rolling Meadows, Illinois 60008 USA. Telfono: 1+847.253.1525 Fax: 1+847.253.1443 E-mail: research@isaca.org Web sites: www.isaca.org www.Itgovernance.org ISBN 1-933284-00-5 (Directrices de Auditoria, Espaol) ISBN 1-933284-02-1 (Paquete completo de los 6 libros y CD) Impreso en los Estados Unidos de Amrica Lmite de Responsabilidad La Information Systems Audit and Control AssociationISACA- y el IT Governance Institute ITGI- (los propietarios) han creado esta publicacin titulada COBIT: Objetivos de Control para la Informacin y las Tecnologas Relacionadas (el trabajo) principalmente como un recurso educativo para los profesionales dedicados a las actividades de control. Los Propietarios declaran que no responden o garantizan que el uso que se le de al Trabajo asegurar un resultado exitoso. No deber considerarse que el Trabajo incluye toda la informacin, los procedimientos o las pruebas apropiadas o excluye otra informacin, procedimientos y pruebas que estn razonablemente dirigidas a la obtencin de los mismos resultados. Para determinar la conveniencia de cualquier informacin, procedimiento o prueba especfica, los expertos en control debern aplicar su propio juicio profesional a las circunstancias especficas presentadas por los sistemas o por el ambiente de tecnologa de informacin en particular. Esta edicin de COBIT fue traducida al idioma espaol por Gustavo Adolfo Sols Montes, Lucio Augusto Molina Focazzio, Johann Tello Meryk y Roco Torres Surez, (los traductores). Los traductores asumen la responsabilidad exclusiva por la actualizacin y por la fidelidad de la traduccin. La Information Systems Audit and Control Association (ISACA) y el IT Governance Institute (ITGI) declaran que no responden por la actualizacin, totalidad, o por la calidad de la traduccin. En ningn evento ISACA/ITGI ser responsable ante un individuo u organizacin por los daos causados en relacin con la edicin del lenguaje, cualquier actualizacin, modificacin, localizacin o traduccin. Acuerdo de Licencia de uso (disclosure) Copyright 1996, 1998, 2000, de la Information Systems Audit and Control Foundation (ISACF). La reproduccin para fines comerciales no est permitida sin el previo consentimiento por escrito de la ISACF. Se otorga permiso para reproducir el Resumen Ejecutivo, el Marco Referencial, los Objetivos de Control, las Directrices Gerenciales y el Conjunto de Herramientas de Implementacin para uso interno no comercial, incluyendo almacenamiento en medios de recuperacin de datos y transmisin en cualquier medio, incluyendo electrnico, mecnico, grabado u otro medio. Todas las copias del Resumen Ejecutivo, el Marco Referencial, los Objetivos de Control, las Directrices Gerenciales y el Conjunto de Herramientas de Implementacin deben incluir el siguiente reconocimiento y leyenda de derechos de autor: Copyright 1996, 1998, 2000 Information Systems Audit and Control Foundation. Reimpreso con la autorizacin de la Information Systems Audit and Control Foundation, y el IT Governance Institute. Las Guas/Directrices de Auditora no pueden ser usadas, copiadas, reproducidas, almacenadas, modificadas en un sistema de recuperacin de datos o transmitido en ninguna forma ni por ningn medio (electrnico, mecnico, fotocopiado, grabado u otro medio) sin la previa autorizacin por escrito de la ISACF. Sin embargo, las Directrices de Auditora pueden ser usadas con fines no comerciales internos nicamente. Excepto por lo indicado, no se otorga ningn otro derecho o permiso relacionado con esta obra. Todos los derechos de esta obra son reservados.

IT GOVERNANCE INSTITUTE

DIRECTRICES DE AUDITORIA
RECONOCIMIENTOS
COMIT DIRECTIVO DE COBIT
ERIK GULDENTOPS, S.W.I.F.T. SC, BLGICA JOHN LAINHART, PRICEWATERHOUSECOOPERS, USA EDDY SCHUERMANS, PRICEWATERHOUSECOOPERS, BLGICA JOHN BEVERIDGE, STATE AUDITORS OFFICE, MASSACHUSETTS, USA MICHAEL DONAHUE, PRICEWATERHOUSECOOPERS, USA GARY HARDY, ARTHUR ANDERSEN, REINO UNIDO RONALD SAULL, GREAT-WEST LIFE ASSURANCE, LONDON LIFE AND INVESTORS GROUP, CANADA

MARK STANLEY, SUN AMERICA INC., USA

Especiales Agradecimientos a los miembros de la Mesa Directiva de la Information Systems Audit and Control Association y a los Fideicomisarios de la Information Systems Audit and Control Foundation, encabezados por el Presidente Internacional Paul Williams, por su contnuo y firme apoyo al COBIT

IT GOVERNANCE INSTITUTE

DIRECTRICES DE AUDITORIA
Un elemento crtico para el xito y la supervivencia de las organizaciones, es la administracin efectiva de la informacin y de la Tecnologa de Informacin (TI) Relacionada. En esta sociedad global (donde la informacin viaja a travs del ciberespacio sin las restricciones de tiempo, distancia y velocidad) esta criticidad emerge de: z La creciente dependencia en informacin y en los sistemas que proporcionan dicha informacin z La creciente vulnerabilidad y un amplio espectro de amenazas, tales como las ciber amenazas y la guerra de informacin1 z La escala y el costo de las inversiones actuales y futuras en informacin y en tecnologa de informacin; y z El potencial que tienen las tecnologas para cambiar radicalmente las organizaciones y las prcticas de negocio, crear nuevas oportunidades y reducir costos Para muchas organizaciones, la informacin y la tecnologa que la soporta, representan los activos mas valiosos de la empresa. Es ms, en nuestro competitivo y rpidamente cambiante ambiente actual, la Gerencia ha incrementado sus expectativas relacionadas con la entrega de servicios de TI. Por lo tanto, la Administracin requiere niveles de servicio que presenten incrementos en calidad, en funcionalidad y en facilidad de uso, as como un mejoramiento continuo y una disminucin de los tiempos de entrega; al tiempo que demanda que esto se realice a un costo ms bajo. Muchas organizaciones reconocen los beneficios potenciales que la tecnologa puede proporcionar. Las organizaciones exitosas, sin embargo, tambin comprenden y administran los riesgos asociados con la implementacin de nuevas tecnologas. Hay numerosos cambios en TI y en su ambiente de operacin que enfatiza la necesidad de un mejor manejo relacionado con los riesgos de TI. La dependencia en la informacin electrnica y en los sistemas de TI son esenciales para soportar los procesos crticos del negocio. Adicionalmente, el ambiente regulatorio demanda control estricto sobre la informacin. Esto a su vez conduce a un incremento de los desastres en los sistemas de informacin y al incremento del fraude electrnico. La Administracin de los riesgos relacionados con TI est siendo entendido como un aspecto clave en el gobierno o direccin empresarial. Dentro del Gobierno Empresarial, el Gobierno / Gobernabilidad de TI2 se est volviendo mas y mas importante y est definido como una estructura de relaciones y procesos para dirigir y controlar a la empresa con el fin que sta pueda cumplir sus metas dando valor agregado mientras balancea sus riesgos versus el retorno sobre TI y sus procesos. El Gobierno de TI es parte integral del xito de la Gerencia de la Empresa al asegurar mejoras medibles, eficientes y efectivas de los procesos relacionados de la empresa. El Gobierno de TI provee las estructuras que unen los procesos de TI, los recursos de TI y la informacin con las estrategias y los objetivos de la empresa. Adems, el Gobierno de TI integra e institucionaliza buenas (o mejores) prcticas de planeacin y organizacin, adquisicin e implementacin, entrega de servicios y soporte y monitorea el desempeo de TI para asegurar que la informacin de la empresa y las tecnologas relacionadas soportan sus objetivos del negocio. El Gobierno de TI conduce a la empresa a tomar total ventaja de su informacin logrando con esto maximizar sus beneficios, capitalizar sus oportunidades y obtener ventaja competitiva GOBIERNO/ GOBERNABILIDAD DE TI Una estructura de relaciones y procesos para dirigir y controlar la empresa con el objeto de alcanzar los objetivos de la empresa y aadir valor mientras se balancean los riesgos versus el retorno sobre TI y sus procesos. Las organizaciones deben cumplir con requerimientos de calidad, fiduciarios y de seguridad, tanto para su informacin, como para sus activos. La Administracin deber adems optimizar el empleo de sus recursos disponibles, los cuales incluyen: personal, instalaciones, tecnologa, sistemas de aplicacin y datos. Para cumplir con esta responsabilidad, as como para alcanzar sus objetivos, la Administracin debe entender el estado de sus propios sistemas de TI y decidir el nivel de seguridad y control que deben proveer estos sistemas. Los Objetivos de Control para la Informacin y las Tecnologas Relacionadas (COBIT), ahora en esta tercera edicin, ayuda a satisfacer las mltiples necesidades de la Administracin estableciendo un puente entre los riesgos del negocio, los controles necesarios y los aspectos tcnicos. Provee buenas prcticas a travs de un dominio y el marco referencial de los procesos y presenta actividades en una estructura manejable y lgica. Las Buenas prcticas de COBIT rene el consenso de expertos - quienes ayudarn a optimizar la inversin de la informacin y proporcionarn un mecanismo de medicin que permitir juzgar cuando las actividades van por el camino equivocado.

1 2

Guerra de informacin (information warfare) Gobierno de TI (IT Governance) Governance es un trmino que representa el sistema que establece la alta gerencia para asegurar el logro de los objetivos de una Organizacin.

IT GOVERNANCE INSTITUTE

DIRECTRICES DE AUDITORIA
La Administracin debe asegurar que los sistemas de control interno o el marco referencial estn funcionando y soportan los procesos del negocio y debe tener claridad sobre la forma como cada actividad individual de control satisface los requerimientos de informacin e impacta los recursos de TI. El impacto sobre los recursos de TI son resaltados en el Marco Referencial de COBIT junto con los requerimientos del negocio que deben ser alcanzados: eficiencia, efectividad, confidencialidad, integridad, disponibilidad, cumplimiento y confiabilidad de la informacin. El control, que incluye polticas, estructuras, prcticas y procedimientos organizacionales, es responsabilidad de la administracin. La administracin, mediante este gobierno corporativo, debe asegurar que todos los individuos involucrados en la administracin, uso, diseo, desarrollo, mantenimiento u operacin de sistemas de informacin acten con la debida diligencia. Un Objetivo de Control en TI es una definicin del resultado o propsito que se desea alcanzar implementando procedimientos de control especficos dentro de una actividad de TI. La orientacin al negocio es el tema principal de COBIT. Est diseado no solo para ser utilizado por usuarios y auditores, sino que, lo ms importante, esta diseado para ser utilizado por los propietarios de los procesos de negocio como una gua clara y entendible. A medida que ascendemos, las prcticas de negocio requieren de una mayor delegacin y empoderamiento3 de los dueos de los procesos para que estos tengan total responsabilidad de todos los aspectos relacionados con dichos procesos de negocio. En particular, esto incluye el proporcionar controles adecuados.. El Marco Referencial de COBIT proporciona, al propietario de procesos de negocio, herramientas que facilitan el cumplimiento de esta responsabilidad. El Marco Referencial comienza con una premisa simple y prctica: Con el fin de proporcionar la informacin que la empresa necesita para alcanzar sus objetivos, los recursos de TI deben ser administrados por un conjunto de procesos de TI agrupados en forma natural. El Marco Referencial contina con un conjunto de 34 Objetivos de Control de alto nivel, uno para cada uno de los Procesos de TI, agrupados en cuatro dominios: Planeacin y Organizacin, Adquisicin e Implementacin, Entrega de servicios y Soporte y Monitoreo. Esta estructura cubre todos los aspectos de informacin y de tecnologa que la soporta. Administrando adecuadamente estos 34 Objetivos de Control de alto nivel, el propietario de procesos de negocio podr asegurar que se proporciona un sistema de control adecuado para el ambiente de tecnologa de informacin. El Marco Referencial de COBIT provee adems una gua o lista de verificacin para el Gobierno de TI. El Gobierno de TI proporciona las estructuras que encadenan los procesos de TI, los recursos de TI y la informacin con los objetivos y las estrategias de la empresa. El Gobierno de TI integra de una forma ptima el desempeo de la Planeacin y Organizacin, la Adquisicin e Implementacin, la Entrega de Servicios y Soporte y el Monitoreo. El Gobierno de TI facilita que la empresa obtenga total ventaja de su informacin y as mismo maximiza sus beneficios, capitalizando sus oportunidades y obteniendo ventaja competitiva Adicionalmente, correspondiendo a cada uno de los 34 objetivos de control de alto nivel, existe una Gua o directriz de Auditora o de aseguramiento que permite la revisin de los procesos de TI contra los 318 objetivos detallados de control recomendados por COBIT para proporcionar a la Gerencia la certeza de su cumplimiento y/o sugerencias para su mejoramiento. Las Guas o Directrices Gerenciales de COBIT, desarrolladas recientemente, ayudan a la Gerencia a cumplir de una forma mas efectiva con las necesidades y requerimientos del Gobierno de TI. Las Directrices son acciones genricas orientadas a proveer a la Administracin la direccin para mantener bajo control la informacin de la empresa y sus procesos relacionados, para monitorear el logro de las metas organizacionales, para monitorear el desempeo de cada proceso de TI y para llevar a cabo un benchmarking de los logros organizacionales. Especficamente COBIT provee Modelos de Madurez para el control sobre los procesos de TI de tal forma que la Administracin puede ubicarse en el punto donde la organizacin est hoy, donde est en relacin con los mejores de su clase en su industria y con los estndares internacionales y as mismo determinar a donde quiere llegar; Factores Crticos de xito (Critical Success Factors), que definen o determina cuales son las mas importantes directrices que deben ser consideradas por la Administracin para lograr control sobre y dentro de los procesos de TI. Indicadores Claves del logro de Objetivos o de Resultados (Key Goal Indicators) los cuales definen los mecanismos de medicin que indicarn a la Gerenciadespus del hecho si un proceso de TI ha satisfecho los requerimientos del negocio; y los Indicadores Clave de desempeo (Key Performance Indicators) los cuales son indicadores primarios que definen la medida para conocer qu tan bien se est ejecutando el proceso de TI frente o comparado contra el objetivo que se busca.
3

Empoderamiento (empowerment)

IT GOVERNANCE INSTITUTE

DIRECTRICES DE AUDITORIA
Las Directrices Gerenciales de COBIT son genricas y son acciones orientadas al propsito de responder los siguientes tipos de preguntas gerenciales: Qu tan lejos debemos ir y se justifica el costo respecto al beneficio obtenido? Cules son los indicadores de buen desempeo? Cules son los factores crticos de xito? Cules son los riesgos de no lograr nuestros objetivos? Qu hacen otros? Cmo nos podemos medir y comparar?
COBIT contiene adicionalmente un Conjunto de Herramientas de Implementacin que proporciona lecciones aprendidas por empresas que rpida y exitosamente aplicaron COBIT en sus ambientes de trabajo. Incluye dos herramientas particularmente tiles - Diagnstico de Sensibilizacin Gerencial (Management Awareness Diagnostic) y Diagnstico de Control en TI (IT Control Diagnostic) - para proporcionar asistencia en el anlisis del ambiente de control de TI en una organizacin. En los prximos aos las Directivas de las Organizaciones necesitarn demostrar que estn logrando incrementar sus niveles de seguridad y control. COBIT es una herramienta que ayuda a los Directivos a colocar un puente entre los requerimientos de control, los aspectos tcnicos y los riesgos del negocio y adicionalmente informa a los accionistas o dueos de la empresa el nivel de control alcanzado. COBIT habilita el desarrollo de una poltica clara y de buenas prcticas de control de TI a travs de las organizaciones, a nivel mundial. Por lo tanto, COBIT est diseado para ser la herramienta de gobierno de TI que ayude al entendimiento y a la administracin de los riesgos as como de los beneficios asociados con la informacin y sus tecnologas relacionadas.

IT GOVERNANCE INSTITUTE

DIRECTRICES DE AUDITORIA
PROCESOS DE TI DE COBIT DEFINIDOS DENTRO DE LOS CUATRO DOMINIOS

IT GOVERNANCE INSTITUTE

DIRECTRICES DE AUDITORIA
EL MARCO REFERENCIAL DE COBIT
LA NECESIDAD DE CONTROL EN TECNOLOGIA DE INFORMACION En los ltimos aos , ha sido cada vez ms evidente la necesidad de un Marco Referencial para la seguridad y el control de tecnologa de informacin (TI). Las organizaciones exitosas requieren una apreciacin y un entendimiento bsico de los riesgos y limitaciones de TI a todos los niveles dentro de la empresa con el fin de obtener un efectiva direccin y controles adecuados. LA ADMINISTRACION (MANAGEMENT) debe decidir cual es la inversin razonable en seguridad y en control en TI y cmo lograr un balance entre riesgos e inversiones en control en un ambiente de TI frecuentemente impredecible. Mientras la seguridad y los controles en los sistemas de informacin ayudan a administrar los riesgos, no los eliminan. Adicionalmente, el exacto nivel de riesgo nunca puede ser conocido ya que siempre existe un grado de incertidumbre. Finalmente, la Administracin debe decidir el nivel de riesgo que est dispuesta a aceptar. Juzgar cual puede ser el nivel tolerable, particularmente cuando se tiene en cuenta contra el costo, puede ser una decisin difcil para la Administracin. Por esta razn, la Administracin necesita un marco de referencia de las prcticas generalmente aceptadas de control y seguridad de TI para compararlos contra el ambiente de TI existente y planeado. Existe una creciente necesidad entre los USUARIOS de los servicios de TI, de estar protegidos a travs de la acreditacin y la auditora de servicios de TI proporcionados internamente o por terceras partes, que aseguren la existencia de controles y seguridades adecuadas. Actualmente, sin embargo, es confusa la implementacin de buenos controles de TI en sistemas de negocios por parte de entidades comerciales, entidades sin fines de lucro o entidades gubernamentales. Esta confusin proviene de los diferentes mtodos de evaluacin, tales como ITSEC, TCSEC, evaluaciones ISO9000, nuevas evaluaciones de control interno COSO, etc. Como resultado, los usuarios necesitan que se establezca una base general como un primer paso. Frecuentemente, los AUDITORES han tomado el liderazgo en estos esfuerzos internacionales de estandarizacin, debido a que ellos enfrentan continuamente la necesidad de sustentar y apoyar su opinin acerca de los controles internos frente a la Gerencia. Sin contar con un marco referencial, sta se convierte en una tarea demasiado complicada. Incluso, la administracin consulta cada vez ms a los auditores para que la asesoren en forma proactiva en lo referente a asuntos de seguridad y control de TI. EL AMBIENTE DE NEGOCIOS: COMPETENCIA, CAMBIO Y COSTOS La competencia global es ya un hecho. Las organizaciones se reestructuran con el fin de perfeccionar sus operaciones y al mismo tiempo aprovechar los avances en TI para mejorar su posicin competitiva. La reingeniera en los negocios, las reestructuraciones o right-sizing, el outsourcing, el empoderamiento, las organizaciones horizontales y el procesamiento distribuido son cambios que impactan la manera en la que operan tanto los negocios como las entidades gubernamentales. Estos cambios han tenido y continuarn teniendo, profundas implicaciones para la administracin y las estructuras de control operacional dentro de las organizaciones en todo el mundo. La especial atencin prestada a la obtencin de ventajas competitivas y a la eficiencia en costos implica una dependencia creciente en la tecnologa como el componente ms importante en la estrategia de la mayora de las organizaciones. La automatizacin de las funciones organizacionales, por su naturaleza, dicta la incorporacin de mecanismos de control ms poderosos en las computadoras y en las redes, tanto para las basadas en hardware como las basadas en software. Adems, las caractersticas estructurales fundamentales de estos controles estn evolucionando al mismo paso que las tecnologas de computacin y las redes.

Dentro del marco referencial de cambios acelerados, si los administradores, los especialistas en sistemas de informacin y los auditores desean en realidad ser capaces de cumplir con sus tareas en forma efectiva , debern aumentar y mejorar sus habilidades tan rpidamente como lo demandan la tecnologa y el ambiente. Debemos comprender la tecnologa de controles involucrada y su naturaleza cambiante si deseamos emitir y ejercer juicios razonables y prudentes al evaluar las prcticas de control que se encuentran en los negocios tpicos o en las organizaciones gubernamentales.

IT GOVERNANCE INSTITUTE

DIRECTRICES DE AUDITORIA
APARICION DEL GOBIERNO4 DE LA EMPRESA Y DEL GOBIERNO DE TI Para lograr el xito en esta economa de informacin, el Gobierno de la empresa y el Gobierno de TI no pueden ser consideradas separadamente y en distintas disciplinas. El gobierno efectivo de la empresa enfoca el conocimiento y la experiencia en forma individual y grupal, donde puede ser mas productivo, monitoreado y medido el desempeo as como provisto el aseguramiento para aspectos crticos. TI, por mucho tiempo considerada aislada dentro del logro de los objetivos de la empresa debe ahora ser considerada como una parte integral de la estrategia. El Gobierno de TI provee la estructura que une los procesos de TI, los recursos de TI y las estrategias y objetivos de la empresa. El Gobierno de TI integra e institucionaliza de una manera ptima la planeacin y organizacin, la adquisicin e implementacin, la entrega de servicios y soporte y el monitoreo del desempeo de TI. El Gobierno de TI es integral para el xito del Gobierno de la Empresa asegurando una eficiente y efectiva medicin para mejorar los procesos de la empresa. El Gobierno de TI le permite a la empresa tomar ventaja total de su informacin, al maximizar sus beneficios, capitalizar sus oportunidades y ganar ventaja competitiva. Observando en el contexto a la empresa y los procesos del Gobierno de TI con mayor detalle, el gobierno de la empresa, el sistema por el cual las entidades son dirigidas y controladas direcciona y analiza el Gobierno de TI. Al mismo tiempo, TI debera proveer insumos crticos y constituirse en un componente importante de los planes estratgicos. De hecho TI puede influenciar las oportunidades estratgicas de la empresa. Las actividades de la empresa requieren informacin de las actividades de TI con el fin de satisfacer los objetivos del negocio. Organizaciones exitosas aseguran la interdependencia entre su plan estratgico y sus actividades de TI. TI debe estar alineado y debe permitir a la empresa tomar ventaja total de su informacin para maximizar sus beneficios, capitalizar oportunidades y ganar ventaja competitiva.

Las empresas son gobernadas por buenas (o mejores) prcticas generalmente aceptadas para asegurar que la empresa cumpla sus metas asegurando que lo anterior est garantizado por ciertos controles. Desde estos objetivos fluye la direccin de la organizacin, la cual dicta ciertas actividades a la empresa usando sus propios recursos. Los resultados de las actividades de la empresa son medidos y reportados proporcionando insumos para el mantenimiento y revisin constante de los controles, comenzando el ciclo de nuevo.

Gobierno (governance): sistema que establece la alta gerencia para asegurar el logro de los objetivos de una Organizacin.

10

IT GOVERNANCE INSTITUTE

DIRECTRICES DE AUDITORIA
Tambin TI es gobernado por buenas (o mejores) prcticas para asegurar que la informacin de la empresa y sus tecnologas relacionadas apoyan sus objetivos del negocio, estos recursos son utilizados responsablemente y sus riesgos son manejados apropiadamente. Estas prcticas conforman una base para la direccin de las actividades de TI las cuales pueden ser enmarcadas en la Planeacin y Organizacin, Adquisicin e Implementacin, Entrega de Servicios y Soporte y Monitoreo para los propsitos duales como son el manejo de riesgo (para obtener seguridad, confiabilidad y cumplimiento) y la obtencin de beneficios (incrementando la efectividad y eficiencia). Los reportes son enfocados sobre los resultados de las actividades de TI, los cuales son medidos contra diferentes prcticas y controles y el ciclo comienza otra vez.

Para asegurar que la Gerencia alcance los objetivos de negocios, sta debe dirigir y administrar las actividades de TI para

alcanzar un balance efectivo entre el manejo de riesgos y los beneficios encontrados. Para cumplir esto, la Gerencia necesita identificar las actividades mas importantes que deben ser desarrolladas, midiendo el progreso hacia el cumplimiento de las metas y determinando que tan bien se estn desarrollando los procesos de TI. Aun mas, necesita tener la habilidad de avaluar el nivel de madurez de la organizacin contra las mejores practicas industriales y los modelos internacionales. Para soportar estas necesidades la Gerencia necesita las Directrices Gerenciales de COBIT en las cuales se han identificado Factores Crticos de Exito especficos, Indicadores Claves de Logros e Indicadores Clave de Desempeo y un Modelo de Madurez asociado al Gobierno de TI, como se puede apreciar en el Apdice I.

IT GOVERNANCE INSTITUTE

11

DIRECTRICES DE AUDITORIA
RESPUESTA A LAS NECESIDADES En vista de estos continuos cambios, el desarrollo de este Marco Referencial de objetivos de control para TI, conjuntamente con una investigacin continua aplicada a controles de TI basada en este marco referencial, constituyen el fundamento para el progreso efectivo en el campo de los controles de sistemas de informacin. Por otro lado, hemos sido testigos del desarrollo y publicacin de modelos de control generales de negocios como COSO [Committee of Sponsoring Organisations of the Treadway Commisssion Internal Control-Integrated Framework, 1992] en los EUA, Cadbury en el Reino Unido, CoCo en Canad y King en Sudfrica. Por otro lado, existe un nmero importante de modelos de control ms enfocados al nivel de tecnologa de informacin. Algunos buenos ejemplos de esta ltima categora son el Security Code of Conduct del DTI (Departamento de Industria y Comercio, Reino Unido) y el Security Handbook de NIST (National Institute of Standards and Technology, EUA). Sin embargo, estos modelos de control con orientacin especfica no proporcionan un modelo de control completo y utilizable sobre tecnologa de informacin como soporte para los procesos del negocio. El propsito de COBIT es cubrir este vaco proporcionando una base que est estrechamente ligada a los objetivos de negocio, al mismo tiempo que se enfoca a la tecnologa de informacin. (El documento que ms se acerca al COBIT es una publicacin reciente de AICPA/CICA Systrust TM Principios y Criterios para la Confiabilidad de los Sistemas. SysTrust es una autoridad que realiza publicaciones para el Comit Ejecutivo de Servicios de Aseguramiento de los Estados Unidos y para el Comit de Desarrollo de Servicios de Calidad de Canad, basado en parte en los Objetivos de Control de COBIT. SysTrust est diseado para incrementar el confort de la Administracin, los clientes y los socios de negocios con los sistemas que soportan un negocio o una actividad en particular. Los servicios de SysTrust incluyen al contador pblico proporcionndole un servicio de aseguramiento en el cual l o ella evala y prueba si el sistema es confiable cuando lo mide contra cuatro principios esenciales: Disponibilidad, seguridad, integridad y mantenimiento. Un enfoque hacia los requerimientos del negocio en cuanto a controles para tecnologa de informacin y la aplicacin de modelos de control emergentes y estndares internacionales relacionados incluyen los Objetivos de Control originales de la Information Systems Audit and Control Foundation como una herramienta usada por el Auditor y la Administracin. Adicionalmente, el desarrollo de las Directrices Gerenciales de TI ha llevado al COBIT al siguiente nivel proporcionando a la Administracin Indicadores Clave de Logros (KGIs Key Goal Indicators), Indicadores Claves de Desempeo (KPIs Key Performance Indicators), Factores Crticos de xito (CSFsCritical Success Factors) y un Modelo de Madurez con el cual puede analizar el ambiente de TI y considerar opciones para la implementacin y mejoramiento de los controles sobre la informacin de la organizacin y sus tecnologas relacionadas. Por lo tanto, el objetivo principal del proyecto COBIT es el desarrollo de polticas claras y buenas prcticas para la seguridad y el control de Tecnologa de Informacin, con el fin de obtener la aprobacin y el apoyo de las entidades comerciales, gubernamentales y profesionales en todo el mundo. La meta del proyecto es desarrollar estos objetivos de control principalmente a partir de la perspectiva de los objetivos y necesidades de la empresa. (Esto concuerda con la perspectiva COSO, que constituye el primer y mejor marco referencial para la administracin en cuanto a controles internos.) Posteriormente, los objetivos de control fueron desarrollados a partir de la perspectiva de los objetivos de auditora (certificacin de informacin financiera, certificacin de medidas de control interno, eficiencia y efectividad, etc.) AUDIENCIA: ADMINISTRACION, USUARIOS Y AUDITORES COBIT est diseado para ser utilizado por tres audiencias distintas: ADMINISTRACION/ GERENCIA (Management): Para ayudarlos a lograr un balance entre los riesgos y las inversiones en control en un ambiente de tecnologa de informacin frecuentemente impredecible. USUARIOS: Para obtener una garanta en cuanto a la seguridad y controles de los servicios de tecnologa de informacin proporcionados internamente o por terceras partes. AUDITORES: Para soportar su opinin y/o proporcionar consejos a la Administracin sobre los controles internos.

12

IT GOVERNANCE INSTITUTE

DIRECTRICES DE AUDITORIA
ORIENTACIN A OBJETIVOS DE NEGOCIO El CobiT est alineado con los Objetivos del Negocio. Los Objetivos de Control muestran una relacin clara y distintiva con los objetivos del negocio con el fin de apoyar su uso en forma significativa fuera de las fronteras de la comunidad de auditora. Los Objetivos de Control estn definidos con una orientacin a los procesos, siguiendo el principio de reingeniera de negocios. En dominios y procesos identificados, se identifica tambin un objetivo de control de alto nivel para documentar el enlace con los objetivos del negocio. Adicionalmente, se establecen consideraciones y guas para definir e implementar el Objetivo de Control de TI. La clasificacin de los dominios a los que se aplican los objetivos de control de alto nivel (dominios y procesos); una indicacin de los requerimientos de negocio para la informacin en ese dominio, as como los recursos de TI que reciben un impacto primario por parte del objetivo del control, forman conjuntamente el Marco de Referencia de COBIT. El Marco de Referencia toma como base las actividades de investigacin que han identificado 34 objetivos de alto nivel y 318 objetivos de control detallados. El Marco de Referencia fue presentado a la industria de TI y a los profesionales dedicados a la auditora para abrir la posibilidad a revisiones, cambios y comentarios. Las ideas obtenidas fueron incorporadas en forma apropiada. DEFINICIONES GENERALES Para propsitos de este proyecto, se proporcionan las siguientes definiciones. La definicin de Control est adaptada del reporte COSO [Committee of Sponsoring Organisations of the Treadway Commission. Internal ControlIntegrated Framework, 1992 y la definicin para Objetivo de Control de TI ha sido adaptada del reporte SAC (Systems Auditability and Control Report, The Institute of Internal Auditors Research Foundation, 1991 y 1994).
Control se Define como

Las polticas, procedimientos, prcticas y estructuras organizacionales diseadas para garantizar razonablemente que los objetivos del negocio sern alcanzados y que eventos no deseables sern prevenidos o detectados y corregidos Una sentencia del resultado o propsito que se desea alcanzar implementando procedimientos de control en una actividad de TI particular.

Objetivo de Control de TI Se define como

Gobierno de TI se define como

Una estructura de relaciones y procesos para dirigir y controlar la empresa con el fin de lograr sus objetivos al aadir valor mientras se equilibran los riesgos contra el retorno sobre TI y sus procesos.

IT GOVERNANCE INSTITUTE

13

DIRECTRICES DE AUDITORIA
LOS PRINCIPIOS DEL MARCO REFERENCIAL
Existen dos clases distintas de modelos de control actualmente disponibles, aqullos de la clase del modelo de control de negocios (por ejemplo COSO) y los modelos ms enfocados a TI (por ejemplo, DTI). COBIT intenta cubrir la brecha que existe entre los dos. Debido a esto, COBIT se posiciona como una herramienta ms completa para la Administracin y para operar a un nivel superior a los estndares de tecnologa para la administracin de sistemas de informacin.. Por lo tanto, COBIT es el modelo para el gobierno de TI! El concepto fundamental del Marco Referencial de COBIT se refiere a que el enfoque del control en TI se lleva a cabo visualizando la informacin necesaria para dar soporte a los procesos de negocio y considerando a la informacin como el resultado de la aplicacin combinada de recursos relacionados con la Tecnologa de Informacin que deben ser administrados por procesos de TI.
Requerimientos Fiduciarios (COSO)

Efectividad y eficiencia de las operaciones Confiabilidad de la informacin Cumplimiento de leyes y regulaciones Confidencialidad Integridad Disponibilidad

Requerimientos de Seguridad

La Calidad ha sido considerada principalmente por su aspecto negativo (ausencia de fallas, confiabilidad, etc.), lo cual tambin se encuentra contenido en gran medida en los criterios de Integridad. Los aspectos positivos, pero menos tangibles, de la calidad (estilo, atractivo, ver y sentir, desempeo ms all de las expectativas, etc.) no fueron, por un tiempo, considerados desde un punto de vista de Objetivos de Control de TI. La premisa se refiere a que la primera prioridad deber estar dirigida al manejo apropiado de los riesgos al compararlos contra las oportunidades. El aspecto utilizable de la Calidad est cubierto por los criterios de efectividad. Se consider que el aspecto de entrega o distribucin del servicio, de la Calidad se traslapa con el aspecto de disponibilidad correspondiente a los requerimientos de seguridad y tambin en alguna medida, con la efectividad y la eficiencia. Finalmente, el Costo tambin es considerado, siendo cubierto por la Eficiencia. Para los requerimientos fiduciarios, COBIT no intent reinventar la rueda se utilizaron las definiciones de COSO para la efectividad y eficiencia de las operaciones, confiabilidad de informacin y cumplimiento con leyes y regulaciones. Sin embargo, confiabilidad de informacin fue ampliada para incluir toda la informacin no slo informacin financiera.

Para satisfacer los objetivos del negocio, la informacin necesita concordar con ciertos criterios a los que COBIT hace referencia como requerimientos de negocio para la informacin. Al establecer la lista de requerimientos, COBIT combina los principios contenidos en los modelos referenciales existentes y conocidos: Calidad Costo Entrega o Distribucin (de servicio)

Requerimientos de Calidad

Con respecto a los aspectos de seguridad, COBIT identific la confidencialidad, integridad y disponibilidad como los elementos clave se encontr que estos mismos tres elementos son utilizados a nivel mundial para describir los requerimientos de seguridad.
Comenzando el anlisis a partir de los requerimientos de Calidad, Fiduciarios y de Seguridad ms amplios, se extrajeron siete categoras distintas, ciertamente superpuestas. A continuacin se muestran las definiciones utilizadas por COBIT:

14

IT GOVERNANCE INSTITUTE

DIRECTRICES DE AUDITORIA
Efectividad

Se refiere a que la informacin relevante sea pertinente para el proceso del negocio, as como a que su entrega sea oportuna, correcta, consistente y de manera utilizable. Se refiere a la provisin de informacin a travs de la utilizacin ptima (ms productiva y econmica) de recursos. Se refiere a la proteccin de informacin sensible contra divulgacin no autorizada. Se refiere a la precisin y suficiencia de la informacin, as como a su validez de acuerdo con los valores y expectativas del negocio. Se refiere a la disponibilidad de la informacin cuando sta es requerida por el proceso de negocio ahora y en el futuro. Tambin se refiere a la salvaguarda de los recursos necesarios y capacidades asociadas. Se refiere al cumplimiento de aquellas leyes, regulaciones y acuerdos contractuales a los que el proceso de negocios est sujeto, por ejemplo, criterios de negocio impuestos externamente. Se refiere a la provisin de informacin apropiada para la administracin con el fin de operar la entidad y para ejercer sus responsabilidades de reportes financieros y de cumplimiento.

Tecnologa

La tecnologa cubre hardware, sistemas operativos, sistemas de administracin de bases de datos, redes, multimedia, etc. Recursos para alojar y dar soporte a los sistemas de informacin. Habilidades del personal, conocimiento, sensibilizacin y productividad para planear, organizar, adquirir, entregar, soportar y monitorear servicios y sistemas de informacin.

Instalaciones

Eficiencia

Personal

Confidencialidad

Integridad

Disponibilidad

El dinero o capital no fue considerado como un recurso de TI para la clasificacin de los objetivos de control porque el dinero puede ser considerado como una inversin dentro de cualquiera de los recursos presentados. Adems debe anotarse que el Marco Referencial no se refiere especficamente a la documentacin de todos los materiales relacionados con un proceso de TI en particular. Como un aspecto de buenas prcticas, la documentacin es considerada como un buen control, y por lo tanto la falta de documentacin sera causa de una mayor revisin y anlisis de los controles compensatorios en cualquier rea bajo revisin. Otra forma de ver la relacin de los recursos de TI con respecto a la entrega de servicios se describe a continuacin:

Cumplimiento

Confiabilidad de la Informacin

Los recursos de TI identificados en COBIT pueden explicarse/ definirse como se muestra a continuacin:
Datos

Son objetos en su ms amplio sentido, (por ejemplo, externos e internos), estructurados y no estructurados, grficos, sonido, etc. Se entiende como sistemas de aplicacin la suma de procedimientos manuales y programados.

Con el fin de asegurar que los requerimientos del negocio para la informacin se cumplan, es necesario definir, implementar y monitorear adecuadas medidas de control sobre esos recursos. Cmo pueden entonces las empresas estar satisfechas respecto a que la informacin obtenida presente las caractersticas que necesitan? Es aqu donde se requiere de un sano marco referencial de Objetivos de Control para TI. El siguiente diagrama ilustra este concepto.

Aplicaciones

IT GOVERNANCE INSTITUTE

15

DIRECTRICES DE AUDITORIA

El Marco Referencial consta de Objetivos de Control de alto nivel y de una estructura general para su clasificacin y presentacin. La teora subyacente para esta clasificacin se refiere a que existen, en esencia, tres niveles de actividades de TI al considerar la administracin de sus recursos. Comenzando por la base, encontramos las actividades y tareas necesarias para alcanzar un resultado medible. Las actividades cuentan con un concepto de ciclo de vida, mientras que las tareas son consideradas ms discretas. El concepto de ciclo de vida cuenta tpicamente con requerimientos de control diferentes a los de actividades discretas. Los procesos se definen entonces en un nivel superior como una serie de actividades o tareas conjuntas con cortes naturales (de control). Al nivel ms alto, los procesos son agrupados de manera natural en dominios. Su agrupamiento natural es confirmado frecuentemente como

dominios de responsabilidad en una estructura organizacional, y est en lnea con el ciclo administrativo o ciclo de vida aplicable a los procesos de TI. Por lo tanto, el marco referencial conceptual puede ser enfocado desde tres puntos estratgicos: (1)criterios de informacin; (2) recursos de TI, (3) procesos de TI. Estos tres puntos de vista diferentes estn descritos en el Cubo COBIT que se muestra a continuacin:

16

IT GOVERNANCE INSTITUTE

DIRECTRICES DE AUDITORIA
Con lo anterior cono marco de referencia, los dominios son identificados utilizando las palabras que la gerencia utilizara en las actividades cotidianas de la organizacin y no la jerga5 del auditor -. Por lo tanto, cuatro grandes dominios son identificados: planeacin y organizacin, adquisicin e implementacin, entrega y soporte y monitoreo. Las definiciones para los dominios mencionados son las siguientes:
Planeacin y organizacin

Administracin sobre la necesidad de asegurar procesos de control independientes, los cuales son provistos por auditoras internas y externas u obtenidas de fuentes alternativas. Debe tomarse en cuenta que estos procesos pueden ser aplicados a diferentes niveles dentro de una organizacin. Por ejemplo, algunos de estos procesos sern aplicados al nivel corporativo, otros al nivel de la funcin de servicios de informacin, otros al nivel del propietario de los procesos de negocio. Tambin debe ser tomado en cuenta que el criterio de efectividad de los procesos que planean o entregan soluciones a los requerimientos de negocio, cubrirn algunas veces los criterios de disponibilidad, integridad y confidencialidad. en la prctica, se han convertido en requerimientos del negocio. Por ejemplo, el proceso de identificar soluciones automatizadas deber ser efectivo en el cumplimiento de requerimientos de disponibilidad, integridad y confidencialidad. En resumen, los Recursos de TI necesitan ser administrados por un conjunto de procesos agrupados en forma natural, con el fin de proporcionar la informacin que la empresa necesita para alcanzar sus objetivos. Resulta claro que las medidas de control no satisfarn necesariamente los diferentes requerimientos de informacin del negocio en la misma medida. Primario es el grado al cual el objetivo de control definido impacta directamente el requerimiento de informacin de inters. es el grado al cual el objetivo de control definido satisface nicamente de forma indirecta o en menor medida el requerimiento de informacin de inters. podra aplicarse; sin embargo, los requerimientos son satisfechos ms apropiadamente por otro criterio en este proceso y/o por otro proceso.

Este dominio cubre la estrategia y las tcticas y se refiere a la identificacin de la forma en que la tecnologa de informacin puede contribuir de la mejor manera al logro de los objetivos del negocio. Adems, la consecucin de la visin estratgica necesita ser planeada, comunicada y administrada desde diferentes perspectivas. Finalmente, debern establecerse una organizacin y una infraestructura tecnolgica apropiadas. Para llevar a cabo la estrategia de TI, las soluciones de TI deben ser identificadas, desarrolladas o adquiridas, as como implementadas e integradas dentro del proceso del negocio. Adems, este dominio cubre los cambios y el mantenimiento realizados a sistemas existentes. En este dominio se hace referencia a la entrega de los servicios requeridos, que abarca desde las operaciones tradicionales hasta el entrenamiento, pasando por seguridad y aspectos de continuidad. Con el fin de proveer servicios, debern establecerse los procesos de soporte necesarios. Este dominio incluye el procesamiento de los datos por sistemas de aplicacin, frecuentemente clasificados como controles de aplicacin. Todos los procesos necesitan ser evaluados regularmente a travs del tiempo para verificar su calidad y suficiencia en cuanto a los requerimientos de control. Este dominio tambin advierte a la

Adquisicin e implementacin

Entrega Entrega y y soporte soporte

Secundario

Blanco (vaco)

Monitoreo

5 Jerga

(jargon)

IT GOVERNANCE INSTITUTE

17

DIRECTRICES DE AUDITORIA
Similarmente, todas las medidas de control no necesariamente tendrn impacto en los diferentes recursos de TI a un mismo nivel. Por lo tanto, el Marco Referencial de COBIT indica especficamente la aplicabilidad de los recursos de TI que son administrados en forma especfica por el proceso bajo consideracin (no por aquellos que simplemente toman parte en el proceso). Esta clasificacin es hecha dentro el Marco Referencial de COBIT basado en el mismo proceso riguroso de informacin proporcionada por los investigadores, expertos y revisores, utilizando las definiciones estrictas indicadas previamente. En resumen, con el fin de proveer la informacin que la organizacin necesita para lograr sus objetivos, el Gobierno de TI debe ser entrenado por la organizacin para asegurar que los recursos de TI sern administrados por una coleccin de procesos de TI agrupados naturalmente. El siguiente diagrama ilustra este concepto. PROCESOS DE TI DE COBIT DEFINIDOS EN LOS CUATRO DOMINIOS

18

IT GOVERNANCE INSTITUTE

DIRECTRICES DE AUDITORIA
HISTORIA Y ANTECEDENTES DE COBIT
La tercera edicin de COBIT es la mas reciente versin de los Objetivos de Control para la informacin y sus tecnologas relacionadas, que fue liberado primero por la Information Systems Audit and Control Foundation (ISACF) en 1996. La 2da edicin que refleja un incremento en el nmero de documentos fuente, una revisin en el alto nivel y objetivos de control detallados y la adicin del Conjunto de herramientas de Implementacin fue publicado en 1998. La 3a edicin marca el ingreso de un nuevo editor para COBIT: El Instituto de Gobierno de TI (IT Governance Institute). El Instituto de Gobierno de TI fue formado por la Information Systems Audit and Control Association (ISACA) y su Fundacin asociada en 1998 para avanzar en el entendimiento y la adopcin de principios de gobierno de TI. Con la adicin de las Directrices Gerenciales en la 3a edicin de COBIT y su expansin y mayor cubrimiento sobre el Gobierno de TI, el Instituto de Gobierno de TI adquiri un rol de liderazgo en el desarrollo de la publicacin. Este estndar es relativamente pequeo en tamao, con el fin de ser prctico y responder, en la medida de lo posible, a las necesidades del negocio, manteniendo al mismo tiempo una independencia con respecto a las plataformas tcnicas de TI adoptadas en una organizacin. Sin excluir ningn otro estndar aceptado en el campo del control de sistemas de informacin que pudiera emitirse durante la investigacin, las fuentes han sido identificadas inicialmente como: Estndares Tcnicos de ISO, EDIFACT, etc. Cdigos de Conducta emitidos por el Council of Europe, OECD, ISACA, etc.; Criterios de Calificacin para sistemas y procesos de TI: ITSEC, ISO9000, SPICE, TickIT, Common Criteria, etc.; Estndares Profesionales para control interno y auditora: reporte COSO, IFAC, IIA, ISACA, GAO, PCIE, CICA, AICPA, etc.; Prcticas y requerimientos de la Industria de foros industriales (ESF, 14) y plataformas patrocinadas por el gobierno (IBAG, NIST, DTI); y Nuevos requerimientos especficos de la industria de la banca, Comercio Electrnico y manufactura de TI. (Ver Apndice II, Descripcin del Proyecto COBIT; Apndice III Material de Referencia Primaria de COBIT y Apndice IV, Glosario de Trminos )

COBIT se bas originalmente en los Objetivos de Control de la ISACF y ha sido mejorado con las actuales y emergentes estndares internacionales a nivel tcnico, profesional, regulatorio y especficos de la industria. Los Objetivos de Control resultantes han sido desarrollados para su aplicacin en sistemas de informacin de toda la empresa. El trmino generalmente aplicables y aceptados es utilizado explcitamente en el mismo sentido que los Principios de Contabilidad Generalmente Aceptados (PCGA o GAAP por sus siglas en ingls).

IT GOVERNANCE INSTITUTE

19

DIRECTRICES DE AUDITORIA
HISTORIA Y ANTECEDENTES DE COBIT
EVOLUCIN DEL PRODUCTO COBIT
COBIT evolucionar a travs de los aos y ser el fundamento de investigaciones futuras. Por lo tanto, se generar una familia de productos COBIT y al ocurrir esto, las tareas y actividades que sirven como estructura para organizar los Objetivos de Control de TI, sern refinadas posteriormente. Tambin ser revisado el balance entre los dominios y los procesos a la luz de los cambios en la industria. La investigacin y las publicaciones han sido posibles gracias al fundamental apoyo de PricewaterhouseCoopers y las donaciones de los captulos de ISACA y de miembros de todo el mundo. La European Security Forum (ESF) amablemente llev a cabo la recoleccin de material disponible para el proyecto. La Gartner Group adems particip en el desarrollo y realiz la revisin de aseguramiento de calidad de las Directrices Gerenciales.

20

IT GOVERNANCE INSTITUTE

DIRECTRICES DE AUDITORIA
INTRODUCCIN A LAS DIRECTRICES DE AUDITORA
COBIT Y LAS DIRECTRICES DE AUDITORA Las Directrices de Auditora ofrecen una herramienta complementaria para la fcil aplicacin del Marco Referencial y los Objetivos de Control COBIT dentro de las actividades de auditora y evaluacin. El propsito de las Directrices de Auditora es contar con una estructura sencilla para auditar y evaluar controles, con base en prcticas de auditora generalmente aceptadas y compatibles con el esquema global COBIT. Los objetivos y prcticas individuales varan considerablemente de organizacin a organizacin y existen muchos tipos de practicantes dedicados a actividades relacionadas con la auditora; por ejemplo auditores externos, auditores internos, evaluadores, revisores de calidad, y asesores tcnicos. Por estas razones, las Directrices de Auditora tienen una estructura genrica y de alto nivel. Los auditores deben cumplir con algunos requerimientos generales para proporcionar a los directivos y a los propietarios o dueos de los procesos de negocios, seguridad y asesora respecto a los controles en una organizacin: ofrecer una seguridad razonable de que se est cumpliendo con los objetivos de control correspondientes; identificar dnde se encuentran las debilidades significativas en dichos controles; justificar los riesgos que pueden estar asociados con tales debilidades, y finalmente, aconsejar a estos ejecutivos sobre las medidas correctivas que deben adoptarse. COBIT ofrece polticas claras y prcticas eficaces en materia de seguridad y para los controles de informacin y la tecnologa asociada. Por tanto, las Directrices de Auditora firmemente basados en los Objetivos de Control, toman la opinin del auditor a partir de la conclusin de auditora, remplazndola con criterios normativos (41 estndares y mejores prcticas tomadas de normas privadas y pblicas aceptadas a nivel mundial). Estas Directrices de Auditora proporcionan guas para preparar planes de auditora que se integran al Marco Referencial de COBIT y a los Objetivos de Control detallados. Deben ser usados conjuntamente con estos dos ltimos, y a partir de ah pueden desarrollarse programas especficos de auditora. Sin embargo, las Directrices no son exhaustivas ni definitivas. No pueden incluir todo ni ser aplicables a todo, as que debern ajustarse a condiciones especficas. No obstante, hay cuatro cosas que las Directrices no son: 1. Las Directrices de Auditora no pretenden ser una herramienta para crear el plan global de auditora que considera una amplia gama de factores, incluyendo debilidades anteriores, riesgo de la organizacin, incidentes conocidos, nuevos acontecimientos, y seleccin de estrategias. Aun cuando el Marco Referencial y los Objetivos de Control ofrecen algunas orientaciones, los alcances de las Directrices no incluyen una gua precisa para actividades especficas. Las Directrices de Auditora no estn diseados como instrumento para ensear las bases de la auditora, aun cuando incorporen los elementos normalmente aceptados de la auditora general y de TI. Las Directrices de Auditora no pretenden explicar en detalle la forma en que pueden utilizarse las herramientas computarizadas para apoyar y automatizar los procesos de auditora a TI, en materia de planeacin, evaluacin, anlisis y documentacin (que estn incluidas, pero no se limitan a ellas, en las Tcnicas de Auditora Asistidas por Computador). Existe un enorme potencial para usar la tecnologa de informacin dirigida a aumentar la eficiencia y efectividad de las auditoras, pero una orientacin en este sentido, tampoco est dentro de los alcances de las Directrices. Las Directrices de Auditora no son exhaustivas ni definitivas, pero se desarrollarn conjuntamente con COBIT y sus Objetivos de Control detallados.

2.

3.

4.

Las Directrices de Auditora de COBIT permiten al auditor comparar los procesos especficos de TI con los Objetivos de Control de COBIT recomendados para ayudar a los directivos a identificar en qu casos los controles son suficientes, o para asesorarlos respecto a los procesos que requieren ser mejorados. Desde el punto de vista de los directivos, los propietarios de los procesos harn las preguntas: Estoy haciendo lo correcto?, y si no es as: Qu puedo hacer para corregirlo? El Marco Referencial y las Directrices de Auditora COBIT ayudarn a responder a estas preguntas. El enfoque ofrece una perspectiva reactiva, mientras que los auditores necesitan tambin apoyar a la directiva de una manera proactiva. El Marco Referencial y las Directrices de Auditora pueden aplicarse igualmente en forma proactiva en las primeras etapas de los procesos y el desarrollo de proyectos, al responder a la pregunta: Qu es lo que necesito hacer ahora para no tener que ajustarlo o corregirlo despus?

IT GOVERNANCE INSTITUTE

21

DIRECTRICES DE AUDITORIA
ESTRUCTURA GENERAL DE LAS DIRECTRICES DE AUDITORA
El modelo ms comn para evaluar el control es el modelo de auditora. Otro enfoque que se est adoptando cada vez ms es el modelo de anlisis de riesgos, que se cubrir hacia el final de esta introduccin. Todos aquellos involucrados en la evaluacin del control pueden inclinarse por cualquiera de los dos modelos. Los objetivos de la auditora son para: Proporcionar administracin con aseguramiento razonable de que se estn cubriendo los objetivos de control, En donde existan debilidades de control significativas, justificar los riesgos resultantes, y Aconsejar a la administracin sobre acciones correctivas La estructura generalmente aceptada del proceso de auditora es: Identificacin y documentacin Evaluacin Pruebas de cumplimiento Pruebas sustantivas El proceso de TI, por lo tanto, se audita mediante: La obtencin de un entendimiento de los riesgos relacionados con los requerimientos del negocio y de las medidas relevantes de control La evaluacin de la conveniencia de los controles establecidos La valoracin del cumplimiento probando si los controles establecidos estn funcionando como se espera, de manera consistente y continua La comprobacin6 que existe el riesgo de que los objetivos de control no se estn cumpliendo mediante el uso de tcnicas analticas y/o consultando fuentes alternativas. Con el objetivo de brindar asistencia a la administracin en la forma de asesora de aseguramiento, hemos desarrollado esta estructura dentro de un marco referencial fundamentado en los requerimientos del COBIT: Presentacin en un enfoque de niveles Orientacin hacia los objetivos del negocio Orientado en funcin del proceso Enfocado sobre Los recursos que necesitan administrarse Los criterios de informacin que se requieren

En el nivel ms alto, este enfoque general de auditora est apoyado por: El Marco Referencial de COBIT, particularmente el resumen con la clasificacin de los procesos de TI, los criterios de informacin aplicables y los recursos de TI (vea la pgina 30) Los requerimientos para el proceso de auditora mismo (vea la seccin Requerimientos del Proceso de Auditora en la pgina 23) Los requerimientos genricos para la auditora de procesos de TI (vea la seccin Directrices de Auditora Genricos de TI, pgina 24) Los principios generales de control (vea la seccin Observaciones del Proceso de Control, pginas 2425) El segundo nivel est compuesto por las Directrices detalladas de auditora para cada uno de los procesos de TI como se muestra en la seccin principal de esta publicacin. Las Directrices han sido presentadas en una plantilla estndar que sigue la estructura general de Obtencin, Evaluacin, Valoracin y Comprobacin. Esta plantilla ha sido aplicada a las Directrices de Auditora Genricas de TI, as como tambin a las Directrices de Auditora Detalladas. En el tercer y ltimo nivel, el auditor puede complementar las Directrices de Auditora para cubrir las condiciones locales, conduciendo la fase de planeacin de auditora con puntos de atencin de auditora que influyen sobre los objetivos detallados de control mediante: Criterios especficos del sector Estndares de la industria Elementos especficos de la plataforma Tcnicas detalladas de control empleadas Importante para este nivel es el hecho de que los objetivos de control no son necesariamente aplicables en todos los casos y en cualquier lugar. Por lo tanto se sugiere que se realice una evaluacin de riesgos de alto nivel para determinar sobre qu objetivos se necesita enfocarse especficamente y cules pueden ignorarse.

Comprobacin (substantiating)

22

IT GOVERNANCE INSTITUTE

DIRECTRICES DE AUDITORIA
Todos estos elementos se ofrecen para apoyar la planeacin y la realizacin de las auditoras de TI, y para una mejor aplicacin integrada de las directrices / lineamientos detallados de auditora. Las directrices no son exhaustivas y no son aplicables universalmente. El nivel de informacin de apoyo (guas genricas, requerimientos del proceso de auditora y observaciones de control) ayudar a los auditores a desarrollar el programa de auditora que necesitan.

ESTRUCTURA DETALLADA PARA LA APLICACIN DE LAS DIRECTRICES DE AUDITORA Nivel 1 Enfoque general de auditora de TI
Marco Referencial de COBIT Requerimientos del Proceso de Auditora Observaciones de Control Directriz General de Auditora

Nivel 2 Directrices del proceso de auditora Directrices de Auditora detalladas

Nivel 3 Puntos de atencin de auditora para complementar los objetivos detallados de control Condiciones Locales Criterios especficos del sector Estndares de la industria Elementos especficos de la plataforma Tcnicas detalladas de control utilizadas

REQUERIMIENTOS DEL PROCESO DE AUDITORA Una vez definido qu vamos a auditar y sobre qu vamos a proporcionar aseguramiento, tenemos que determinar el enfoque o estrategia ms apropiada para llevar a cabo el trabajo de auditora. Primero tenemos que determinar el alcance correcto de nuestra auditora. Para lograrlo, necesitamos investigar, analizar y definir: Los procesos del negocio involucrados; Las plataformas y los sistemas de informacin que estn apoyando el proceso del negocio, as como la interconectividad con otras plataformas o sistemas; Los roles y responsabilidades de TI definidas, incluyendo las correspondientes al outsourcing interno y/ o externo; y Los riesgos del negocio y las decisiones estratgicas asociadas.

El siguiente paso es identificar los requerimientos de informacin que tienen una relevancia particular con respecto a los procesos del negocio. Luego necesitaremos identificar los riesgos inherentes de TI, as como el nivel general de control que puede asociarse con el proceso del negocio. Para lograrlo, identificamos: Los cambios recientes en el ambiente del negocio que tienen impacto sobre TI; Los cambios recientes al ambiente de TI, nuevos desarrollos, etc.; Los incidentes recientes relevantes para los controles y el ambiente del negocio; Los controles de monitoreo de TI aplicados por la administracin; Los reportes recientes de auditora y/o certificacin; y Los resultados recientes de auto evaluaciones.

IT GOVERNANCE INSTITUTE

23

DIRECTRICES DE AUDITORIA
Basndonos en la informacin obtenida, ahora podemos seleccionar los procesos relevantes de COBIT, as como tambin los recursos que aplican a los mismos. Esto pudiera requerir que ciertos procesos de COBIT necesiten auditarse varias veces, cada vez para una plataforma o sistema distinto. El auditor deber determinar una estrategia de auditora basndose en el plan detallado de auditora que deber elaborarse con ms profundidad, por ejemplo, si uno busca un enfoque basado en controles o un enfoque sustantivo. Finalmente, necesitan considerarse todos los pasos, tareas y puntos de decisin para llevar a cabo la auditora. Un ejemplo de un proceso genrico de auditora (con pasos, tareas y puntos de decisin), que sigue la plantilla estndar, se proporciona en el Apndice IV.

REQUERIMIENTOS DEL PROCESO DE AUDITORA


Definir el alcance de la auditora procesos del negocio involucrados plataformas, sistemas y su interconectividad, que apoyan el procesos roles, responsabilidades y estructura organizacional importancia para el proceso del negocio

Identificar los requerimientos de informacin relevantes para el proceso del negocio Identificar los riesgos inherentes de TI y el nivel general de control

cambios recientes e incidentes en el ambiente del negocio y de la tecnologa resultados de auditoras, autoevaluaciones, y certificacin controles de monitoreo aplicados por la administracin procesos recursos

Seleccionar procesos y plataformas a auditar

Fijar una estrategia de auditora

Controles versus riesgos Pasos y tareas Puntos de decisin

DIRECTRIZ GENERAL DE AUDITORA DE TI


La plantilla en la pgina 26 (que adems se presenta como un anexo el final de este documento) presenta los requerimientos genricos para auditar procesos de TI para brindar el primer nivel de las directrices de auditora, generalmente aplicables a todos los procesos. Est primordialmente orientado hacia la comprensin del proceso y la determinacin de la propiedad y deber ser el fundamento y el marco referencial para todos las directrices detalladas de auditora.

Esta misma plantilla se aplica luego a los 34 procesos que se identifican en el Marco Referencial de COBIT.

OBSERVACIONES DEL PROCESO DE CONTROL


Los principios generales de control tambin pueden proporcionar una gua adicional sobre cmo complementar las Directrices de Auditora. Estos principios estn primordialmente enfocados sobre el proceso y las responsabilidades del control, los estndares de control y los flujos de la informacin de control. El control, desde el punto de vista de la administracin, se define como el determinar qu se est logrando; esto es, evaluar el desempeo y si es necesario aplicar medidas correctivas para que el desempeo est de acuerdo con lo planeado.

24

IT GOVERNANCE INSTITUTE

DIRECTRICES DE AUDITORIA
El proceso de control consiste de cuatro pasos. Primero, se especifica un estndar de desempeo deseado para un proceso. Segundo, existe un medio de saber qu esta sucediendo en el proceso, por ejemplo, el proceso proporciona informacin de control a una unidad de control. Tercero, la unidad de control compara la informacin con el estndar. Cuarto, si lo que realmente est sucediendo no cumple con el estndar, la unidad de control dirige aquella accin correctiva a tomar, en forma de informacin para el proceso. A partir de este modelo, las siguientes observaciones de control pueden resultar relevantes para la auditora: 1. Para que este modelo funcione, la responsabilidad por el proceso del negocio (o en este caso, de TI) debe ser claro y la responsabilidad no debe ser ambigua. Si no es as, la informacin de control no fluir y no podr tomarse accin correctiva. 2. Los estndares pueden ser de una amplia variedad, desde planes y estrategias de alto nivel hasta indicadores clave de desempeo (KPI - Key Performance Indicators) y factores crticos de xito (CSF Critical Success Factors). Los estndares claramente documentados, mantenidos y comunicados son necesarios para un buen proceso de control. La responsabilidad clara por la custodia de dichos estndares tambin es un requerimiento para un buen control. 3. El proceso de control tiene los mismos requerimientos: bien documentado en cuanto a cmo funciona y con responsabilidades claras. Un aspecto importante es la clara definicin de lo que constituye una desviacin, esto es, cules son los lmites de desviacin. 4. La oportunidad, integridad y conveniencia de la informacin de control, as como tambin otra informacin, son bsicas para el buen funcionamiento de un sistema de control y es algo que el auditor debe tratar. Tanto la informacin de control como la informacin de accin correctiva tendrn que cumplir los requerimientos de evidencia, con el fin de establecer la responsabilidad despus del evento.

5.

Acto

Normas Estndares KPI / CSF

Comparacin Proceso

Informacin De Control

IT GOVERNANCE INSTITUTE

25

DIRECTRICES DE AUDITORIA
DIRECTRIZ GENERAL DE AUDITORA
OBTENCIN DE UN ENTENDIMIENTO Los pasos de auditora que se deben realizar para documentar las actividades que generan inconvenientes a los objetivos de control, as como tambin identificar las medidas/procedimientos de control establecidas. Entrevistar al personal administrativo y de staff apropiado para lograr la comprensin de: Los requerimientos del negocio y los riesgos asociados La estructura organizacional Los roles y responsabilidades Polticas y procedimientos Leyes y regulaciones Las medidas de control establecidas La actividad de reporte a la administracin (estatus, desempeo, acciones) Documentar el proceso relacionado con los recursos de TI que se ven especialmente afectados por el proceso bajo revisin. Confirmar el entendimiento del proceso bajo revisin, los Indicadores Clave de Desempeo (KPI) del proceso, las implicaciones de control, por ejemplo, mediante una revisin paso a paso del proceso. EVALUACIN DE LOS CONTROLES Los pasos de auditora a ejecutar en la evaluacin de la eficacia de las medidas de control establecidas o el grado en el que se logra el objetivo de control. Bsicamente, decidir qu se va a probar, si se va a probar y cmo se va a probar. Evaluar la conveniencia de las medidas de control para el proceso bajo revisin mediante la consideracin de los criterios indentificados y las prcticas estndares de la industria, los Factores Crticos de xito (CSF) de las medidas de control y la aplicacin del juicio profesional de auditor. Existen procesos documentados Existen resultados apropiados La responsabilidad y el registro de las operaciones son claros y efectivos Existen controles compensatorios, en donde es necesario Concluir el grado en que se cumple el objetivo de control. VALORACIN DEL CUMPLIMIENTO Los pasos de auditora a realizar para asegurar que las medidas de control establecidas estn funcionando como es debido, de manera consistente y continua, y concluir sobre la conveniencia del ambiente de control. Obtener evidencia directa o indirecta de puntos/perodos seleccionados para asegurarse que se ha cumplido con los procedimientos durante el perodo de revisin, utilizando evidencia tanto directa como indirecta. Realizar una revisin limitada de la suficiencia de los resultados del proceso. Determinar el nivel de pruebas sustantivas y trabajo adicional necesarios para asegurar que el proceso de TI es adecuado. JUSTIFICAR/COMPROBAR EL RIESGO Los pasos de auditora a realizar para justificar el riesgo de que no se cumpla el objetivo de control mendiante el uso de tcnicas analticas y/o consultas a fuentes alternativas. El objetivo es respaldar la opinin e impresionar a la administracin para que tome accin. Los auditores tienen que ser creativos para encontrar y presentar esta informacin que con frecuencia es sensitiva y confidencial. Documentar las debilidades de control y las amenazas y vulnerabilidades resultantes. Identificar y documentar el impacto real y potencial; por ejemplo, mediante el anlisis de causa-efecto. Brindar informacin comparativa; por ejemplo, mediante benchmarks.

26

IT GOVERNANCE INSTITUTE

DIRECTRICES DE AUDITORIA
Plan Estratgico Accin Verificacin

Reporte

Tctico Reporte

Administrativo

Correccin COLOCNDOLAS TODAS JUNTAS En resumen, las Directrices de Auditora detalladas siempre pueden complementarse tomando en cuenta el Lineamiento Genrico y el proceso bajo revisin, y obteniendo tareas de auditora adicionales para lograr el objetivo de auditora. El desarrollo del programa de auditora en s puede beneficiarse de tomar en consideracin los requerimientos del proceso de auditora de TI, el Marco Referencial de COBIT y los Objetivos de Control de Alto Nivel, y las Consideraciones de Control que se muestran aqu. RELACIN ENTRE LOS OBJETIVOS DE CONTROL Y LAS DIRECTRICES DE AUDITORA Los objetivos han sido desarrollados a partir de una orientacin al proceso porque la administracin est buscando asesora proactiva sobre cmo tratar el problema de mantener TI bajo control. Los Objetivos de Control ayudan a la administracin a establecer el control sobre el proceso, las Directrices de Auditora ayudan al auditor o asesor a asegurar que el proceso est realmente bajo control, de tal manera que los requerimientos de informacin necesarios para lograr los objetivos del negocio sern satisfechos. La relacin entre estos dos conceptos es el proceso, por lo que las Directrices de Auditora han sido desarrolladas para cada uno de los procesos, en oposicin a cada uno de los objetivos de control.

Los controles tambin operan en diferentes niveles dentro del ciclo tradicional de Planear-Hacer-Verificar-Corregir con el que la administracin se siente cmoda. Este modelo ilustra: La secuencia lgica de planear-hacer-verificar y corregir el plan si es necesario: Cmo sucede esto a nivel estratgico, tctico y administrativo; Las diversas relaciones laterales y horizontales El hacer estratgico da como resultado planeacin tctica; el hacer tctico da como resultado planeacin administrativa; Las actividades de verificar y hacer cooperan e influyen continuamente una con otra; y La actividad administrativa de verificar reporta a verificar tctico, quien a su vez reporta a verificar estratgico. Cuando se evalan mecanismos de control, los revisores debern estar conscientes de que estos controles operan en estos diferentes niveles y de que tienen relaciones intrnsecas. La orientacin hacia el proceso de COBIT proporciona algunas indicaciones acerca de los diferentes procesos de control, niveles e interrelaciones, pero la implantacin o valoracin real de los sistemas de control requiere tomar en cuenta esta compleja dimensin adicional.

IT GOVERNANCE INSTITUTE

27

DIRECTRICES DE AUDITORIA
ef ec tiv ef id nfid ic ad ie en nc ia ci al in id di te ad sp gr on id cu ib ad m ilida pl co im ie d nf ia nt o bi lid ad

Requerimientos de Proceso de Auditoria

Marco de Referencia de Control


Adquisicin & Implementacin

Observaciones de Control
Acto

Planeacin & Organizacin

co

Entrega & Soporte

El control de

Monitoreo

Normas Estndares KPI / CSF

Comparacin Proceso

Proceso de TI
Lo cual satisface

Requerimientos de negocio

Informacin de Control
es posible por

Los Estatutos de Control

considerando las

Prcticas de Control

apl ic gen ac te io te nes cn fa olog ci lid a ad dat es os

Lineamiento General de Auditoria identificar evaluar probar establecer

Lineamientos Detallados de Auditoria

Uso en combinacin

En cuanto al marco referencial de control representado por el modelo de cascada, las Directrices de Auditora pueden verse como los elementos que proporcionan retroalimentacin a partir de los procesos de control para los objetivos del negocio. Los objetivos de control son la gua que baja por la cascada para tener el proceso de TI bajo control. Las Directrices de Auditora son la gua para regresar a la parte superior de la cascada con la pregunta: Hay seguridad de que se logre el objetivo del negocio? Algunas veces, las Directrices de Auditora son traducciones literales de los Objetivos de Control; con mayor frecuencia, las Directrices buscan la evidencia de que el proceso est bajo control. OPORTUNIDADES Y RETOS PARA LAS TAREAS DE EVALUACIN La utilizacin del Marco Referencial, los Objetivos de Control y las Directrices de Auditora como fundamento para la tarea de auditora/valoracin nos presenta algunas ventajas definitivas: Permite dar prioridad a las actividades de auditora y reas bajo revisin, utilizando las calificaciones Primaria y Secundaria de los criterios de informacin; Conduce a reas de investigacin que normalmente sin un marco referencial o modelono seran tratadas; Puede desarrollarse una planeacin y secuencia de entrevistas ms lgica conforme los auditores avanzan en el proceso;

Las investigaciones pueden enfocarse utilizando el indicador de qu recurso es ms importante en qu proceso; y Como un estndar para definir las reas de TI auditables para el plan estratgico de auditora, con el fin de asegurar La cobertura efectiva de la auditora La adquisicin/desarrollo oportuno de las habilidades necesarias para la auditora. Sin embargo, existen algunos retos en cuanto a la integracin del marco referencial y de los objetivos dentro del trabajo de auditora: El cambio nunca es fcil (actitud, conjunto de herramientas, conjunto de habilidades, etc.); La naturaleza detallada hace difcil la aplicacin inicial, especialmente cuando se est verificando la completitud7 y aplicabilidad de los objetivos de control para el rea bajo revisin; Existe un grado necesario de repeticin en las Directrices de Auditora porque rara vez hay una relacin uno-a-uno entre el objetivo de control y los mecanismos de control, un mecanismo contribuye de varias maneras a varios objetivos, un objetivo necesita de varios mecanismos para lograr su cometido; y

Completitud / Integridad: (Completeness)

28

IT GOVERNANCE INSTITUTE

DIRECTRICES DE AUDITORIA
Refuerza cierto formalismo (por ejemplo, registrar informacin previa) que puede parecer innecesario. El modelo comienza a partir de la valoracin de los activos, que dentro del Marco Referencial de COBIT consiste en la informacin que tiene los criterios requeridos para ayudar a lograr los objetivos del negocio (incluyendo todos los recursos necesarios para producir dicha informacin). El siguiente paso es el anlisis de vulnerabilidad que trata de la importancia de los criterios de informacin dentro del proceso bajo revisin, por ejemplo, si un proceso del negocio es vulnerable a la prdida de integridad, entonces se requieren medidas especficas. Luego se tratan las amenazas, esto es, aquello que puede provocar una vulnerabilidad. La probabilidad de la amenaza, el grado de vulnerabilidad y la severidad del impacto se combinan para concluir acerca de la evaluacin del riesgo. Esto es seguido por la seleccin de contramedidas (controles) y una evaluacin de su eficacia, que tambin identifica el riesgo residual. La conclusin es un plan de accin despus del cual el ciclo puede comenzar nuevamente.

ANLISIS DE RIESGOS COMO UN ENFOQUE ALTERNATIVO DE EVALUACIN El balance entre costo y riesgo es el siguiente problema a tratar, esto es, tomar una decisin consciente de cmo se va a implementar cada uno de los objetivos de control y si se van a implementar. Los enfoques de anlisis de riesgos tratan esta decisin, a pesar de que permanece el principio proactivo; los objetivos de control debern aplicarse en primera instancia para lograr unos criterios de control de informacin (efectividad, eficiencia, confidencialidad, disponibilidad, integridad, cumplimiento y confiabilidad). Es evidente que la administracin necesita utilizar alguna forma de evaluacin de riesgos del negocio para definir las medidas a implementar (vea CO PO9). Los auditores tambin llevarn a cabo alguna forma de evaluacin de riesgos cuando elijan los dominios del proceso y los objetivos de control para la revisin. Un enfoque comnmente aceptado para el anlisis de riesgos en TI es el siguiente:

El resultado de un anlisis de vulnerabilidad es la identificacin de amenazas relevantes y el resultado de un anlisis de amenazas es la identificacin de vulnerabilidades relevantes.

Marco Referencial del Anlisis de Riesgo


Valuacin de Activos Evaluacin de Riesgo ContraMedidas Evaluacin del Riesgo Evaluacin del Control

Evaluacin de Vulnerabilidad

Plan de Accin

Riesgo Residual

IT GOVERNANCE INSTITUTE

29

DIRECTRICES DE AUDITORIA
OBJETIVOS DE CONTROL TABLA RESUMEN
La siguiente tabla proporciona una indicacin, por proceso y dominio de TI, de cules criterios de informacin son impactados por los objetivos de alto nivel, as como una indicacin de cules recursos de TI son aplicables.

30

IT GOVERNANCE INSTITUTE

DIRECTRICES DE AUDITORIA
AYUDAS DE NAVEGACIN PARA LAS DIRECTRICES DE AUDITORIA
Las Directrices de Auditora contienen secciones detalladas de guas de auditora para cada uno de los 34 procesos de TI. En la izquierda de la pgina est el objetivo de control de alto nivel. El indicador de dominio (PO para Planeacin y Organizacin, AI para Adquisicin e Implementacin, DS para Entrega y Soporte y M para Monitoreo) se presentan en la parte superior izquierda. El criterio de informacin aplicable y el recurso de TI utilizado son mostrados en una minimatriz, como se describe en la siguiente pgina. Empezando en la parte derecha de la pgina est la descripcin de la directriz de auditora para el proceso de TI El Marco de Referencia de COBIT ha sido limitado a objetivos de control de alto nivel en forma de necesidades de negocio dentro de un proceso de TI particular, cuyo logro es posible a travs del establecimiento de controles, para lo cual deben considerarse controles potenciales aplicables. Los Objetivos de Control de TI han sido organizados por proceso/actividad y tambin se han proporcionados ayudas de navegacin no solamente para facilitar la entrada a partir de cualquier punto de vista estratgico como se explic anteriormente, sino tambin para facilitar enfoques combinados o globales, tales como instalacin/ implementacin de un proceso, responsabilidades gerenciales globales para un proceso y utilizacin de recursos de TI por un proceso.
El control de

Tambin deber tomarse en cuenta que los Objetivos de Control de COBIT han sido definidos de una manera genrica, por ejemplo, sin depender de la plataforma tcnica, aceptando el hecho de que algunos ambientes de tecnologa especiales pueden requerir una cobertura separada para objetivos de control.

Proceso de TI

Que satisface

Requerimiento de Negocio

Es habilitado por

Declaracin de Control

Considerando

Prcticas de Control

IT GOVERNANCE INSTITUTE

31

DIRECTRICES DE AUDITORIA
ef ec ti ef vida co icie d nf nc id en ia in cial te i di gri dad sp da on d cu ib m ilid co plim ad nf ie ia nt bi o lid ad

Para facilitar el empleo eficiente de los objetivos de control como soporte a los diferentes puntos de vista, se proporcionan algunas ayudas de navegacin como parte de la presentacin de los objetivos de control de alto nivel. Se proporciona una ayuda de navegacin para cada una de las tres dimensiones del Marco de Referencia de COBIT - procesos, recursos de TI y criterios de informacin Dominios

P
Planeacin & Organizacin

Criterios de

Adquisicin & ImplementaEntrega & Soporte

TI

Monitoreo

Tres puntos de posicin

3 3
g ap ent lic e a te cio cn ne in olo s st al ga ac io da ne to s s
Planeacin & Organizacin

Los dominios son identificados por este cono en la ESQUINA SUPERIOR DERECHA de cada pgina, en la seccin de Objetivos de Control, agrandando y haciendo ms visible el dominio bajo revisin.

Adquisicin & ImplementaEntrega & Soporte

Monitoreo

La clave para el criterio de informacin se presentar en la ESQUINA SUPERIOR IZQUIERDA, en la seccin de Objetivos de Control mediante la siguiente mini matriz, la cual identificar cul criterio y en qu grado (primario o secundario) es aplicable a cada Objetivo de Control de TI de alto nivel. Una segunda mini matriz en la ESQUINA INFERIOR DERECHA de la seccin de Objetivos de Control identifica los recursos de TI que son administrados en forma especfica por el proceso bajo consideracin - no solo aquellos que simplemente toman parte en el proceso -. Por ejemplo, el proceso administracin de datos se concentra particularmente en la integridad y confiabilidad de los recursos de datos.

32

IT GOVERNANCE INSTITUTE

g ap ent lic e a te cio c n in nolo es st al ga ac io da ne to s s

ef ec ti ef vida co icie d nf n id cia en in cia te lid di gri ad sp da o cu nib d m ilid co plim ad nf ie ia nt bi o lid ad

3 3

DIRECTRICES DE AUDITORIA
RELACIONES DE OBJETIVOS DE CONTROL DOMINIOS, PROCESOS Y OBJETIVOS DE CONTROL
Planeacin y Organizacin 1.0 Definicin de un Plan Estratgico de Tecnologa de Informacin 1.1 Tecnologa de Informacin como parte del Plan de la Organizacin a corto y largo plazo 1.2 Plan a largo plazo de Tecnologa de Informacin 1.3 Plan a largo plazo de Tecnologa de Informacin - Enfoque y Estructura 1.4 Cambios al Plan a largo plazo de Tecnologa de Informacin 1.5 Planeacin a corto plazo para la funcin de Servicios de Informacin 1.6 Comunicacin de los planes de TI 1.7 Evaluacin y Monitoreo de los planes de TI. 1.8 Valoracin de los sistemas existentes. Definicin de la Arquitectura de Informacin 2.1 Modelo de la Arquitectura de Informacin 2.2 Diccionario de Datos y Reglas de sintaxis de datos corporativos 2.3 Esquema de Clasificacin de Datos 2.4 Niveles de Seguridad. Determinacin de la Direccin Tecnolgica 3.1 Planeacin de la Infraestructura Tecnolgica 3.2 Monitoreo de Tendencias y Regulaciones Futuras 3.3 Contingencias en la Infraestructura Tecnolgica 3.4 Planes de Adquisicin de Hardware y Software 3.5 Estndares de Tecnologa Definicin de la Organizacin y de las Relaciones de TI 4.1 Planeacin de TI o Comit de planeacin/ direccin de la funcin de servicios de informacin 4.2 Ubicacin de los servicios de informacin en la organizacin 4.3 Revisin de Logros Organizacionales 4.4 Funciones y Responsabilidades 4.5 4.6 4.7 4.8 4.9 4.10 4.11 4.12 4.13 4.14 4.15 5.0 Responsabilidad del aseguramiento de calidad Responsabilidad por la seguridad lgica y fsica Propiedad y Custodia Propiedad de Datos y Sistemas Supervisin Segregacin de Funciones Asignacin de Personal para Tecnologa de Informacin Descripcin de Puestos para el Personal de la Funcin de TI Personal clave de TI Procedimientos y polticas para el personal contratado Relaciones

2.0

Manejo de la Inversin en Tecnologa de Informacin 5.1 Presupuesto Operativo Anual para la Funcin de Servicio de informacin 5.2 Monitoreo de Costo - Beneficio 5.3 Justificacin de Costo - Beneficio Comunicacin de los Objetivos y Aspiraciones de la Gerencia 6.1 Ambiente positivo de control de la informacin 6.2 Responsabilidad de la Gerencia en cuanto a Polticas 6.3 Comunicacin de las Polticas de la Organizacin 6.4 Recursos para la implementacin de Polticas 6.5 Mantenimiento de Polticas 6.6 Cumplimiento de Polticas, Procedimientos y Estndares 6.7 Compromiso con la Calidad 6.8 Poltica sobre el Marco Referencial para la Seguridad y el Control Interno 6.9 Derechos de propiedad intelectual 6.10 Polticas Especficas 6.11 Comunicacin de Conciencia de Seguridad en TI

6.0

3.0

4.0

IT GOVERNANCE INSTITUTE

33

DIRECTRICES DE AUDITORIA
DOMINIOS, PROCESOS Y OBJETIVOS DE CONTROL
7.0 Administracin de Recursos Humanos 7.1 Reclutamiento y Promocin de Personal 7.2 Calificacin del Personal 7.3 Roles y Responsabilidades 7.4 Entrenamiento del personal 7.5 Entrenamiento Cruzado o Respaldo de Personal 7.6 Procedimientos para la Acreditacin del Personal 7.7 Evaluacin de Desempeo de los Empleados 7.8 Cambios de Puesto y Terminacin de contrato de trabajo Aseguramiento del Cumplimiento con Requerimientos Externos 8.1 Revisin de Requerimientos Externos 8.2 Prcticas y Procedimientos para el Cumplimiento de Requerimientos Externos 8.3 Cumplimiento de los Estndares de Seguridad y Ergonoma 8.4 Privacidad, Propiedad Intelectual y Flujo de Datos 8.5 Comercio Electrnico 8.6 Cumplimiento con Contratos de Seguros Anlisis de Riesgos 9.1 Anlisis de Riesgos del Negocio 9.2 Enfoque de Anlisis de Riesgos 9.3 Identificacin de Riesgos 9.4 Medicin de Riesgos 9.5 Plan de Accin para mitigar los Riesgos 9.6 Aceptacin de Riesgos 9.7 Seleccin de Proteccin. 9.8 Compromiso de Anlisis de Riesgos 10.11 10.12 10.13 Plan de Prueba Plan de Entrenamiento Plan de Revisin Post Implementacin

8.0

9.0

10.0 Administracin de Proyectos 10.1 Marco Referencial para la Administracin de Proyectos 10.2 Participacin del Departamento Usuario en la Iniciacin de Proyectos 10.3 Miembros y Responsabilidades del Equipo del Proyecto 10.4 Definicin del Proyecto 10.5 Aprobacin del Proyecto 10.6 Plan maestro del proyecto 10.7 Plan Maestro del Proyecto 10.8 Plan de Aseguramiento de Calidad de Sistemas 10.9 Planeacin de Mtodos de Aseguramiento 10 Administracin Formal de Riesgos de Proyectos

11.0 Administracin de Calidad 11.1 Plan General de Calidad 11.2 Enfoque de Aseguramiento de Calidad 11.3 Planeacin del Aseguramiento de Calidad 11.4 Revisin de Aseguramiento de Calidad sobre el Cumplimiento de Estndares y Procedimientos de TI 11.5 Metodologa del Ciclo de Vida de Desarrollo de Sistemas 11.6 Metodologa del Ciclo de Vida de Desarrollo de Sistemas para Cambios Mayores a la Tecnologa Actual 11.7 Actualizacin de la Metodologa del Ciclo de Vida de Desarrollo de Sistemas 11.8 Coordinacin y Comunicacin 11.9 Marco Referencial para la Adquisicin y Mantenimiento de la Infraestructura de Tecnologa 11.10 Relaciones con Terceras Partes en su rol de Implementadores 11.11 Estndares para la Documentacin de Programas 11.12 Estndares para Pruebas de Programas 11.13 Estndares para Pruebas de Sistemas 11.14 Pruebas Piloto/En Paralelo 11.15 Documentacin de las Pruebas del Sistema 11.16 Evaluacin del Aseguramiento de la Cali dad sobre el Cumplimiento de Estndares de Desarrollo 11.17 Revisin del Aseguramiento de Calidad sobre el Logro de los Objetivos de la Funcin de Servicios de Informacin 11.18 Mtricas de Calidad 11.19 Reportes de Revisiones de Aseguramiento de la Calidad

Adquisicin e Implementacin 1.0 Identificacin de Soluciones 1.1 1.2 1.3 Definicin de Requerimientos de Informacin Formulacin de Acciones Alternativas Formulacin

34

IT GOVERNANCE INSTITUTE

DIRECTRICES DE AUDITORIA
DOMINIOS, PROCESOS Y OBJETIVOS DE CONTROL
1.4 1.5 1.6 1.7 1.8 1.9 1.10 1.11 1.12 1.13 1.14 1.15 1.16 1.17 1.18 2.0 Requerimientos de Servicios de Terceros Estudio de Factibilidad Tecnolgica Estudio de Factibilidad Econmica Arquitectura de Informacin Reporte de Anlisis de Riesgos Controles de Seguridad costo-efectivo Diseo de Pistas de Auditora Ergonoma Seleccin de Software del Sistema Control de Abastecimiento Adquisicin de Productos de Software Mantenimiento de Software de Terceras Partes Contratos para la Programacin de Aplicaciones Aceptacin de Instalaciones Aceptacin de Tecnologa 3.0 Adquisicin y Mantenimiento de la Arquitectura de Tecnologa 3.1 Evaluacin de Nuevo Hardware y Software 3.2 Mantenimiento Preventivo para Hardware 3.3 Seguridad del Software del Sistema 3.4 Instalacin del Software del Sistema 3.5 Mantenimiento del Software del Sistema 3.6 Controles para Cambios del Software del Sistema 3.7 Uso y Monitoreo de Utilidades/Utilitarios del Sistema Procedimientos de Desarrollo y Mantenimiento de TI 4.1 Requerimientos Operacionales y Niveles de Servicio 4.2 Manual de Procedimientos para Usuario 4.3 Manual de Operacin 4.4 Material de Entrenamiento Instalacin y Acreditacin de Sistemas 5.1 Entrenamiento 5.2 Medicin del Desempeo del Software de Aplicacin 5.3 Plan de Implementacin 5.4 Conversin del Sistema 5.5 Conversin de datos 5.6 Planes y estrategias de pruebas 5.7 Pruebas a cambios 5.8 Criterios y Desempeo de Pruebas en Paralelo/Piloto 5.9 Prueba de Aceptacin Final 5.10 Pruebas y Acreditacin de la Seguridad 5.11 Prueba Operacional 5.12 Promocin a Produccin 5.13 Evaluacin de la Satisfaccin de los Requerimientos del Usuario 5.14 Revisin Gerencial Post - Implementacin Administracin de Cambios 6.1 Inicio y Control de Solicitudes de Cambio 6.2 Anlisis de Impacto 6.3 Control de Cambios 6.4 Cambios de Emergencia 6.5 Documentacin y Procedimientos 6.6 Mantenimiento Autorizado 6.7 Poltica de Liberacin de Software 6.8 Distribucin de Software

4.0

Adquisicin y Mantenimiento de Software de Aplicacin 2.1 Mtodos de Diseo 2.2 Cambios Significativos a Sistemas Actuales 2.3 Aprobacin del Diseo 2.4 Definicin y Documentacin de Requerimientos de Archivos 2.5 Especificaciones de Programas 2.6 Diseo para la Recopilacin de Datos Fuente 2.7 Definicin y Documentacin de Requerimientos de Entrada de Datos 2.8 Definicin de Interfases 2.9 Interfases Usuario-Mquina 2.10 Definicin y Documentacin de Requerimientos de Procesamiento 2.11 Definicin y Documentacin de Requerimientos de Salida de Datos 2.12 Controlabilidad 2.13 Disponibilidad como Factor Clave de Diseo 2.14 Consideracin de Integridad de TI en programas de software de aplicaciones 2.15 Pruebas al Software de Aplicacin 2.16 Materiales de Consulta y Soporte para Usuario 2.17 Reevaluacin del Diseo del Sistema

5.0

6.0

IT GOVERNANCE INSTITUTE

35

DIRECTRICES DE AUDITORIA
DOMINIOS, PROCESOS Y OBJETIVOS DE CONTROL
Entrega de Servicios y Soporte 1.0 Definicin de Niveles de Servicio 1.1 Marco de Referencia para acuerdos de Nivel de Servicio 1.2 Aspectos sobre los Acuerdos de Nivel de Servicio 1.3 Procedimientos de Desempeo 1.4 Monitoreo y Reporte 1.5 Revisin de Contratos y Acuerdos de Nivel de Servicio 1.6 Elementos sujetos a Cargo 1.7 Programa de Mejoramiento del Servicio Administracin de Servicios prestados por Terceros 2.1 Interfases con Proveedores 2.2 Relaciones con los Dueos 2.3 Contratos con Terceros 2.4 Calificaciones de terceros 2.5 Contratos con Outsourcing 2.6 Continuidad del Servicios 2.7 Relaciones de Seguridad 2.8 Monitoreo Administracin de Desempeo y Capacidad 3.1 Requerimientos de Disponibilidad y Desempeo 3.2 Plan de Disponibilidad 3.3 Monitoreo y Reporte 3.4 Herramientas de Modelado 3.5 Administracin de Desempeo Proactivo 3.6 Pronstico de Carga de Trabajo 3.7 Administracin de Capacidad de Recursos 3.8 Disponibilidad de Recursos 3.9 Calendarizacin / Programacin de recursos Aseguramiento de Servicio Continuo 4.1 Marco de Referencia de Continuidad de Tecnologa de Informacin 4.2 Estrategia y Filosofa del Plan de Continuidad de Tecnologa de Informacin 4.3 Contenido del Plan de Continuidad de Tecnologa de Informacin 4.4 Minimizacin de requerimientos de Continuidad de Tecnologa de Informacin 4.5 Mantenimiento del Plan de Continuidad de Tecnologa de Informacin 4.6 Pruebas del Plan de Continuidad de Tecnologa de Informacin 5.0 4.7 4.8 4.9 4.10 4.11 4.12 4.13 Entrenamiento sobre el Plan de Continuidad de Tecnologa de Informacin Distribucin del Plan de Continuidad de Tecnologa de Informacin Procedimientos de Respaldo de Procesamiento para Departamentos Usuarios Recursos crticos de Tecnologa de Informacin Centro de Cmputo y Hardware de respaldo Almacenamiento de copias de respaldo fuera del sitio Procedimientos de Refinamiento del Plan de Continuidad de TI8

2.0

3.0

4.0

Garantizar la Seguridad de Sistemas 5.1 Administrar Medidas de Seguridad 5.2 Identificacin, Autenticacin y Acceso 5.3 Seguridad de Acceso a Datos en Lnea 5.4 Administracin de Cuentas de Usuario 5.5 Revisin Gerencial de Cuentas de Usuario 5.6 Control de Usuarios sobre Cuentas de Usuario 5.7 Vigilancia de Seguridad 5.8 Clasificacin de Datos 5.9 Administracin Centralizada de Identificacin y Derechos de Acceso 5.10 Reportes de Violacin y de Actividades de Seguridad 5.11 Manejo de Incidentes 5.12 Re-acreditacin 5.13 Confianza en las Contrapartes 5.14 Autorizacin de Transacciones 5.15 No Rechazo 5.16 Sendero Seguro 5.17 Proteccin de las funciones de seguridad 5.18 Administracin de las Llaves Criptogrficas 5.19 Prevencin, Deteccin y Correccin de Software Malicioso 5.20 Arquitecturas de Firewall y conexin a redes pblicas 5.21 Proteccin de Valores Electrnicos Identificacin y Asignacin de Costos 6.1 Elementos Sujetos a Cargo 6.2 Procedimientos de Costeo 6.3 Procedimientos de Cargo y Facturacin a Usuarios

6.0

del Plan de Continuidad de TI (wrap up): procedimiento seguido para evaluar y actualizar el Plan

8 Refinamiento

36

IT GOVERNANCE INSTITUTE

DIRECTRICES DE AUDITORIA
DOMINIOS, PROCESOS Y OBJETIVOS DE CONTROL
7.0 Educacin y Entrenamiento de Usuarios 7.1 Identificacin de Necesidades de Entrenamiento 7.2 Organizacin de Entrenamiento 7.3 Entrenamiento sobre Principios y Conciencia de Seguridad Apoyo y Asistencia a los Clientes de Tecnologa de Informacin 8.1 Help Desk 8.2 Registro de consultas del Cliente 8.3 Escalamiento de consultas del Cliente 8.4 Monitoreo de Atencin a Clientes 8.5 Anlisis y Reporte de Tendencias Administracin de la Configuracin 9.1 Registro de la Configuracin 9.2 Base de la Configuracin 9.3 Registro de status 9.4 Control de la Configuracin 9.5 Software no Autorizado 9.6 Almacenamiento de Software 9.7 Procedimientos para la Administracin de la Configuracin 9.8 Contabilidad y registro del Software 11.10 Validacin y Edicin de Procesamiento de Datos 11.11 Manejo de Errores en el Procesamiento de Datos 11.12 Manejo y Retencin de Datos de Salida 11.13 Distribucin de Datos de Salida 11.14 Balanceo y Conciliacin de Datos de Salida 11.15 Revisin de Salida de Datos y Manejo de Errores 11.16 Provisiones de Seguridad para Reportes de Salida 11.17 Proteccin de Informacin Sensitiva durante transmisin y transporte 11.18 Proteccin de Informacin Sensitiva a ser Desechada 11.19 Administracin de Almacenamiento 11.20 Perodos de Retencin y Trminos de Almacenamiento 11.21 Sistema de Administracin de la Librera de Medios 11.22 Responsabilidades de la Administracin de la Librera de Medios 11.23 Respaldo y Restauracin 11.24 Funciones de Respaldo 11.25 Almacenamiento de Respaldo 11.26 Archivo 11.27 Proteccin de Mensajes Sensitivos 11.28 Autenticacin e Integridad 11.29 Integridad de Transacciones Electrnicas 11.30 Integridad Continua de Datos Almacenados 12.0 Administracin de Instalaciones 12.1 Seguridad Fsica 12.2 Discrecin (bajo perfil) de las Instalaciones de Tecnologa de Informacin 12.3 Escolta de Visitantes 12.4 Salud y Seguridad del Personal 12.5 Proteccin contra Factores Ambientales 12.6 Suministro Ininterrumpido de Energa 13.0 Administracin de Operaciones 13.1 Manual de Instrucciones y procedimientos de Operaciones de procesamiento 13.2 Documentacin del Proceso de Inicio y de Otras Operaciones 13.3 Calendarizacin/programacin de Trabajos 13.4 Ejecucin de los Trabajos estndar programados

8.0

9.0

10.0 Administracin de Problemas e Incidentes 10.1 Sistema de Administracin de Problemas 10.2 Escalamiento de Problemas 10.3 Seguimiento de Problemas y Pistas de Auditora 10.4 Autorizaciones para acceso temporal y de emergencia. 10.5 Prioridades en Procesos de Emergencia 11.0 Administracin de Datos 11.1 Procedimientos de Preparacin de Datos 11.2 Procedimientos de Autorizacin de Documentos Fuente 11.3 Recopilacin de Datos de Documentos Fuente 11.4 Manejo de Errores de Documentos Fuente 11.5 Retencin de Documentos Fuente 11.6 Procedimientos para la Autorizacin de Entrada de Datos 11.7 Chequeos de Exactitud, Suficiencia y Autorizacin 11.8 Manejo de Errores en la Entrada de Datos 11.9 Integridad de Procesamiento de Datos

IT GOVERNANCE INSTITUTE

37

DIRECTRICES DE AUDITORIA
DOMINIOS, PROCESOS Y OBJETIVOS DE CONTROL
13.5 Continuidad de Procesamiento 13.6 Bitcoras de Operacin 13.7 Proteccin de Formas Especiales y dispositivos de salida 13.8 Operaciones Remotas Monitoreo 1.0 Monitoreo del Proceso 1.1 Recoleccin de Datos de Monitoreo 1.2 Anlisis del Desempeo 1.3 Evaluacin de la Satisfaccin de Clientes 1.4 Reportes Gerenciales Evaluar lo adecuado del Control Interno 2.1 Monitoreo de Control Interno 2.2 Operacin oportuna del Control Interno 2.3 Reporte sobre el Nivel de Control Interno 2.4 Seguridad en las operaciones y aseguramiento del Control Interno 4.0 3.6 3.3 3.4 3.5 Evaluacin Independiente de la Efectividad de los Servicios de TI Evaluacin Independiente de la Efectividad de proveedores externos de servicios A s e g u r a mi e n t o I n d e p e n di e n t e d e l Cumplimiento de leyes y requerimientos regulatorios y compromisos contractuales A s e g u r a mi e n t o I n d e p e n di e n t e d e l Cumplimiento de leyes y requerimientos regulatorios y compromisos contractuales con proveedores externos de servicios Competencia de la Funcin de Aseguramiento Independiente Participacin Proactiva de Auditora

3.7 3.8

2.0

3.0 Obtencin de Aseguramiento Independiente 3.1 Certificacin / Acreditacin Independiente de Control Interno y Seguridad de los servicios de TI 3.2 Certificacin / Acreditacin Independiente de Control Interno y Seguridad de proveedores externos de servicios

Proveer Auditora Independiente 4.1 Estatutos de Auditora 4.2 Independencia 4.3 Etica y Estndares Profesionales 4.4 Competencia 4.5 Planeacin 4.6 Desempeo del Trabajo de Auditora 4.7 Reporte 4.8 Actividades de Seguimiento

38

IT GOVERNANCE INSTITUTE

DIRECTRICES DE AUDITORIA

DIRECTRICES DE AUDITORA

IT GOVERNANCE INSTITUTE

39

DIRECTRICES DE AUDITORIA

PGINA INTENCIONALMENTE EN BLANCO

40

IT GOVERNANCE INSTITUTE

DIRECTRICES DE AUDITORIA

PLANEACIN Y ORGANIZACIN

IT GOVERNANCE INSTITUTE

41

DIRECTRICES DE AUDITORIA
OBJETIVOS DE CONTROL DE ALTO NIVEL
PLANEACIN Y ORGANIZACIN PO1
ef ec tiv ef ida i d c co nf ienc id en ia in c ia te li di gri dad sp da o d cu nib m ilid p co lim ad nf ien ia bi to lid ad

Planeacin & Organizacin


Adquisicin & Implementacin

Control sobre el proceso de TI de: Definicin de un plan Estratgico de TI que satisface los requerimientos del negocio de: Lograr un balance ptimo entre las oportunidades de TI y los requerimientos del negocio para TI, as como para asegurar sus logros futuros. se hace posible a travs de: un proceso de planeacin estratgica emprendido en intervalos regulares dando lugar a planes a largo plazo. Los planes a largo plazo debern ser traducidos peridicamente en planes operacionales estableciendo metas claras y concretas a corto plazo: y toma en consideracin:

Entrega & Soporte

Monitoreo

Estrategia del negocio de la empresa definicin de cmo TI soporta los objetivos de negocio inventario de soluciones tecnolgicas e infraestructura actual Monitoreo del mercado de tecnologa Estudios de factibilidad oportunos y chequeos con la realidad Anlisis de los sistemas existentes Posicin de la empresa sobre riesgos, en el proceso de compra (time-on-market), calidad Necesidades de la participacin de la Gerencia senior en el proceso de compra, como soporte y como revisores crticos

3 3 3 3 3
g ap ente lic a te cion cn e in olo s st g al ac a io da nes to s

42

IT GOVERNANCE INSTITUTE

DIRECTRICES DE AUDITORIA
PO 1
1 2 3 4 5 6

DEFINIR UN PLAN ESTRATGICO DE TI


TI como parte del Plan a largo y corto plazo Plan a largo plazo de TI Plan a largo plazo de TI - Enfoque y Estructura Cambios al Plan a largo plazo de TI Planeacin a corto plazo para la Funcin de Servicios de Informacin Comunicacin de los planes de TI Monitoreo y evaluacin de los planes de TI Evaluacin de los sistemas existentes

OBJETIVOS DE CONTROL

7 8

TANTO LOS OBJETIVOS DE CONTROL DETALLADOS COMO LOS DE ALTO NIVEL SON AUDITADOS MEDIANTE: Obtener un entendimiento a travs de: Entrevistas: Director General (Chief Executive Officer) Director de Operaciones (Chief Operations Officer) Director de Finanzas (Chief Financial Officer) Director de TI (Chief Information Officer) Miembros del comit de planeacin/direccin9 de la funcin de servicios de informacin. Gerencia de TI10 y personal de apoyo de recursos humanos Obteniendo: Polticas y procedimientos inherentes al proceso de planeacin. Roles y responsabilidades del equipo de Direccin Objetivos de la Organizacin a largo y corto plazo Objetivos de TI a largo y corto plazo Reportes y minutas de seguimiento de las reuniones del comit de Planeacin/Direccin Evaluar los controles: Considerando si: Las polticas y procedimientos de negocios de la funcin de servicios de informacin siguen un enfoque de planeacin estructurado. Se ha establecido una metodologa para formular y modificar los planes y que cubre, como mnimo: misin y las metas de la organizacin iniciativas de tecnologa de informacin para soportar la misin y las metas de la organizacin oportunidades para las iniciativas de tecnologa de informacin estudios de factibilidad de las iniciativas de tecnologa de informacin evaluacin de los riesgos de las iniciativas de tecnologa de informacin inversin ptima de las inversiones en tecnologa de informacin actuales y futuras
9

Comit de Planeacin/Direccin (planning/steering committee 10 Gerencia de TI (IT Senior management)


IT GOVERNANCE INSTITUTE

43

DIRECTRICES DE AUDITORIA
reingeniera de las iniciativas de tecnologa de informacin para reflejar los cambios en la misin y las metas de la organizacin. evaluacin de las estrategias alternativas para las aplicaciones de datos, tecnologa y organizacin Los cambios organizacionales, la evolucin tecnolgica, los requerimientos regulatorios, la reingeniera de los procesos de negocios, el in-sourcing y el outsourcing, las reas de apoyo, etc. estn siendo consideradas y dirigidas adecuadamente en el proceso de planeacin. Existen planes de tecnologa de informacin a corto y largo plazo, estn actualizados, estn dirigidos adecuadamente a toda la empresa, su misin y funciones clave de negocios. Los proyectos de TI estn soportados por la documentacin apropiada segn lo definido en la metodologa de planeacin de tecnologa de informacin. Existen puntos de revisin para asegurar que los objetivos de tecnologa de informacin y los planes a corto y largo plazo continan satisfaciendo los objetivos y los planes a corto y largo plazo de la organizacin. Los propietarios de procesos y la Gerencia llevan a cabo revisiones y aprobaciones formales a los planes de TI. El plan de tecnologa de informacin evala los sistemas de informacin existentes en trminos del grado de automatizacin, funcionalidad, estabilidad, complejidad, costos, fortalezas y debilidades del negocio. La ausencia de planeacin a largo plazo para los sistemas de informacin y la estructura que lo soporta resulta en sistemas que no soportan los objetivos de la empresa ni los procesos del negocio, o no proveen integridad, seguridad y control apropiados.

Evaluar la suficiencia:
Probando que:

Las minutas de las reuniones del comit de Planeacin/direccin de la funcin de servicios de informacin reflejan el proceso de planeacin. Los entregables de la metodologa de planeacin existen segn lo indicado. Se incluyen iniciativas de tecnologa de informacin relevantes en los planes a corto y largo plazos de la funcin de servicios de informacin (por ejemplo, cambios de hardware, planeacin de capacidad, arquitectura de informacin, desarrollo u obtencin de nuevos sistemas, planeacin de recuperacin en caso de desastre, instalacin de plataformas para nuevos procesamientos, etc.). Las iniciativas de tecnologa de informacin soportan la investigacin, el entrenamiento, la asignacin de personal, las instalaciones, el hardware y el software. Se han identificado las implicaciones tcnicas para las iniciativas de tecnologa de informacin Se ha tomado en consideracin la optimizacin de las inversiones de tecnologa de informacin actuales y futuras Los planes a corto y largo plazo de tecnologa de informacin son consistentes con los planes a corto y largo plazo de la organizacin, as como con los requerimientos de sta. Se han modificado los planes para reflejar condiciones cambiantes. Los planes a largo plazo de tecnologa de informacin son traducidos peridicamente en planes a corto plazo. Existen tareas para implementar los planes.

44

IT GOVERNANCE INSTITUTE

DIRECTRICES DE AUDITORIA
Comprobar11 el riesgo de los objetivos de control no cumplidos: Llevando a cabo: Mediciones ("Benchmarking") de planes estratgicos de tecnologa de informacin contra organizaciones similares o apropiados estndares internacionales reconocidos como buenas prcticas de la industria. Una revisin detallada de los planes de TI para asegurar que las iniciativas de tecnologa de informacin reflejen la misin y las metas de la organizacin. Una revisin detallada de los planes de TI para determinar si, como parte de las soluciones de tecnologa de informacin contenidas en los planes, se han identificado reas dbiles dentro de la organizacin que requieren ser mejoradas. Identificando: Fallas en la tecnologa de informacin para satisfacer la misin y las metas de la organizacin. Fallas en la tecnologa de informacin para concordar con los planes a corto y largo plazo. Fallas en los proyectos de TI para satisfacer los planes a corto plazo. Fallas en la tecnologa de informacin para satisfacer lineamientos de costos y tiempos. Oportunidades de negocios no aprovechadas. Oportunidades no aprovechadas por TI.

11

Comprobando / soportando / sustentando (Substantiating)

IT GOVERNANCE INSTITUTE

45

DIRECTRICES DE AUDITORIA
OBJETIVOS DE CONTROL DE ALTO NIVEL
PLANEACIN Y ORGANIZACIN PO2
ef ec ti ef vida i c d co nf ienc id en ia in c ia te li di gri dad sp da o d cu nib m ilid p co lim ad nf ien ia bi to lid ad

Planeacin & Organizacin


Adquisicin & Implementacin

Entrega & Soporte

Control sobre el proceso de TI de: Definicin de la Arquitectura de Informacin que satisface los requerimientos de negocio de: organizar de la mejor manera los sistemas de informacin se hace posible a travs de: la creacin y mantenimiento de un modelo de informacin de negocios y asegurando que se definan sistemas apropiados para optimizar la utilizacin de esta informacin y toma en consideracin:
Monitoreo

Repositorio automatizado de datos y diccionario reglas de sintaxis de datos propiedad de la informacin y clasificacin con base en criticidad /seguridad un modelo de informacin que represente el negocio Estndares de arquitectura de informacin de la empresa

3
g ap ente lic a te cion cn e in olo s st g al ac a io da nes to s

46

IT GOVERNANCE INSTITUTE

DIRECTRICES DE AUDITORIA
PO 2 DEFINICIN DE LA ARQUITECTURA DE INFORMACIN

OBJETIVOS DE CONTROL 1 2 3 4 Modelo de la Arquitectura de Informacin Diccionario de Datos y Reglas de Sintaxis de Datos de la Corporacin Esquema de Clasificacin de Datos Niveles de Seguridad

LOS OBJETIVOS DE CONTROL TANTO DETALLADOS COMO DE ALTO NIVEL SON AUDITADOS MEDIANTE: Obtener un entendimiento a travs de: Entrevistas: Director de TI Miembros del comit de Planeacin/Direccin de la funcin de servicios de informacin. Gerencia de la funcin de servicios de informacin. Oficial de Seguridad Obteniendo: Polticas y procedimientos sobre la arquitectura de informacin. Modelo de la arquitectura de informacin. Documentos que soporten el modelo de la arquitectura de informacin, incluyendo el modelo de datos corporativo. Diccionario de datos corporativo Poltica de propiedad de datos Roles y responsabilidades de la Gerencia de Direccin Objetivos y planes a corto y largo plazo de tecnologa de informacin Reporte de estatus y minutas de las reuniones del comit de planeacin/direccin Evaluar los controles: Considerando si: Las polticas y procedimientos de la funcin de los servicios de informacin se enfocan al desarrollo y mantenimiento del diccionario de datos. El proceso utilizado para actualizar el modelo de la arquitectura de informacin toma como base los planes a corto y largo plazo, considera los costos y riesgos asociados y asegura que las aprobaciones formales de la Gerencia sean obtenidas antes de hacer modificaciones al modelo. Se utiliza algn proceso para mantener actualizados el diccionario de datos y las reglas de sintaxis de datos. Se utiliza algn medio para distribuir el diccionario de datos para asegurar que ste sea accesible para las reas de desarrollo y que los cambios se reflejen inmediatamente.

IT GOVERNANCE INSTITUTE

47

DIRECTRICES DE AUDITORIA
Las polticas y procedimientos de la funcin de servicios de informacin consideran la clasificacin de los datos, incluyendo categoras de seguridad y propiedad de datos, y si las reglas de acceso para las clases de datos son claras y apropiadamente definidas. Los estndares definen la clasificacin "default" para los activos de datos que no contienen un identificador de clasificacin. Las polticas y procedimientos de la funcin de servicios de informacin incluyen lo siguiente: la existencia de un proceso de autorizacin que requiera que el propietario de los datos (tal como lo define la poltica de propiedad de datos) autorice todos los accesos a estos datos, as como los atributos de seguridad de los mismos. los niveles de seguridad estn definidos para cada clasificacin de datos. los niveles de acceso estn definidos y sean apropiados para la clasificacin de datos. el acceso a datos sensitivos requiera de niveles de acceso explcitos y que los datos sean nicamente proporcionados sobre la base de necesidad de conocer12. Evaluar la suficiencia: Probando que: Estn identificados los cambios realizados al modelo de arquitectura de informacin para confirmar que dichos cambios reflejan la informacin de los planes a largo y corto plazo, as como los costos y los riesgos asociados. La evaluacin del impacto de cualquier modificacin realizada al diccionario de datos y cualquier cambio realizado al diccionario de datos para asegurar que stos han sido comunicados efectivamente. Varios sistemas de aplicacin operacional y proyectos de desarrollo para confirmar que el diccionario de datos es utilizado para la definicin de datos. La documentacin del diccionario de datos sea adecuada para confirmar que sta define los atributos de datos y los niveles de seguridad para cada elemento de datos. Lo apropiado de la clasificacin de datos, de los niveles de seguridad, de los niveles de acceso y "defaults". Cada clasificacin de datos defina claramente: quin puede tener acceso quin es responsable de determinar el nivel de acceso apropiado la aprobacin especfica requerida para el acceso los requerimientos especiales para el acceso (por ejemplo, acuerdo de confidencialidad o no revelacin) Comprobar el riesgo de los objetivos de control no cumplidos: Llevando a cabo: Mediciones ("Benchmarking") del modelo de arquitectura de informacin contra organizaciones similares o apropiados estndares internacionales reconocidos en la industria como buenas prcticas. Una revisin detallada del diccionario de datos para asegurar que es completo en lo referente a elementos clave. Una revisin detallada de los niveles de seguridad definidos para datos sensitivos, con el fin de verificar que se haya obtenido la autorizacin apropiada para el acceso y que el acceso permitido sea consistente con los niveles de seguridad definidos en las polticas y procedimientos de la funcin de servicios de informacin.
12

Necesidad de conocer (need-to-know)

48

IT GOVERNANCE INSTITUTE

DIRECTRICES DE AUDITORIA
Identificando: Inconsistencias en el modelo de arquitectura de informacin y en el modelo de datos corporativo, en el diccionario de datos corporativo, en los sistemas de informacin asociados y en los planes a largo y corto plazo de tecnologa de informacin. Elementos obsoletos en el diccionario de datos corporativo y en las reglas de sintaxis de datos, donde se haya perdido tiempo debido a cambios realizados inadecuadamente al diccionario de datos. Elementos de datos en los que la propiedad no haya sido claramente y/o apropiadamente determinada Clases de datos que hayan sido definidos de forma inapropiada. Niveles de seguridad de datos inconsistentes con la regla de "necesidad de conocer.

IT GOVERNANCE INSTITUTE

49

DIRECTRICES DE AUDITORIA
OBJETIVOS DE CONTROL DE ALTO NIVEL
PLANEACIN Y ORGANIZACIN

PO3
Planeacin & Organizacin
ef ec tiv ef ida i co cie d nf id ncia en in c ia te li di gri dad sp da o d cu nib i l m p id co lim ad nf ien ia bi to lid ad
Adquisicin & Implementacin

Entrega & Soporte

Control sobre el proceso de TI de: determinacin de la direccin tecnolgica que satisface los requerimientos de negocio de: aprovechar la tecnologa disponible y las que van apareciendo en el mercado para impulsar y posibilitar la estrategia del negocio. se hace posible a travs de: la creacin y mantenimiento de un plan de infraestructura tecnolgica que establece y administra expectativas claras y realistas de lo que puede brindar la tecnologa en trminos de productos, servicios y mecanismos de entrega y toma en consideracin:
capacidad de la infraestructura actual monitoreo de desarrollos tecnolgicos por la va de Monitoreo

fuentes confiables realizacin de prueba de conceptos riesgos, restricciones y oportunidades planes de adquisicin estrategia de migracin y plan de desarrollo futuro (roadmaps) relaciones con los vendedores reevaluacin independiente de la tecnologa Cambios de precio /desempeo de hardware y de software

3 3
g ap ente lic a te cion cn e in olo s st g al ac a io da nes to s

50

IT GOVERNANCE INSTITUTE

DIRECTRICES DE AUDITORIA
PO 3

DETERMINACIN DE LA DIRECCIN TECNOLGICA

OBJETIVOS DE CONTROL
1 2 3 4 5 Planeacin de la Infraestructura Tecnolgica Monitoreo de Tendencias y Regulaciones Futuras Contingencias en la Infraestructura Tecnolgica Planes de Adquisicin de Hardware y Software Estndares de Tecnologa

LOS OBJETIVOS DE CONTROL TANTO DETALLADOS COMO DE ALTO NIVEL SON AUDITADOS MEDIANTE: Obtener un entendimiento a travs de: Entrevistas: Director General Director de Operaciones Director de Finanzas Director de TI Miembros del comit de planeacin/direccin de la funcin de servicios de informacin Gerencia de la funcin de servicios de informacin Obteniendo: Polticas y procedimientos relacionados con la planeacin y el monitoreo de la infraestructura tecnolgica. Roles y responsabilidades de la Gerencia de Direccin. Objetivos y planes a largo y corto plazo de la organizacin. Objetivos y planes a largo y corto plazo de tecnologa de informacin. Plan de adquisicin de hardware y software de tecnologa de informacin. Plan de infraestructura tecnolgica. Estndares de tecnologa. Reportes de estatus y minutas de las reuniones del comit planeador. Evaluar los controles: Considerando si: Existe un proceso para la creacin y la actualizacin regular del plan de infraestructura tecnolgica para confirmar que los cambios propuestos estn siendo examinados primero para evaluar los costos y riesgos inherentes, y que la aprobacin de la Gerencia se obtenga antes de realizar cualquier cambio al plan. El plan de infraestructura tecnolgica est siendo comparado contra los planes a largo y corto plazo de tecnologa de informacin. Existe un proceso para la evaluacin de la situacin tecnolgica actual de la organizacin para asegurar que abarca aspectos tales como arquitectura de sistemas, direccin tecnolgica y estrategias de migracin.

IT GOVERNANCE INSTITUTE

51

DIRECTRICES DE AUDITORIA
Las polticas y procedimientos de la funcin de los servicios de informacin aseguran que se tenga en cuenta la necesidad de evaluar y monitorear las tendencias y condiciones regulatorias de las tecnologas presentes y futuras, y si stas son tomadas en consideracin durante el desarrollo y mantenimiento del plan de infraestructura tecnolgica. Se planean el impacto logstico y ambiental de las adquisiciones tecnolgicas. Las polticas y procedimientos de la funcin de servicios de informacin aseguran que se considere la necesidad de evaluar sistemticamente el plan tecnolgico para aspectos de contingencia (por ejemplo, redundancia, resistencia13, adecuacin y capacidad evolutiva de la infraestructura). La administracin de la funcin de los servicios de informacin evala tecnologas de vanguardia e incorpora tecnologas apropiadas a la infraestructura de servicios de informacin actual. Los planes de adquisicin de hardware y software suelen satisfacer las necesidades identificadas en el plan de infraestructura tecnolgica y si stos son aprobados apropiadamente. Se encuentran establecidos los estndares de tecnologa para los componentes tecnolgicos descritos en el plan de infraestructura tecnolgica. Evaluar la suficiencia: Probando que: La administracin de la funcin de servicios de informacin comprende y utiliza el plan de infraestructura tecnolgica. Se hayan realizado cambios al plan de infraestructura tecnolgica para identificar los costos y riesgos asociados, y que dichos cambios reflejen las modificaciones a los planes a largo y corto plazo de tecnologa de informacin. La administracin de la funcin de servicios de informacin comprende el proceso de monitoreo y evaluacin de nuevas tecnologas, y que incorpora tecnologas apropiadas a la infraestructura de servicios de informacin actual. La administracin de la funcin de servicios de informacin comprende el proceso de evaluar sistemticamente el plan de tecnologa en cuanto a aspectos de contingencia (por ejemplo, redundancia, resistencia, adecuacin y capacidad de evolucin de la infraestructura). La existencia de un ambiente fsico de la funcin de servicios de informacin adecuado para alojar el hardware/ software actualmente instalado, as como nuevo hardware/software a ser aadido segn el plan actual de adquisiciones aprobado. El plan de adquisicin de hardware y software cumple con los planes a largo y corto plazo de tecnologa de informacin, reflejando las necesidades identificadas en el plan de infraestructura tecnolgica. El plan de infraestructura tecnolgica tiene en cuenta la utilizacin de tecnologa actual y futura. Se cumpla con los estndares de tecnologa y que stos sean agregados e incorporados como parte del proceso de desarrollo. El acceso permitido sea consistente con los niveles de seguridad definidos en las polticas y procedimientos de la funcin de servicios de informacin, y que se haya obtenido la autorizacin apropiada para el acceso.

13 Resistencia (resilience= posibilidad de volver a su estado original luego de ser afectado por alguna situacin adversa)

52

IT GOVERNANCE INSTITUTE

DIRECTRICES DE AUDITORIA
Comprobar el riesgo de los objetivos de control no cumplidos: Llevando a cabo:

Mediciones ("Benchmarking") de la planeacin de infraestructura tecnolgica contra organizaciones similares o apropiados estndares internacionales de la industria reconocidos como buenas prcticas Una revisin detallada del diccionario de datos para verificar que es completo en lo referente a elementos clave. Una revisin detallada de los niveles de seguridad definidos para datos sensitivos.
Identificando:

Inconsistencias en el modelo de arquitectura de informacin y en el modelo de datos corporativo, en el diccionario de datos corporativo, en los sistemas de informacin asociados y en los planes a largo y corto plazo de tecnologa de informacin. Elementos de diccionario de datos y reglas de sintaxis de datos obsoletos. Aspectos de contingencia no considerados en el plan de infraestructura tecnolgica. Planes de adquisicin de hardware y software de tecnologa de informacin que no reflejen las necesidades del plan de infraestructura tecnolgica. Estndares de tecnologa que no sean consistentes con el plan de infraestructura tecnolgica o con los planes de adquisicin de hardware y software de tecnologa de informacin. Un plan de infraestructura tecnolgica o planes de adquisicin de hardware y software de tecnologa de informacin que no sean consistentes con los estndares de tecnologa. Elementos clave omitidos en el diccionario de datos. Datos sensitivos no clasificados como tales o que no cuentan con un nivel de seguridad.

IT GOVERNANCE INSTITUTE

53

DIRECTRICES DE AUDITORIA
OBJETIVOS DE CONTROL DE ALTO NIVEL
PLANEACIN Y ORGANIZACIN PO4
Planeacin & Organizacin
ef ec tiv ef ida i co cie d nf id ncia en in c ia te li di gri dad sp da o d cu nib i l m p id co lim ad nf ien ia bi to lid ad
Adquisicin & Implementacin

Entrega & Soporte

Control sobre el proceso de TI de: definicin de la organizacin y de las relaciones de TI que satisface los requerimientos de negocio de: prestacin de los servicios correctos de TI se hace posible a travs de: una organizacin conveniente en nmero y habilidades, con tareas y responsabilidades definidas y comunicadas, acordes con el negocio y que facilita la estrategia y provee una direccin efectiva y un control adecuado. y toma en consideracin:
Monitoreo

responsabilidades del nivel directivo sobre TI direccin de la gerencia y supervisin de TI Alineacin de TI con el negocio participacin de TI en los procesos clave de decisin flexibilidad organizacional roles y responsabilidades claras equilibrio entre supervisin y delegacin de autoridad (empoderamiento) descripciones de puestos de trabajo Niveles de asignacin de personal y personal clave Ubicacin organizacional de las funciones de seguridad, calidad y control interno Segregacin de funciones

3
g ap ente lic a te cion cn e in olo s st g al ac a io da nes to s

54

IT GOVERNANCE INSTITUTE

DIRECTRICES DE AUDITORIA
PO 4

DEFINICIN DE LA ORGANIZACIN Y DE LAS RELACIONES DE TI

OBJETIVOS DE CONTROL
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 Comit de planeacin o direccin de la funcin de servicios de informacin Ubicacin de los servicios de informacin en la organizacin Revisin de Logros Organizacionales Roles y Responsabilidades Responsabilidad del aseguramiento de calidad Responsabilidad de la Seguridad Lgica y Fsica Propiedad y Custodia Propiedad sobre Datos y Sistemas Supervisin Segregacin de Funciones Asignacin de Personal para Tecnologa de Informacin Descripcin de Puestos de trabajo para el Personal de TI Personal Clave de Tecnologa de Informacin Polticas y Procedimientos para el personal por contrato Relaciones

LOS OBJETIVOS DE CONTROL TANTO DETALLADOS COMO DE ALTO NIVEL SON AUDITADOS MEDIANTE:
Obtener un entendimiento a travs de: Entrevistas: Director General Director de Operaciones Director de Finanzas Director de TI Oficial de Aseguramiento de Calidad Oficial de Seguridad Miembros del comit de Planeacin/direccin de TI, recursos humanos y de la Gerencia. Obteniendo: Roles y responsabilidades de la Gerencia de Planeacin/direccin. Objetivos organizacionales y planes a largo y corto plazo. Objetivos y planes a largo y corto plazo de tecnologa de informacin. Organigrama organizacional que muestre la relacin entre TI y otras funciones. Polticas y procedimientos relacionadas con la organizacin y las relaciones de TI. Polticas y procedimientos relacionados con el aseguramiento de la calidad. Polticas y procedimientos utilizados para determinar los requerimientos de asignacin de personal de TI Organigrama organizacional de TI. Roles y responsabilidades de TI. Descripcin de los puestos clave de TI. Reportes de estatus y minutas de las reuniones del comit de planeacin/direccin.
IT GOVERNANCE INSTITUTE

55

DIRECTRICES DE AUDITORIA
Evaluar los controles: Considerando si: Las polticas y las comunicaciones de la Gerencia aseguran la independencia y la autoridad de la funcin de los servicios de informacin. Se han definido e identificado la calidad de miembro, los roles y las responsabilidades del comit de planeacin/ direccin de TI. Los estatutos del comit de planeacin/direccin de TI alinean las metas del comit con los objetivos y los planes a largo y corto plazo de la organizacin y con los objetivos y planes a largo y corto plazo de TI. Se han establecido procesos para incrementar la conciencia14, la comprensin y la habilidad para identificar y resolver problemas de administracin de la informacin. Las polticas consideran la necesidad de evaluar y modificar la estructura organizacional para satisfacer objetivos y circunstancias cambiantes. Existen procesos e indicadores de desempeo para determinar la efectividad y aceptacin de TI. La Gerencia se asegura que los roles y responsabilidades se cumplen. Existen polticas que determinen los roles y responsabilidades para todo el personal dentro de la organizacin con respecto a sistemas de informacin, control interno y seguridad. Existen campaas regulares para incrementar la conciencia y disciplina en cuanto al control interno y la seguridad. Existen polticas y funciones de aseguramiento de la calidad. La funcin de aseguramiento de la calidad cuenta con la independencia suficiente con respecto al personal de desarrollo de sistemas y con una asignacin de personal y experiencia adecuados para llevar a cabo sus responsabilidades. Existen procedimientos establecidos dentro del aseguramiento de la calidad para programar15 recursos y asegurar el cumplimiento de las pruebas y aprobacin del aseguramiento de la calidad antes de que se implementen nuevos sistemas o cambios a los sistemas. La Gerencia ha asignado formalmente la responsabilidad a lo largo de toda la organizacin para la formulacin de polticas y procedimientos de control interno y seguridad (tanto lgicos como fsicos) a un oficial de seguridad. El oficial de seguridad de la informacin comprende adecuadamente sus funciones y responsabilidades y si stas han mostrado consistencia con respecto a la poltica de seguridad de la informacin de la organizacin. Las polticas de seguridad de la organizacin definen claramente las responsabilidades sobre la seguridad de la informacin que cada propietario de los activos (por ejemplo, usuarios, administracin y administradores de seguridad) debe llevar a cabo. Existen polticas y procedimientos que cubran propiedad de datos y sistemas para todas las fuentes de datos y sistemas ms importantes. Existen procedimientos para revisar y mantener cambios en la propiedad de los datos y los sistemas regularmente. Existen polticas y procedimientos que describan las prcticas de supervisin para asegurar que las funciones y responsabilidades sean ejercidas apropiadamente y que todo el personal cuente con suficiente autoridad y recursos para llevar a cabo sus funciones y responsabilidades.

14 15

Conciencia/ Concientizacin (awareness) Programar / Agendar / Calendarizar (Schedule)

56

IT GOVERNANCE INSTITUTE

DIRECTRICES DE AUDITORIA
Existe una segregacin de funciones entre los siguientes pares de unidades: desarrollo y mantenimiento de sistemas desarrollo y operaciones de sistemas desarrollo/mantenimiento de sistemas y seguridad de la informacin. operaciones y control de datos operaciones y usuarios operaciones y seguridad de la informacin La asignacin de personal y la competencia de TI es mantenida para asegurar que posean habilidades para proporcionar soluciones tecnolgicas efectivas. Existen polticas y procedimientos para la evaluacin y re-evaluacin de las descripciones de puestos de trabajo de TI. Existen funciones y responsabilidades apropiadas para procesos clave, incluyendo actividades del ciclo de vida de desarrollo de sistemas (requerimientos, diseo, desarrollo, pruebas), seguridad de la informacin, adquisicin y planeacin de capacidad. Se utilizan indicadores clave de desempeo y/o factores crticos de xito al medir los resultados de TI en el logro de objetivos organizacionales. Existen polticas y procedimientos en TI para controlar las actividades de consultores y dems personal por contrato, asegurando as la proteccin de los activos de la organizacin. Existen procedimientos aplicables a los contratos de TI y son adecuados y consistentes con las polticas de adquisicin de la organizacin. Existen procesos para coordinar, comunicar y documentar los intereses dentro y fuera de la estructura organizacional de TI.

Evaluar la suficiencia: Probando que: El comit de Planeacin/direccin de TI supervisa la funcin de servicios de informacin y sus actividades y determina acciones para resolver puntos pendientes. La jerarqua de reporte es apropiada para TI. La efectividad de la ubicacin de TI dentro de la organizacin para facilitar una relacin de socios con la alta Gerencia. La gerencia de TI comprende cules son los procesos utilizados para monitorear, medir y reportar el desempeo de TI. La utilizacin de indicadores clave para evaluar el desempeo. Los procesos para analizar los resultados reales contra los niveles esperados, con el fin de determinar las acciones correctivas a realizar cuando los resultados reales no alcanzan los niveles esperados. Las acciones realizadas por la administracin en cuanto a cualquier variacin significativa con respecto a los niveles de desempeo esperados. La administracin de usuarios/propietarios evala la capacidad de respuesta y la habilidad de TI para proporcionar soluciones de tecnologa de informacin que satisfagan las necesidades de usuarios/propietarios. La Gerencia de TI conoce sus funciones y responsabilidades. Aseguramiento de la calidad se involucra en la prueba y aprobacin de los planes de proyectos de TI. El personal de seguridad revisa los sistemas operativos y los sistemas de aplicacin esenciales. Lo adecuado de los reportes o documentacin de la funcin de seguridad para evaluar la seguridad de la informacin (tanto lgica como fsica), que existe o est en desarrollo.
IT GOVERNANCE INSTITUTE

57

DIRECTRICES DE AUDITORIA
Existe suficiente conciencia y una aplicacin consistente de las polticas y procedimientos de seguridad de la informacin. El personal asiste a los entrenamientos de seguridad de informacin y control interno. La propiedad de los datos y sistemas se encuentra definida para todos los activos de informacin. Los propietarios de datos y sistemas aprueban los cambios realizados a dichos datos y sistemas. Todos los datos y sistemas cuentan con un propietario o custodio quien es responsable del nivel de control sobre los datos y sistemas. El acceso a todos los activos de datos y sistemas es aprobado por el/los propietario(s) de los activos. La lnea directa de autoridad y supervisin asociada con el puesto de trabajo est en conformidad con las responsabilidades del funcionario. Las descripciones de los puestos de trabajo tiene claramente delimitada tanto la autoridad como la responsabilidad. Las descripciones de los puestos de trabajo describen claramente las aptitudes de negocios, relaciones y las competencias tcnicas requeridas. Las descripciones de los puestos de trabajo han sido comunicadas con precisin y han sido comprendidas por el personal. Las descripciones de los puestos de trabajo para TI contienen indicadores clave de desempeo y estos han sido comunicados al personal. Las funciones y responsabilidades del personal de TI corresponden tanto a las descripciones de puestos de trabajo publicadas como al organigrama de la organizacin. Existan descripciones de puestos de trabajo para las posiciones clave y que stas incluyan los mandatos de la organizacin relativos a sistemas de informacin, control interno y seguridad. La precisin de las descripciones de puestos de trabajo comparadas contra las responsabilidades actuales de los encargados de dichas posiciones. La naturaleza y el alcance de la suficiencia de la segregacin de funciones deseada y de las limitaciones de funciones dentro de TI. El mantenimiento de la competencia del personal de tecnologa de informacin. Descripciones de puestos de trabajo apropiadas, para la adecuacin y la claridad de las responsabilidades, autoridad y criterios de desempeo. Las responsabilidades de administracin por contrato hayan sido asignadas al personal apropiado. Los trminos de los contratos sean consistentes con los estndares normales para contratos de la organizacin y que los trminos y condiciones contractuales estndar hayan sido revisados y evaluados por un consultor legal, que haya sido contratado para tal fin. Los contratos contienen clusulas apropiadas con respecto al cumplimiento de: polticas de seguridad corporativa y control interno y estndares de tecnologa de informacin. Existen procesos y/o estructuras que garantizan una coordinacin efectiva y eficiente para lograr relaciones exitosas.

58

IT GOVERNANCE INSTITUTE

DIRECTRICES DE AUDITORIA
Comprobar el riesgo de los objetivos de control no cumplidos: Llevando a cabo:

Mediciones ("Benchmarking") de la organizacin y sus relaciones contra organizaciones similares o apropiados estndares internacionales de la industria reconocidos como buenas prcticas
Una revisin detallada para determinar el impacto sobre la organizacin causada por un comit de planeacin de TI no efectivo. Una revisin detallada para medir el progreso de TI al tratar con problemas de sistemas de informacin e implementar soluciones tecnolgicas. Una revisin detallada para evaluar la estructura organizacional, las aptitudes del personal, las funciones y responsabilidades asignadas, la propiedad de datos y sistemas, supervisin, segregacin de funciones, etc. Una revisin detallada de la funcin de aseguramiento de la calidad para determinar su efectividad en la satisfaccin de los requerimientos de la organizacin. Una revisin detallada de la funcin de seguridad de la informacin para determinar su efectividad para proporcionar seguridad general en la organizacin (tanto lgica como fsica) y entrenamiento de conocimiento y conciencia de seguridad. Una revisin detallada de una muestra de contratos para confirmar que stos hayan sido ejecutados apropiadamente por ambas partes y que cumplan con los trminos contractuales estndar de la organizacin. Identificando: Debilidades en TI y sus actividades ocasionadas por una supervisin no efectiva por parte del comit de planeacin de dicha funcin. Lagunas, traslapes, etc. en la estructura organizacional que traen como resultado ineficacia o ineficiencia en TI. Estructuras organizacionales inapropiadas, funciones faltantes, personal insuficiente, deficiencias en competencia, funciones y responsabilidades no apropiadas, confusin en la propiedad de datos y sistemas, problemas de supervisin, falta de segregacin de funciones, etc. Sistemas en proceso de desarrollo, modificados o implementados que cumplen con los requerimientos de aseguramiento de la calidad. Sistemas en proceso de desarrollo, modificados o implementados que cumplen con los requerimientos de seguridad (lgica, fsica, o ambos). Contratos que no cumplen con los requerimientos contractuales de la organizacin. Coordinacin y comunicacin no efectivas entre TI y otros interesados dentro y fuera de la funcin de TI.

IT GOVERNANCE INSTITUTE

59

DIRECTRICES DE AUDITORIA
OBJETIVOS DE CONTROL DE ALTO NIVEL
PLANEACIN Y ORGANIZACIN PO5
Planeacin & Organizacin
ef ec tiv ef ida i co cie d nf id ncia en in c ia te li di gri dad sp da o d cu nib m ilid p co lim ad nf ien ia bi to lid ad
Adquisicin & Implementacin

Entrega & Soporte

Control sobre el proceso de TI de: Manejo o administracin de la inversin de TI que satisface los requerimientos de negocio de: asegurar el financiamiento y el control de desembolsos de recursos financieros se hace posible a travs de: Inversin peridica y presupuestos operacionales establecidos y aprobados por el negocio y toma en consideracin:
Monitoreo

alternativas de financiamiento Claros responsables del presupuesto Control sobre los gastos actuales justificacin de costos y concientizacin sobre el costo total de la propiedad justificacin del beneficio y contabilizacin de todos los beneficios obtenidos Ciclo de vida del software de aplicacin y de la tecnologa Alineacin con las estrategias del negocio de la empresa Anlisis de impacto Administracin de los activos

3 3 3 3
g ap ente lic a te cion cn e in olo s st g al ac a io da nes to s

60

IT GOVERNANCE INSTITUTE

DIRECTRICES DE AUDITORIA
PO 5
ADMINISTRACION DE LA INVERSIN EN

TECNOLOGA DE INFORMACIN

OBJETIVOS DE CONTROL
1 2 3 Presupuesto Operativo Anual para la Funcin de Servicios de Informacin Monitoreo de beneficios y Costos Justificacin de beneficios y Costos

LOS OBJETIVOS DE CONTROL TANTO DETALLADOS COMO DE ALTO NIVEL SON AUDITADOS MEDIANTE:
Obtener un entendimiento a travs de: Entrevistas: Director de Finanzas Director de TI Miembros del comit de planeacin de la funcin de servicios de informacin Gerencia de la funcin de servicios de informacin Obteniendo: Polticas, mtodos y procedimientos organizacionales relacionados con la elaboracin del presupuesto y las actividades de costeo. Polticas y procedimientos de la funcin de servicios de informacin relacionadas con la elaboracin del presupuesto y las actividades de costeo. Presupuesto operativo actual y del ao inmediato anterior para la funcin de servicios de informacin. Objetivos y planes organizacionales a corto y largo plazo. Objetivos y planes de TI a corto y largo plazo. Funciones y responsabilidades de planeacin de la Gerencia. Reportes de variaciones y otros comunicados relacionados con el control y monitoreo de variaciones. Reportes de estatus y minutas de las reuniones del comit de planeacin. Evaluar los controles: Considerando si: El proceso de elaboracin del presupuesto de la funcin de servicios de informacin es consistente con el proceso de la organizacin. Existen polticas y procedimientos para asegurar la preparacin y la aprobacin adecuada de un presupuesto operativo anual para la funcin de servicios de informacin, que sea consistente con el presupuesto y los planes a corto y largo plazo de la organizacin y los planes a corto y largo plazo de tecnologa de informacin. El proceso de elaboracin del presupuesto est vinculado con la administracin de las unidades ms importantes de la funcin de servicios de informacin que contribuyen a su preparacin. Existen polticas y procedimientos para monitorear regularmente los costos reales y compararlos con los costos proyectados y si los costos reales tienen como base el sistema de contabilidad de costos de la organizacin. Existen polticas y procedimientos para garantizar que la entrega y liberacin de servicios por parte de la funcin de servicios de informacin se justifican en cuanto a costos y estn en lnea con los costos de la industria.
IT GOVERNANCE INSTITUTE

61

DIRECTRICES DE AUDITORIA
Evaluar la suficiencia: Probando que: El soporte en el presupuesto de la funcin de servicios de informacin es el adecuado para justificar el plan operativo anual de dicha funcin. Las categoras de gastos de la funcin de servicios de informacin son suficientes, apropiadas y han sido clasificadas adecuadamente. El sistema para registrar, procesar y reportar rutinariamente los costos asociados con las actividades de la funcin de servicios de informacin es adecuado. El proceso de monitoreo de costos compara adecuadamente los costos reales contra los presupuestados. Los anlisis costo/beneficio llevados a cabo por la administracin de los grupos de usuarios afectados, la funcin de servicios de informacin y la Gerencia de la organizacin son revisados adecuadamente. Las herramientas utilizadas para monitorear los costos son usadas efectiva y apropiadamente. Comprobar el riesgo de los objetivos de control no cumplidos: Llevando a cabo: Mediciones ("Benchmarking") de presupuestos y costos contra organizaciones similares o apropiados estndares internacionales de la industria reconocidos como buenas prcticas Una revisin detallada del presupuesto actual y del ao inmediato anterior contra los resultados reales, variaciones y acciones correctivas aplicadas. Identificando: Presupuestos de la funcin de sistemas de informacin que no estn en lnea con el presupuesto y los planes a corto y largo plazo de la organizacin y con los planes a corto y largo plazo de tecnologa de informacin. Los costos reales de la funcin de servicios de informacin que no hayan sido ejecutados

62

IT GOVERNANCE INSTITUTE

DIRECTRICES DE AUDITORIA

PAGINA INTENCIONALMENTE EN BLANCO

IT GOVERNANCE INSTITUTE

63

DIRECTRICES DE AUDITORIA
OBJETIVOS DE CONTROL DE ALTO NIVEL
PLANEACIN Y ORGANIZACIN PO6
Planeacin & Organizacin
ef ec tiv ef ida co icie d nf id ncia en in c ia te li di gri dad sp da o d cu nib i m lid p co lim ad nf ien ia bi to lid ad
Adquisicin & Implementacin

Entrega & Soporte

Control sobre el proceso de TI de: Comunicacin de los objetivos y las aspiraciones de la gerencia que satisface los requerimientos de negocio de: asegurar que el usuario sea conciente y comprenda dichas aspiraciones se hace posible a travs de: polticas establecidas y transmitidas a la comunidad de usuarios; adems, se necesitan estndares para traducir las opciones estratgicas en reglas de usuario prcticas y utilizables y toma en consideracin:
Misin claramente articulada Directivas tecnolgicas vinculadas con Monitoreo

aspiraciones de negocios Cdigo de tica / conducta Compromiso con la calidad Polticas de seguridad y control interno Practicas de seguridad y control interno Ejemplos de liderazgo Programa continuo de comunicaciones Proveer guas y verificar su cumplimiento

3
g ap ente lic a te cion cn e in olo s st g al ac a io da nes to s

64

IT GOVERNANCE INSTITUTE

DIRECTRICES DE AUDITORIA
PO 6 COMUNICACIN DE LOS OBJETIVOS Y DE LAS ASPIRACIONES DE LA GERENCIA

OBJETIVOS DE CONTROL
1 2 3 4 5 6 7 8 9 10 11 Ambiente Positivo de Control de la Informacin Responsabilidad de la Gerencia en cuanto a Polticas Comunicacin de las Polticas de la Organizacin Recursos para la Implementacin de Polticas Mantenimiento de Polticas Cumplimiento de Polticas, Procedimientos y Estndares Compromiso con la Calidad Poltica sobre el Marco Referencial para la Seguridad y el Control Interno Derechos de la Propiedad Intelectual Polticas para Situaciones Especficas Comunicacin de la conciencia en Seguridad en TI

LOS OBJETIVOS DE CONTROL TANTO DETALLADOS COMO DE ALTO NIVEL SON AUDITADOS MEDIANTE:
Obtener un entendimiento a travs de: Entrevistas: Director General Director de Operaciones Director de Finanzas Director de TI Oficial de Seguridad Miembros del comit de planeacin de la funcin de servicios de informacin Gerencia de la funcin de servicios de informacin Obteniendo: Polticas y procedimientos relacionados con el marco referencial de control positivo y el programa de concientizacin de la administracin, con el marco referencial de seguridad y control interno y con el programa de calidad de la funcin de servicios de informacin. Las funciones y responsabilidades de planeacin de la Gerencia. Objetivos y planes de la organizacin a corto y largo plazo. Objetivos y planes a corto y largo plazo de tecnologa de informacin. Reportes de estatus y minutas de las reuniones del comit de planeacin. Un programa de comunicacin.

IT GOVERNANCE INSTITUTE

65

DIRECTRICES DE AUDITORIA
Evaluar los controles: Considerando si: Las polticas y procedimientos de la organizacin crean un marco referencial y un programa de concientizacin, prestando atencin especfica a la tecnologa de informacin, propiciando un ambiente de control positivo y considerando aspectos como: Integridad valores ticos cdigo de conducta seguridad y control interno competencia del personal filosofa y estilo operativo de la administracin responsabilidad, atencin y direccin proporcionadas por el consejo directivo o su equivalente La alta gerencia promueve un ambiente de control positivo a travs del ejemplo. La administracin ha aceptado la responsabilidad total sobre la formulacin, el desarrollo, la documentacin, la promulgacin, el control y la revisin regular de las polticas que rigen las metas y directivas generales. Existe un programa de conocimiento y conciencia formal para proporcionar comunicacin y entrenamiento relacionados con el ambiente positivo de control de la administracin. Existen polticas y procedimientos organizacionales para asegurar que los recursos adecuados y apropiados son asignados para implementar las polticas de la organizacin de manera oportuna. Existen procedimientos apropiados para asegurar que el personal comprende las polticas y procedimientos implementados, y que se cumple con dichas polticas y procedimientos. Las polticas y procedimientos de la funcin de servicios de informacin definen, documentan y mantienen una filosofa de polticas y objetivos formales que rigen la calidad de los sistemas y servicios producidos, y que stos son consistentes con la filosofa, polticas y objetivos de la organizacin. La administracin de la funcin de servicios de informacin asegura que la filosofa de calidad, las polticas y objetivos sea comprendida, implementada y mantenida a todos los niveles de la funcin de servicios de informacin. Existen procedimientos que consideren la necesidad de revisar y aprobar peridicamente estndares, directivas, polticas y procedimientos clave relacionados con tecnologa de informacin. La Gerencia ha aceptado la responsabilidad total sobre el desarrollo de un marco referencial para el enfoque general de seguridad y control interno. El documento del marco referencial de seguridad y control interno especifica la poltica de control interno y seguridad, el propsito y los objetivos, la estructura administrativa, el alcance dentro de la organizacin, la asignacin de responsabilidades y la definicin de sanciones y acciones disciplinarias asociadas con la falta de cumplimiento de las polticas de seguridad y control interno. Las polticas de seguridad y control interno identifican el proceso de control interno de la organizacin e incluye componentes de control tales como: ambiente de control Anlisis de riesgos actividades de control informacin y comunicacin monitoreo Existen polticas sobre asuntos especficos para documentar las decisiones administrativas sobre actividades particulares, aplicaciones, sistemas o tecnologas.

66

IT GOVERNANCE INSTITUTE

DIRECTRICES DE AUDITORIA
Evaluar los controles: Probando que: Los esfuerzos de la administracin para fomentar un control positivo cubren los aspectos clave tales como: integridad, valores ticos, cdigo de conducta, seguridad y control interno, competencia del personal, filosofa y estilo operativo de la administracin, y responsabilidad, atencin y direccin proporcionados. Los empleados han recibido el cdigo de conducta y lo comprenden. Se da el proceso de comunicacin de las polticas de la administracin relacionadas con el ambiente de control interno de la organizacin. Existe el compromiso de la administracin en cuanto a los recursos para formular, desarrollar, documentar, promulgar y controlar polticas que cubren el ambiente de control interno. La propiedad y habilidad para adaptarse a condiciones cambiantes de las revisiones regulares de estndares, directivas, polticas y procedimientos por parte de la administracin. Los esfuerzos de monitoreo de la administracin aseguran la asignacin adecuada y apropiada de recursos para implementar las polticas de la organizacin de manera oportuna. Los esfuerzos de reforzamiento de la administracin con respecto a los estndares, directivas, polticas y procedimientos relacionados con su ambiente de control interno estn asegurando su cumplimiento a travs de toda la organizacin. La filosofa de calidad, polticas y objetivos determinan el cumplimiento y la consistencia con la filosofa de la funcin de tecnologa de informacin as como sus polticas y procedimientos corporativos. La administracin de la funcin de servicios de informacin y el personal de desarrollo y operaciones determinan la filosofa de calidad y su poltica relacionada, y que los procedimientos y objetivos son comprendidos y cumplidos por todos los niveles dentro de la funcin de servicios de informacin. Los procesos de medicin de la calidad aseguran que los objetivos de la organizacin sean alcanzados. Miembros seleccionados de la administracin estn involucrados y comprenden el contenido de las actividades de seguridad y control interno (por ejemplo, reportes de excepcin, reconciliaciones, comparaciones, etc.) bajo su responsabilidad. Las funciones individuales, las responsabilidades y lneas de autoridad se comunican claramente y se comprenden en todos los niveles de la organizacin. Los departamentos seleccionados evalan procedimientos para monitorear en forma rutinaria actividades de seguridad y control interno (por ejemplo, reportes de excepcin, reconciliaciones, comparaciones, etc.) y que se da el proceso para proporcionar retroalimentacin a la administracin. La documentacin del sistema seleccionado confirma que las decisiones administrativas del sistema especfico han sido documentadas y aprobadas de acuerdo con las polticas y procedimientos organizacionales. La documentacin del sistema seleccionado confirma que las decisiones administrativas con respecto a actividades, sistemas de aplicacin o tecnologas particulares han sido aprobadas por la Gerencia. Comprobar el riesgo de los objetivos de control no cumplidos: Llevando a cabo: Benchmarking del marco referencial de control de la informacin y del programa de conocimiento y conciencia de la administracin contra organizaciones similares o apropiados estndares internacionales de la industria reconocidos como buenas prcticas Una revisin detallada de una muestra de proyectos aprobados de seguridad y control interno para determinar que los proyectos fueron priorizados y aprobados y tomaron como base un anlisis de riesgos y costo/beneficio. Identificando: Un marco referencial de control dbil que ponga en duda el compromiso de la administracin en cuanto al fomento de un ambiente de control interno positivo a travs de la organizacin.

IT GOVERNANCE INSTITUTE

67

DIRECTRICES DE AUDITORIA
Fallas en la administracin para comunicar efectivamente sus polticas relacionadas con el ambiente de control interno de la organizacin. Falta de recursos asignados para formular, desarrollar, documentar, promulgar y controlar polticas que cubran el ambiente de control interno. Estndares, directivas, polticas y procedimientos no actuales. Incumplimiento de la administracin para asegurar la adherencia a los estndares, directivas, polticas y procedimientos a travs de la organizacin. Deficiencias en la funcin de servicios de informacin en su compromiso con la calidad o en su habilidad para definir, documentar, mantener y comunicar efectivamente una filosofa de calidad, polticas y objetivos. Debilidades en el marco referencial de seguridad y control interno de la organizacin y/o en la funcin de servicios de informacin. Ausencia de polticas para asuntos especficos requeridas para dirigir actividades, aplicaciones y tecnologas particulares.

68

IT GOVERNANCE INSTITUTE

DIRECTRICES DE AUDITORIA

PAGINA INTENCIONALMENTE EN BLANCO

IT GOVERNANCE INSTITUTE

69

DIRECTRICES DE AUDITORIA
OBJETIVOS DE CONTROL DE ALTO NIVEL
PLANEACIN Y ORGANIZACIN PO7
Planeacin & Organizacin
ef ec tiv ef ida co icie d nf id ncia en in c ia te li di gri dad sp da o d cu nib m ilid p co lim ad nf ien ia bi to lid ad
Adquisicin & Implementacin

Entrega & Soporte

Control sobre el proceso de TI de: administracin de recursos humanos que satisface los requerimientos de negocio de: Adquirir y mantener una fuerza de trabajo motivada y competente y maximizar las contribuciones del personal a los procesos de TI se hace posible a travs de: prcticas de administracin de personal, sensatas, justas y transparentes para reclutar, alinear, pensionar, compensar, entrenar, promover y despedir y toma en consideracin: reclutamiento y promocin Entrenamiento y requerimientos de calificaciones desarrollo de conciencia entrenamiento cruzado y rotacin de puestos Procedimientos para contratacin, veto y despidos evaluacin objetiva y medible del desempeo responsabilidades sobre los cambios tcnicos y de mercado Balance apropiado de recursos internos y externos Plan de sucesin para posiciones clave
Monitoreo

3
g ap ente lic a te cion cn e in olo s st g al ac a io da nes to s

70

IT GOVERNANCE INSTITUTE

DIRECTRICES DE AUDITORIA
PO 7 ADMINISTRACIN DE RECURSOS HUMANOS

OBJETIVOS DE CONTROL
1. 2. 3. 4. 5. 6. 7. 8. Reclutamiento y Promocin de Personal Calificacin del Personal Roles y responsabilidades Entrenamiento de Personal Entrenamiento Cruzado o Personal de Respaldo Procedimientos de Acreditacin de Personal Evaluacin de Desempeo de los Empleados Cambio de Puesto y Terminacin de Contrato

LOS OBJETIVOS DE CONTROL TANTO DETALLADOS COMO DE ALTO NIVEL SON AUDITADOS MEDIANTE:
Obtener un entendimiento a travs de: Entrevistas: Funcionario de Recursos Humanos de la Organizacin y personal seleccionado Oficial de Seguridad Personal seleccionado de seguridad Administrador de la funcin de servicios de informacin Funcionario de Recursos Humanos de la funcin de servicios de informacin Directivos seleccionados de la funcin de servicios de informacin Personal seleccionado de la funcin de servicios de informacin Personal seleccionado asociado con posiciones sensibles en la funcin de servicios de informacin Obteniendo: Polticas y procedimientos relacionadas con la administracin de recursos humanos Descripciones de puestos, formas de evaluacin del desempeo y formas de desarrollo y entrenamiento Expedientes del personal y archivos de puestos de trabajo para posiciones seleccionadas

Evaluar los controles: Considerando si: Se utilizan criterios para reclutar y seleccionar personal para cubrir posiciones vacantes. Las especificaciones de las habilidades y conocimientos requeridos para las posiciones staff toman en consideracin requerimientos relevantes de profesionales cuando sea apropiado. La administracin y los empleados aceptan el proceso de competencia por puesto. Los programas de entrenamiento son consistentes con los requerimientos mnimos documentados de la organizacin relacionados con la educacin, el conocimiento y la conciencia generales que cubren los asuntos de seguridad de la informacin.
IT GOVERNANCE INSTITUTE

71

DIRECTRICES DE AUDITORIA
La administracin est comprometida con el entrenamiento y el desarrollo profesional de sus empleados. Las brechas de habilidades tcnicas y administrativas estn identificadas y se estn llevando a cabo las acciones apropiadas para manejar estas brechas. Regularmente se dan los procesos de entrenamiento cruzado y respaldo de personal para las funciones de posiciones crticas. Se da reforzamiento a la poltica de no interrumpir los das de descanso. Si el proceso de retiro del personal de seguridad de la organizacin es adecuado. Los empleados son evaluados tomando como base un conjunto estndar de perfiles de competencia para la posicin y si se llevan a cabo evaluaciones en forma peridica. Los procesos de terminacin de contrato y cambio de puesto aseguran la proteccin de los recursos de la organizacin. Las polticas y procedimientos de recursos humanos concuerdan con leyes y regulaciones aplicables.

Evaluar la suficiencia: Probando que: Las acciones de reclutamiento y/o promocin, as como los criterios de seleccin reflejan objetividad y relevancia con respecto a los requerimientos de la posicin. El personal cuenta con los conocimientos adecuados de las operaciones para cumplir con sus funciones o sus reas de responsabilidad. Existen descripciones de puestos, y que stas sean revisadas y se mantienen actualizadas. Los expedientes del personal contienen un reconocimiento del personal en cuanto a la comprensin del programa general de educacin, conciencia y conocimiento de la organizacin. Se realice el proceso de entrenamiento y educacin continua para el personal apropiado asignado a funciones crticas. El personal de TI ha recibido el entrenamiento apropiado en procedimientos y tcnicas de seguridad. La administracin y el personal de la funcin de servicios de informacin tienen conocimiento, conciencia y comprenden las polticas y procedimientos organizacionales. Los procedimientos de investigacin de despidos relacionados con temas de seguridad son consistentes con leyes aplicables que rigen la privacidad. El personal asignado a las funciones crticas de servicios de informacin poseen el conocimiento de los objetivos del negocio, incluyendo la filosofa de los controles internos y los conceptos de control y seguridad de sistemas de informacin.

Comprobar el riesgo de los objetivos de control no alcanzados:


Llevando a cabo: Benchmarking de las actividades de administracin de recursos humanos contra organizaciones similares o estndares internacionales de la industria considerados como buenas prcticas . Una revisin detallada de las actividades de la administracin de recursos humanos de la funcin de servicios de informacin. Identificando: Causas de objeciones/quejas por parte de candidatos a puestos potenciales/actuales.

72

IT GOVERNANCE INSTITUTE

DIRECTRICES DE AUDITORIA
Discrepancias en las actividades de reclutamiento, transferencia, promocin y terminacin de contrato, relacionadas con: polticas y procedimientos no seguidos acciones no aprobadas por parte de la administracin apropiada. acciones no basadas en especificaciones de puestos y calificacin del personal. Personal: Que no ha sido calificado apropiadamente cuyas oportunidades de entrenamiento y desarrollo no estn ligadas a las brechas de competencia. cuyas evaluaciones de desempeo no existen o no dan soporte a la posicin ocupada y/o funciones llevadas a cabo. cuya investigacin de seguridad asociada con la contratacin no fue llevada a cabo. cuyas investigaciones peridicas de seguridad no han sido llevadas a cabo. Insuficiencias en los programas de entrenamiento y en las actividades de desarrollo personal. Insuficiencias en el entrenamiento cruzado y respaldo de personal clave. Reconocimientos de polticas de seguridad que no hayan sido firmadas. Presupuestos y tiempos inadecuados asignados al entrenamiento y desarrollo del personal. Reportes de tiempo del personal que lleva a cabo funciones crticas que no indiquen que se han tomado das de descanso y vacaciones.

IT GOVERNANCE INSTITUTE

73

DIRECTRICES DE AUDITORIA
OBJETIVOS DE CONTROL DE ALTO NIVEL
PLANEACIN Y ORGANIZACIN PO8
Planeacin & Organizacin
ef ec tiv ef ida co icie d nf id ncia en in c ia te li di gri dad sp da o d cu nib m ilid p co lim ad nf ien ia bi to lid ad
Adquisicin & Implementacin

Entrega & Soporte

Control sobre el proceso de TI de:


Monitoreo

aseguramiento del cumplimiento de requerimientos externos que satisface los requerimientos de negocio de: cumplir con obligaciones legales, regulatorias y contractuales se hace posible a travs de: la identificacin y anlisis de los requerimientos externos en cuanto a su impacto en TI, y realizando las medidas apropiadas para cumplir con ellos y toma en consideracin:

3 3
g ap ente lic a te cion cn e in olo s st al ga ac io da nes to s

leyes, regulaciones y contratos monitoreo de desarrollos legales y regulatorios Monitoreo regular sobre cumplimiento seguridad y ergonoma privacidad propiedad intelectual

74

IT GOVERNANCE INSTITUTE

DIRECTRICES DE AUDITORIA
PO 8 ASEGURAMIENTO DEL CUMPLIMIENTO DE REQUERIMIENTOS EXTERNOS

OBJETIVOS DE CONTROL
1 2 3 4 5 6 Revisin de Requerimientos Externos Prcticas y Procedimientos para el Cumplimiento de Requerimientos Externos Cumplimiento de los Estndares de Seguridad y Ergonoma Privacidad, propiedad intelectual y Flujo de Datos Comercio Electrnico Cumplimiento con los Contratos de Seguros

LOS OBJETIVOS DE CONTROL TANTO DETALLADOS COMO DE ALTO NIVEL SON AUDITADOS MEDIANTE:

Obtener un entendimiento a travs de:


Entrevistas: Consejero legal Funcionario de Recursos Humanos de la Organizacin Gerencia de la funcin de servicios de informacin Obteniendo: Requerimientos relevantes gubernamentales y/o externos (por ejemplo, leyes, legislaciones, guas, regulaciones y estndares) con respecto a revisiones de las relaciones externas y de requerimientos externos, aspectos del cumplimiento de seguridad y salud (incluyendo ergonoma), aspectos de privacidad, requerimientos de seguridad de sistemas de informacin y transmisin de datos criptogrficos (encriptados) - tanto a nivel nacional como internacional. Estndares/declaraciones/pronunciamientos contables nacionales o internacionales relacionadas con el uso de comercio electrnico Reglamentos sobre impuestos relacionados con el uso de comercio electrnico Estndares, polticas y procedimientos sobre: revisiones de requerimientos externos seguridad y salud (incluyendo ergonoma) Privacidad seguridad clasificacin de sensibilidad de datos ingresados, procesados, almacenados, producidos y transmitidos comercio electrnico seguros Copias de todos los contratos con socios de intercambio electrnico y con el proveedor de intercambio electrnico de datos (EDI), si aplica Copias de todos los contratos de seguros relacionados con la funcin de servicios de informacin Asesora de Consejero legal sobre los requerimientos "uberrimae fidei" (hacer todo de buena fe) para los contratos de seguros (Uberrimae fidei requiere que ambas partes divulguen completamente a la otra todo lo relacionado con la materialidad del riesgo. En caso de no mostrarse buena fe en este sentido, la parte agraviada podr anular el contrato y no podr ser puesto en vigor nuevamente por la parte culpable).
IT GOVERNANCE INSTITUTE

75

DIRECTRICES DE AUDITORIA
Evaluar los controles: Reportes de auditora de auditores externos, proveedores de servicios como terceras partes y agencias gubernamentales. Considerando si: Existen polticas y procedimientos para: asegurar las acciones correctivas apropiadas relacionadas con la revisin oportuna de los requerimientos externos y si existen procedimientos para asegurar un cumplimiento continuo. coordinar la revisin de los requerimientos externos, con el fin de asegurar que se aplican oportunamente las acciones correctivas que garantizan el cumplimiento de los requerimientos externos. dirigir proteccin apropiada, as como objetivos de seguridad y salud. asegurar que se proporcionan entrenamiento y educacin en seguridad y salud apropiadamente a todos los empleados. monitorear el cumplimiento de las leyes y regulaciones aplicables de seguridad y salud. proporcionar la direccin/enfoque adecuados sobre privacidad de tal manera que todos los requerimientos legales caigan dentro de este alcance. informar a los aseguradores acerca de todos los cambios materiales realizados al ambiente de la funcin de servicios de informacin. asegurar el cumplimiento con los requerimientos de los contratos de seguros asegurar que se lleven a cabo las actualizaciones necesarias cuando se inicia un contrato de seguros nuevo/ modificado. Los procedimientos de seguridad van de acuerdo con todos los requerimientos legales y si stos estn siendo tomados en cuenta adecuadamente, incluyendo: proteccin con "passwords" o contraseas y software para limitar el acceso procedimientos de autorizacin medidas de seguridad de terminales medidas de encripcin de datos controles de Firewalls proteccin contra virus seguimiento oportuno de reportes de violaciones Evaluar la suficiencia: Probando que: Las revisiones de los requerimientos externos: son actuales, completos y suficientes en cuanto a aspectos legales, gubernamentales y regulatorios traen como resultado una pronta accin correctiva Las revisiones de seguridad y salud son llevadas a cabo dentro de la funcin de servicios de informacin para asegurar el cumplimiento de los requerimientos externos Las reas problemticas que no cumplan con los estndares de seguridad y salud sean rectificadas El cumplimiento de la funcin de servicios de informacin en cuanto las polticas y procedimientos de privacidad y seguridad.

76

IT GOVERNANCE INSTITUTE

DIRECTRICES DE AUDITORIA
Los datos transmitidos a travs de las fronteras internacionales no violan las leyes de exportacin Los contratos existentes con los proveedores de comercio electrnico consideren adecuadamente los requerimientos especificados en las polticas y procedimientos organizacionales Los contratos de seguros existentes consideren adecuadamente los requerimientos especificados en las polticas y procedimientos organizacionales En donde se hayan impuesto lmites regulatorios a los tipos de encripcin que pueden ser utilizados (por ejemplo, la longitud de la llave), la encripcin aplicada cumpla con las regulaciones En donde las regulaciones o procedimientos internos requieran la proteccin y/o encripcin especial de ciertos elementos de datos (por ejemplo, PINnmero de identificacin personalbancarios, Nmeros de expedientes de Impuestos, claves de acceso, Inteligencia Militar), dicha proteccin/encripcin sea proporcionada a estos datos. Los procesos EDI actuales desarrollados por la organizacin aseguran el cumplimiento con las polticas y procedimientos organizacionales y el cumplimiento con los contratos individuales del socio de comercio

Comprobar el riesgo de los objetivos de control no alcanzados:


Llevando a cabo: Benchmarking del cumplimiento de requerimientos externos, actividades EDI y requerimientos de los contratos de seguros contra organizaciones similares o estndares internacionales de la industria considerados como buenas prcticas. Una revisin detallada de los archivos de requerimientos externos para asegurar que se han llevado a cabo acciones correctivas, o bien, que estn siendo implementadas Una revisin detallada de los reportes de seguridad para evaluar si la informacin sensible/privada (definida como tal por procedimientos internos o por regulaciones externas) est siendo protegida apropiadamente en cuanto a seguridad y privacidad Identificando: Requerimientos externos que no hayan sido cumplidos por la organizacin Acciones significativas no resueltas/no corregidas en respuesta a las revisiones de requerimientos externos Riesgos de seguridad y salud (incluyendo ergonoma) en el ambiente de trabajo que no hayan sido considerados Debilidades en la privacidad y la seguridad relacionadas con flujos de datos y/o flujo de datos internacional Interrupciones en el comercio electrnico Debilidades en los contratos con socios comerciales relacionadas con procesos de comunicacin, mensajes transaccionales, seguridad y/o almacenamiento de datos Debilidades en las relaciones de confianza con socios comerciales Debilidades/equivocaciones en la cobertura del seguro Incumplimientos de los trminos del contrato

IT GOVERNANCE INSTITUTE

77

DIRECTRICES DE AUDITORIA
OBJETIVOS DE CONTROL DE ALTO NIVEL
PLANEACIN Y ORGANIZACIN PO9
Planeacin & Organizacin
ef ec tiv ef ida co icie d nf id ncia en in c ia te li di gri dad sp da o d cu nib m ilid p co lim ad nf ien ia bi to lid ad
Adquisicin & Implementacin

Entrega & Soporte

Control sobre el proceso de TI de: evaluacin/anlisis de riesgos que satisface los requerimientos de negocio de: Soportar las decisiones de la administracin a travs del el logro de los objetivos de TI y responder a las amenazas reduciendo su complejidad incrementando su objetividad e identificando factores de decisin importantes se hace posible a travs de: la participacin de la propia organizacin en la identificacin de riesgos de TI y en el anlisis de impacto, involucrando funciones multidisciplinarias y tomando medidas econmicas para mitigar los riesgos y toma en consideracin:
Propiedad y registro de la administracin del riesgo diferentes tipos de riesgos de TI (por ejemplo: Monitoreo

tecnolgicos, de seguridad, de continuidad, regulatorios, etc.) Definir y comunicar el perfil de tolerancia del riesgo Anlisis del origen de las causas y sesiones de tormentas de ideas sobre riesgos Medicin cuantitativa y/o cualitativa del riesgo metodologa de evaluacin de riesgos plan de accin de riesgos Reevaluaciones oportunas

3 3 3 3 3
g ap ente lic a te cion cn e in olo s st g al ac a io da nes to s

78

IT GOVERNANCE INSTITUTE

DIRECTRICES DE AUDITORIA
PO 9 EVALUACIN / ANALISIS DE RIESGOS

OBJETIVOS DE CONTROL

1 2 3 4 5 6 7 8

Evaluacin del Riesgo del Negocio Enfoque de Evaluacin de Riesgos Identificacin de Riesgos Medicin de Riesgos Plan de Accin contra Riesgos Aceptacin de Riesgos Seleccin de seguridades o salvaguardas Compromiso con el anlisis o evaluacin de riesgos

LOS OBJETIVOS DE CONTROL TANTO DETALLADOS COMO DE ALTO NIVEL SON AUDITADOS AL: Obtener un entendimiento a travs de:
Entrevistas: Presidencia de la funcin de servicios de informacin Personal seleccionado de la funcin de servicios de informacin Personal seleccionado de administracin de riesgos Usuarios claves de los servicios de TI Obteniendo: Polticas y procedimientos relacionados con la evaluacin de riesgos Documentos de evaluacin de riesgos del negocio Documentos de evaluacin de riesgos operativos Documentos de evaluacin de riesgos de la funcin de servicios de informacin Detalles de la base sobre la cual se miden los riesgos y la exposicin a los riesgos Expedientes de personal para personal seleccionado de evaluacin de riesgos Polticas de seguros que cubren el riesgo residual Resultados de las opiniones de expertos Revisiones de grupos especializados Consulta de las bases de datos de administracin de riesgos Evaluar los controles: Considerando si: Existe un marco referencial para la evaluacin sistemtica de riesgos, incorporando los riesgos de informacin

IT GOVERNANCE INSTITUTE

79

DIRECTRICES DE AUDITORIA
relevantes para el logro de los objetivos de la organizacin y formando una base para determinar la forma en la que los riesgos deben ser manejados a un nivel aceptable. El enfoque de evaluacin de riesgos asegura la evaluacin actualizada regular de riesgos tanto a nivel global como a nivel especfico de sistemas. Existen procedimientos de evaluacin de riesgos para determinar que los riesgos identificados incluyen factores tanto externos como internos y toman en consideracin los resultados de las auditoras, inspecciones, e incidentes identificados. Los objetivos de toda la organizacin estn incluidos en el proceso de identificacin de riesgos. Los procedimientos para el monitoreo de cambios en la actividad de procesamiento de sistemas determinan que los riesgos y exposicin de los sistemas son ajustados oportunamente. Existen procedimientos para el monitoreo y el mejoramiento continuos de la evaluacin de riesgos y procesos para la creacin de controles que mitiguen los riesgos. La documentacin de evaluacin de riesgos incluye: una descripcin de la metodologa de evaluacin de riesgos la identificacin de exposiciones significativas y los riesgos correspondientes los riesgos y exposiciones correspondientes considerados Se incluyen tcnicas de probabilidad, frecuencia y anlisis de amenazas en la identificacin de riesgos. El personal asignado a evaluacin de riesgos est adecuadamente calificado Existe un enfoque cuantitativo y/o cualitativo (o combinado) formal para la identificacin y medicin de riesgos, amenazas y exposiciones. Se utilizan clculos y otros mtodos en la medicin de riesgos, amenazas y exposiciones El plan de accin contra riesgos es utilizado en la implementacin de medidas apropiadas para mitigar los riesgos, amenazas y exposiciones. La aceptacin del riesgo residual toma en cuenta: la poltica organizacional la identificacin y medicin de riesgos la incertidumbre inherente al enfoque de evaluacin de riesgos mismo el costo y la efectividad de implementar salvaguardas y controles La cobertura de los seguros compensan el riesgo residual Existen propuestas cualitativas y/o cuantitativas formales para seleccionar las medidas de control que maximicen el retorno de la inversin Existe un balance entre las medidas de deteccin, prevencin, correccin y recuperacin utilizadas Existen procedimientos formales para comunicar el propsito de la medicin de los controles Evaluar la suficiencia: Probando que: Se cumple con el marco referencial de evaluacin de riesgos en cuanto a que las evaluaciones de riesgos con actualizadas regularmente para reducir el riesgo a un nivel aceptable. La documentacin de evaluacin de riesgos cumple con el marco referencial de evaluacin de riesgos y su documentacin es preparada y mantenida apropiadamente. La administracin y el personal de la funcin de servicios de informacin tienen conocimiento y conciencia y estn involucrados en el proceso de evaluacin de riesgos

80

IT GOVERNANCE INSTITUTE

DIRECTRICES DE AUDITORIA
La administracin comprende los factores relacionados con los riesgos y la probabilidad de amenazas El personal relevante comprende y acepta formalmente el riesgo residual Los reportes emitidos a la Presidencia para su revisin y acuerdo con los riesgos identificados y utilizacin en el monitoreo de actividades de reduccin de riesgos sean oportunos El enfoque utilizado para analizar los riesgos traiga como resultado una medicin cuantitativa o cualitativa (o combinada) de la exposicin al riesgo Los riesgos, amenazas y exposiciones identificados por la administracin y atributos relacionados con los riesgos sean utilizados para detectar cada ocurrencia de una amenaza especfica. El plan de accin contra riesgos es actual e incluye controles econmicos y medidas de seguridad para mitigar la exposicin al riesgo Se han priorizado los riesgos desde el mas alto hasta el mas bajo y existe una respuesta apropiada para cada riesgo: control planeado preventivo de mitigacin. control secundario detectivo control terciario correctivo Los escenarios de riesgo versus los controles estn documentados, actualizados y comunicados al personal apropiado Existe suficiente cobertura de seguros con respecto al riesgo residual aceptado y que ste es considerado contra varios escenarios de amenaza, incluyendo: incendio, inundaciones, terremotos, tornados, terrorismo y otros desastres naturales no predecibles violaciones a las responsabilidades fiduciarias del empleado interrupcin del negocio, prdidas de ingresos, perdida de clientes, etc. otros riesgos no cubiertos generalmente por la tecnologa de informacin y planes de riesgo/continuidad del negocio

Comprobar el riesgo de los objetivos de control no alcanzados:


Llevando a cabo: Benchmarking del marco referencial de evaluaciones de riesgos contra organizaciones similares o estndares internacionales de la industria considerados como buenas prcticas. Una revisin detallada del enfoque de evaluacin de riesgos utilizado para identificar, medir y mitigar los riesgos a un nivel aceptable de riesgo residual Identificando: Riesgos no identificados Riesgos que no hayan sido medidos Riesgos no considerados/administrados a un nivel aceptable Evaluaciones de riesgos inoportunas y/o evaluaciones de riesgos con informacin desactualizada Medidas incorrectas cuantitativas y/o cualitativas de riesgos, amenazas y exposiciones Planes de accin contra riesgos que no aseguren controles econmicos y medidas de seguridad Falta de aceptacin formal del riesgo residual Cobertura de seguros inadecuada

IT GOVERNANCE INSTITUTE

81

DIRECTRICES DE AUDITORIA
OBJETIVOS DE CONTROL DE ALTO NIVEL
PLANEACIN Y ORGANIZACIN PO10
Planeacin & Organizacin
ef ec tiv ef ida i co cie d nf id ncia en in c ia te li di gri dad sp da o d cu nib m ilid p co lim ad nf ien ia bi to lid ad
Adquisicin & Implementacin

Control sobre el proceso de TI de: administracin de proyectos

Entrega & Soporte

Monitoreo

que satisface los requerimientos de negocio de: establecer prioridades y entregar servicios oportunamente y de acuerdo al presupuesto de inversin se hace posible a travs de: identificacin y priorizacin de los proyectos en lnea con el plan operacional por parte de la misma organizacin. Adems, la organizacin deber adoptar y aplicar slidas tcnicas de administracin de proyectos para cada proyecto emprendido y toma en consideracin:
El patrocinio de los proyectos por parte de la

gerencia del negocio Administracin de programas Capacidades para administras programas el involucramiento de los usuarios Distribucin de tareas, definicin de puntos de control y aprobacin de fases asignacin de responsabilidades Seguimiento riguroso de puntos de control y entregables Costo y presupuesto de mano de obra, balanceando recursos internos y externos Mtodos y planes de aseguramiento de calidad Anlisis de riesgo de programas y proyectos Transicin de desarrollo a operacin
IT GOVERNANCE INSTITUTE

3 3 3 3
g ap ente lic a te cion cn e in olo s st al ga ac io da nes to s

82

DIRECTRICES DE AUDITORIA
PO 10 ADMINISTRACIN DE PROYECTOS

OBJETIVOS DE CONTROL
1 2 3 4 5 6 7 8 9 10 11 12 13 Marco Referencial para la Administracin de Proyectos Participacin del Departamento Usuario en la Iniciacin de Proyectos Miembros y Responsabilidades del Equipo del Proyecto Definicin del Proyecto Aprobacin del Proyecto Aprobacin de las Fases del Proyecto Plan Maestro del Proyecto Plan de Aseguramiento de la Calidad del Sistema Planeacin de Mtodos de Aseguramiento Manejo Formal de Riesgos de Proyectos Plan de Prueba Plan de Entrenamiento Plan de Revisin Post-Implementacin

LOS OBJETIVOS DE CONTROL TANTO DETALLADOS COMO DE ALTO NIVEL SON AUDITADOS AL: Obtener un entendimiento a travs de:
Entrevistas: Administrador/Gerente de Calidad de la Organizacin Administrador/Coordinador de Calidad de Proyectos Propietarios/patrocinadores del Proyecto Lder del equipo del Proyecto Coordinador de Aseguramiento de Calidad Oficial de Seguridad Miembros del comit de planeacin de la funcin de servicios de informacin Administracin de la funcin de servicios de informacin Obteniendo: Polticas y procedimientos relacionados con el marco referencial de administracin de proyectos Polticas y procedimientos relacionados con la metodologa de administracin de proyectos Polticas y procedimientos relacionados con los planes de aseguramiento de la calidad Polticas y procedimientos relacionados con los mtodos de aseguramiento de la calidad Plan Maestro del Proyecto de Software (Software Project Master Plan (SPMP)) Plan de Aseguramiento de la Calidad del Software (Software Quality Assurance Plan (SQAP)) Reportes de estatus del proyecto Reportes de estatus y minutas de las reuniones del comit de planeacin Reportes de Calidad del Proyecto

IT GOVERNANCE INSTITUTE

83

DIRECTRICES DE AUDITORIA
Evaluar los controles: Considerando si: El marco referencial de administracin de proyectos: define el alcance y los lmites para la administracin de proyectos asegura que las demandas del proyecto sean revisadas en cuanto a su consistencia con el plan operativo aprobado y si los proyectos son priorizados de acuerdo con este plan define la metodologa de administracin de proyectos a ser adoptada y aplicada en cada proyecto emprendido, incluyendo: planeacin del proyecto asignacin de personal asignacin de responsabilidades y autoridad distribucin de tareas presupuestos de tiempo y recursos puntos de revisin puntos de verificacin aprobaciones suficiencia y actualizacin asegura la participacin de la administracin del departamento usuario afectado (propietario/patrocinador) en la definicin y autorizacin de un proyecto de desarrollo, implementacin o modificacin especifica la base sobre la cual los miembros del personal son asignados a los proyectos define las responsabilidades y la autoridad de los miembros del equipo del proyectoA asegura la creacin de estatutos claros por escrito que definan la naturaleza y alcance del proyecto antes de comenzar a trabajar sobre el mismo proporciona un documento inicial de definicin del proyecto que incluya definiciones claras sobre la naturaleza y alcance del proyecto incluye las siguientes razones para llevar a cabo el proyecto, entre ellas: una definicin del problema a ser resuelto o del proceso a ser mejorado una definicin de la necesidad del proyecto expresada en trminos de incrementar la habilidad de la organizacin para alcanzar sus metas un anlisis de las deficiencias en los sistemas relevantes existentes las oportunidades que se abriran al incrementar la eficiencia y hacer ms econmica la operacin el control interno y la necesidad de seguridad que seria satisfecha por los proyectos considera la manera en la que los estudios de factibilidad de los proyectos propuestos deben ser preparados, revisados y aprobados por la Gerencia, incluyendo: el ambiente del proyecto - hardware, software, telecomunicaciones el alcance del proyecto - lo que este incluir y excluir en la primera implementacin y en las subsecuentes las limitaciones del proyecto - lo que debe retenerse durante este proyecto, an cuando las oportunidades de mejora a corto plazo parezcan obvias los beneficios y costos a ser cumplidos por el patrocinador o propietario/patrocinador del proyecto delinea la manera en la que cada fase del proceso de desarrollo (por ejemplo, preparacin de estudios de factibilidad, definicin de requerimientos, diseo del sistema, etc.) debe ser aprobada antes de proceder a la siguiente fase del proyecto (por ejemplo, programacin, pruebas del sistema, pruebas de transacciones, pruebas en paralelo, etc.)

84

IT GOVERNANCE INSTITUTE

DIRECTRICES DE AUDITORIA
requiere el desarrollo de un SPMP para cada proyecto y especifica la manera en la que el control deber ser mantenido a travs de la vida del proyecto, as como perodos (puntos de revisin) y presupuestos del mismo cumple con el estndar organizacional para SPMPs o, en caso de no existir ste, con algn otro estndar apropiado requiere el desarrollo de un SQAP para cada proyecto, asegura que ste se encuentre integrado con el SPMP y que sea revisado y acordado formalmente por todas las partes involucradas delinea la manera en la que el programa de manejo formal de riesgos del proyecto elimina o minimiza los riesgos relacionados con el mismo asegura el desarrollo de un plan de pruebas para cada proyecto de desarrollo, implementacin y modificacin asegura el desarrollo de un plan adecuado para el entrenamiento de personal propietario/patrocinador y de las funciones de servicios de informacin para cada proyecto de desarrollo, implementacin y modificacin Se monitorea y reportan a la Gerencia los puntos de revisin de lo presupuestado contra lo ejecutado en el proyecto as como los costos a travs de las fases mayores del proyecto ( por ejemplo compra de software, compra de hardware, programacin por contrato, actualizaciones de redes, etc.) Los puntos de revisin y costos que excedan los montos y tiempos presupuestados requieren la aprobacin de la administracin apropiada de la organizacin SQAP cumple con el estndar organizacional para SQAPs, o en caso de no existir ste, con los criterios seleccionados anteriormente Las tareas de aseguramiento SQAP soportan la acreditacin de sistemas nuevos o modificados y aseguran que los lineamientos de seguridad y control interno cumplen con los requerimientos Todos los propietarios/patrocinadores del proyecto han aportado sobre el SPMP y el SQAP y estn de acuerdo sobre los elementos entregables finales. El proceso de post-implementacin es una parte integral del marco referencial de la administracin del proyecto para asegurar que los sistemas de informacin nuevos o modificados han aportado los beneficios planeados Evaluar la suficiencia: Probando que: La metodologa de administracin de proyectos y todos los requerimientos fueron seguidos consistentemente La metodologa de administracin de proyectos fue comunicada a todo el personal apropiado involucrado en el proyecto La definicin escrita de la naturaleza y alcance del proyecto concuerda con un patrn estndar La naturaleza y alcance del involucramiento del propietario/patrocinador en la definicin y autorizacin del proyecto, as como la conformidad con el involucramiento esperado del propietario/patrocinador segn lo estipulado por el marco referencial de administracin de proyectos La asignacin de los miembros del personal al proyecto y la definicin de responsabilidades y autoridad de los miembros del equipo del proyecto sean respetadas Existe evidencia de una definicin por escrito clara de la naturaleza y alcance del proyecto antes de comenzar a trabajar sobre el mismo Se ha aprobado y preparado un estudio de factibilidad Se obtienen las aprobaciones por parte de la administracin de la funcin de sistemas de informacin y de los propietarios / patrocinadores para cada fase del proyecto de desarrollo Cada fase del proyecto es completada y se obtienen las aprobaciones apropiadas segn los requerimientos del SPMP Se han desarrollado y aprobado el SPMP y el SQAP de acuerdo con el marco referencial de la administracin de proyectos El SPMP y el SQAP son suficientemente especficos y detallados
IT GOVERNANCE INSTITUTE

85

DIRECTRICES DE AUDITORIA
Las actividades/reportes identificados como obligatorios han sido realmente ejecutados/producidos (por ejemplo, se han llevado a cabo reuniones del Comit Ejecutivo de Planeacin, reuniones para el proyecto o similares, se han registrado minutas de las reuniones y stas han sido distribuidas a las partes relevantes y se preparan y distribuyen reportes a las partes relevantes) Se ha desarrollado y aprobado un plan de pruebas de acuerdo con el marco referencial de administracin de proyectos y ste es suficientemente especfico y detallado Las actividades/reportes identificados como obligatorios en el plan de pruebas han sido realmente ejecutados/producidos Existen criterios de acreditacin utilizados para el proyecto y stos: se derivan de metas e indicadores de desempeo se derivan de requerimientos cuantitativos acordados aseguran que los requerimientos de control interno y seguridad son satisfechos estn relacionados con el "Qu" esencial versus el "cmo" arbitrario definen un proceso formal de aprobacin/falla son capaces de una demostracin objetiva dentro de un perodo de tiempo limitado no redefinen simplemente los requerimientos de los documentos de diseo El programa de administracin de riesgos del proyecto ha sido utilizado para identificar y eliminar o por lo menos minimizar los riesgos relacionados con el proyecto Se ha cumplido con el plan de pruebas, que los propietarios/patrocinadores, as como las funciones de programacin y aseguramiento de la calidad, han creado revisiones escritas de las pruebas, y que se ha cumplido con un proceso de aprobacin segn lo esperado Se ha preparado un plan para el entrenamiento del personal de las funciones de servicios de informacin y para los propietarios/patrocinadores afectados, se ha dado el tiempo suficiente para completar las actividades de entrenamiento requeridas, y que ha sido utilizado para el proyecto Se ha cumplido y seguido un plan de revisin post-implementacin para el proyecto

Comprobar el riesgo de los objetivos de control no alcanzados:


Llevando a cabo: Benchmarking del marco referencial de administracin de proyectos contra organizaciones similares o estndares internacionales de la industria considerados como buenas prcticas. Una revisin detallada de: el plan maestro del proyecto para determinar el alcance de la participacin del propietario/patrocinador y la adecuacin del proceso general para definir, autorizar y ejecutar el proyecto, incluyendo: definicin de las funciones del sistema factibilidad, dadas la limitaciones del proyecto determinacin de los costos y beneficios del sistema Lo adecuado de los controles del sistema impacto e integracin en otros sistemas propietarios/patrocinadores compromiso de recursos (de personal y dinero) por parte del propietario/patrocinador definicin de responsabilidades y autoridad de los participantes en el proyecto criterios de aceptacin deseables y alcanzables puntos de revisin y verificacin en la autorizacin de las diferentes fases del proyecto

86

IT GOVERNANCE INSTITUTE

DIRECTRICES DE AUDITORIA
elaboracin de grficas de Gantt, bitcoras de problemas, resmenes de reuniones, etc. en la administracin del proyecto reportes de calidad para determinar si existen problemas sistemticos en el proceso de planeacin de aseguramiento de la calidad de sistemas en la organizacin el programa de manejo formal de riesgos del proyecto para determinar si se han identificado y eliminado, o por lo menos minimizado los riesgos. la ejecucin del plan de pruebas para determinar que ste prob completamente todo el proyecto de desarrollo, implementacin o modificacin del sistema la ejecucin del plan de entrenamiento para determinar que ste ha preparado adecuadamente a propietarios/ patrocinadores y al personal de la funcin de servicios de informacin en el uso del sistema la revisin post-implementacin para determinar si los beneficios otorgados corresponden a los planeados

Identificando: Proyectos que: sean administrados inadecuadamente hayan excedido fechas claves hayan excedido costos sean obsoletos no hayan sido autorizados no sean tcnicamente factibles no sean justificados econmicamente no otorguen los beneficios planeados no contengan puntos de verificacin no sean aprobados en puntos de verificacin claves no hayan sido acreditados para implementacin no satisfagan los requerimientos de control interno y seguridad no eliminen o mitiguen los riesgos no hayan sido probados completamente Necesidad de entrenamiento el cual no fue llevado a cabo o es inadecuado para el sistema en proceso de implementacin no hayan contado con una revisin post-implementacin

IT GOVERNANCE INSTITUTE

87

DIRECTRICES DE AUDITORIA
OBJETIVOS DE CONTROL DE ALTO NIVEL
PLANEACIN Y ORGANIZACIN PO11
Planeacin & Organizacin
ef ec tiv ef ida co icie d nf id ncia en in c ia te li di gri dad sp da o d cu nib m ilid p co lim ad nf ien ia bi to lid ad
Adquisicin & Implementacin

Control sobre el proceso de TI de: Administracin de calidad

Entrega & Soporte

Monitoreo

que satisface los requerimientos de negocio de: satisfacer los requerimientos del cliente de TI se hace posible a travs de: la planeacin, implementacin y mantenimiento de estndares y sistemas de administracin provistos para las distintas fases de desarrollo, con entregables claros y responsabilidades explcitas y toma en consideracin:

Establecimiento de una cultura de calidad Planes de calidad responsabilidades de aseguramiento de la calidad Prcticas de control de calidad metodologa del ciclo de vida de desarrollo de sistemas Pruebas y documentacin de programas y sistemas revisiones y reporte de aseguramiento de calidad Entrenamiento e involucramiento del usuario final y del personal de aseguramiento de calidad Desarrollo de una base de conocimientos de aseguramiento de calidad Benchmarking contra normas de la industria

3 3 3 3
g ap ente lic a te cion cn e in olo s st g al ac a io da nes to s

88

IT GOVERNANCE INSTITUTE

DIRECTRICES DE AUDITORIA
PO 11 ADMINISTRACIN DE CALIDAD

OBJETIVOS DE CONTROL
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 Plan General de Calidad Enfoque de Aseguramiento de Calidad Planeacin del Aseguramiento de Calidad Revisin del Aseguramiento de Calidad sobre el Cumplimiento de Estndares y Procedimientos de TI Metodologa del Ciclo de Vida de Desarrollo de Sistemas Metodologa del Ciclo de Vida de Desarrollo de Sistemas para Cambios Mayores a la Tecnologa Actual Actualizacin de la Metodologa del Ciclo de Vida de Desarrollo de Sistemas Coordinacin y Comunicacin Marco Referencial de Adquisicin y Mantenimiento para la Infraestructura de Tecnologa Relaciones con Terceras Partes como Implementadores Estndares para la Documentacin de Programas Estndares para Pruebas de Programas Estndares para Pruebas de Sistemas Pruebas Piloto/Paralelo Documentacin de las Pruebas del Sistema Evaluacin del Aseguramiento de la Calidad sobre el Cumplimiento de Estndares de Desarrollo Revisin del Aseguramiento de Calidad sobre el Logro de los Objetivos de TI Mtricas de Calidad Reportes de Revisin de Aseguramiento de Calidad

LOS OBJETIVOS DE CONTROL TANTO DETALLADOS COMO DE ALTO NIVEL SON AUDITADOS AL: Obtener un entendimiento a travs de:
Entrevistas: Director General Miembros del comit de planeacin de TI Director de TI Oficial de Seguridad Administrador de la Calidad de la Organizacin Administrador de la Calidad de TI Administracin de TI Propietarios/patrocinadores del sistema Obteniendo: Polticas y procedimientos relacionados con el aseguramiento de la calidad, el ciclo de vida del desarrollo de sistemas y la documentacin de sistemas Funciones y responsabilidades de la Gerencia

IT GOVERNANCE INSTITUTE

89

DIRECTRICES DE AUDITORIA
Plan estratgico de la organizacin, poltica de calidad, manual de calidad y plan de calidad. Plan estratgico de TI, poltica de calidad, manual de calidad, plan de calidad y plan de administracin de la configuracin. Organigramas de todas las funciones de aseguramiento de la calidad Minutas de las reuniones individuales de planeacin de la calidad Minutas de las reuniones convocadas para la revisin de la metodologa del ciclo de vida del desarrollo de sistemas Copias de las revisiones a la metodologa del ciclo de vida del desarrollo de sistemas Reportes de estatus y minutas de las reuniones del comit de planeacin Evaluar los controles: Considerando si: El plan de calidad: toma como base los planes a corto y largo plazo de la organizacin fomenta la filosofa de mejora continua y responde a las preguntas bsicas qu, quin y cmo es completo y actualizado El plan de calidad de TI: toma como base el plan general de calidad de la organizacin y los planes a corto y largo plazo de tecnologa de informacin fomenta la filosofa de mejora continua y responde a las preguntas bsicas qu, quin y cmo es completo y actualizado Si el enfoque estndar de calidad existe, y si ste: es aplicable a las actividades de aseguramiento de la calidad tanto generales como a las especficas del proyecto es escalable y, de esta manera, aplicable a todos los proyectos es comprendido por todo el personal involucrado en un proyecto y en actividades de aseguramiento de la calidad fue aplicable a travs de todas las fases de un proyecto El enfoque estndar de aseguramiento de la calidad prescribe los tipos de actividades de aseguramiento de la calidad (y especifica revisiones, auditoras, inspecciones, etc.) a ser llevados a cabo para alcanzar los objetivos del plan general de calidad La planeacin de aseguramiento de la calidad prescribe el alcance y la sincronizacin de las actividades de aseguramiento de la calidad Las revisiones de aseguramiento de la calidad evalan el cumplimiento general de los estndares, polticas y procedimientos de TI La Gerencia ha definido e implementado estndares, polticas y procedimientos de servicios de informacin, incluyendo una metodologa formal de ciclo de vida del desarrollo de sistemas-adquirida, desarrollada internamente o una combinacin de ambas La metodologa del ciclo de vida del desarrollo de sistemas: rige el proceso de desarrollar, adquirir, implementar y mantener sistemas de informacin computarizados y tecnologas relacionadas soporta y fomenta los esfuerzos de desarrollo/modificacin que cumplen con los planes a corto y largo plazo de TI y de la organizacin requiere un proceso de desarrollo o modificacin estructurado que contenga puntos de revisin en momentos clave de decisin, as como la autorizacin para proceder con el proyecto en cada punto de revisin esta completo y actualizado

90

IT GOVERNANCE INSTITUTE

DIRECTRICES DE AUDITORIA
es capaz de ser adaptada/escalada para acoplarse a todos los tipos de desarrollo que ocurren dentro de la organizacin es aplicable a la creacin y mantenimiento tanto de software adquirido como desarrollado internamente cuenta con provisiones documentadas para cambios tecnolgicos ha construido un marco referencial general en cuanto a la adquisicin y mantenimiento de la infraestructura tecnolgica cuenta con pasos a seguir (tales como adquisicin, programacin, documentacin y pruebas, establecimiento de parmetros, y aplicacin de correcciones) que deben ser regidos por, y estar en lnea con el marco referencial de adquisicin y mantenimiento de la infraestructura tecnolgica fomenta la provisin de criterios para la aceptacin de terceras partes como implementadores, manejo de cambios, manejo de problemas, funciones participantes, instalaciones, herramientas y estndares y procedimientos de software requiere el mantenimiento de documentacin detallada de programacin y de sistemas (por ejemplo, diagramas de flujo, diagramas de flujo de datos, narrativas escritas de programacin, etc.), y que dichos requerimientos hayan sido comunicados a todo el personal involucrado requiere que la documentacin se mantenga actualizada al ocurrir cambios requiere la aplicacin de pruebas rigurosas y robustas de programas/sistemas define las circunstancias bajo las cuales deben conducirse pruebas piloto o en paralelo de sistemas nuevos o modificados requiere, como parte de cada proyecto de desarrollo, implementacin o modificacin de sistemas, que las pruebas sean verificadas, documentadas y retenidas/almacenadas en forma independiente Requiere autorizacin para involucrarse en el proyecto Requiere anlisis costo beneficio para el desarrollo de nuevos sistemas y modificacin de los sistemas existentes

El enfoque de aseguramiento de la calidad de la organizacin: requiere que se lleve a cabo una revisin post-implementacin para asegurar que todos los sistemas nuevos o modificados sean desarrollados y puestos en produccin de acuerdo con la metodologa del ciclo de vida del desarrollo de sistemas, el cual debe ser respetado por el equipo del proyecto requiere una revisin de la medida en la que los sistemas nuevos o modificados han alcanzado los objetivos establecidos para ellos por la administracin trae como resultado reportes, los cuales propician el llevar a cabo el desarrollo de sistemas y las recomendaciones de efectividad para la administracin (tanto para los usuarios como para TI) como corresponda cuenta con recomendaciones a las que se les da seguimiento peridicamente y que son reportadas a los funcionarios apropiados de la Gerencia La administracin de TI revisa y actualiza apropiadamente la metodologa del ciclo de vida del desarrollo de sistemas con regularidad para asegurar su suficiencia para nuevos desarrollos/modificaciones y nuevas tecnologas Existe una variacin de niveles de control para los distintos tipos de proyectos de desarrollo y mantenimiento (por ejemplo, si los proyectos grandes reciben mayor control que los pequeos) El logro de una coordinacin y comunicacin estrecha a travs de todo el ciclo de vida de desarrollo de sistemas se da entre los clientes de TI y los implementadores del sistema

IT GOVERNANCE INSTITUTE

91

DIRECTRICES DE AUDITORIA
Existe un compromiso apropiado por parte de las diferentes funciones/personas dentro de la organizacin (por ejemplo, administracin de la funcin de servicios de informacin, oficial de seguridad, personal del rea legal, personal de aseguramiento de la calidad, personal de auditora, usuarios, etc.) Existen mtricas para medir los resultados de las actividades, permitiendo una evaluacin sobre si se han logrado las metas de calidad Evaluar la suficiencia: Probando que: Los procedimientos para el desarrollo del Plan de Calidad de TI incluyen las siguientes entradas: Planes a corto y largo plazo de la organizacin Planes a corto y largo plazo de TI Poltica de Calidad de la organizacin Poltica de Calidad de TI Plan de Calidad de la organizacin Plan de administracin de la configuracin de TI El Plan de Calidad de TI toma como base los planes a corto y largo plazo de TI, los cuales definen: los esfuerzos y/o adquisiciones de desarrollo de sistemas de aplicacin interfases con otros sistemas (internos y externos) la plataforma/infraestructura de TI requerida para soportar los sistemas e interfases los recursos (tanto financieros como humanos) para desarrollar/soportar el ambiente de TI escogido como objetivo el entrenamiento requerido para desarrollar y soportar el ambiente de TI escogido como objetivo El Plan de Calidad de TI considera lo siguiente: en trminos medibles no ambiguos, el nivel planeado del servicio a ser otorgado a los clientes (internos o externos) en trminos medibles no ambiguos, las suspensiones temporales mximas para cada sistema y plataforma las estadsticas de desempeo requeridas para monitorear los objetivos planeados de desempeo/suspensiones temporales, incluyendo la manera en la que deben ser reportados y a quin deben ser distribuidos los procesos de monitoreo/revisin necesarios para asegurar el desarrollo/modificacin/transicin en el ambiente/ infraestructura de la funcin de servicios de informacin identificados en los planes a corto y largo plazo de TI: estn correctamente planeados, monitoreados, probados, documentados y cuentan con el entrenamiento y los recursos necesarios los intervalos en los que el Plan de Calidad debe ser actualizado El personal de aseguramiento de la Calidad cumple consistentemente con el enfoque y el plan de aseguramiento de la calidad y otros procedimientos operativos establecidos La metodologa del ciclo de vida de desarrollo de sistemas asegura apropiadamente: controles suficientes durante el proceso de desarrollo para sistemas y tecnologas nuevas comunicacin con todos los empleados apropiados involucrados en el desarrollo y mantenimiento de sistemas se utilizan procedimientos para los cambios tecnolgicos se utilizan procedimientos para asegurar la aceptacin y aprobacin de los usuarios la adecuacin de los acuerdos de terceras partes como implementadores Los usuarios comprenden los controles y requerimientos de la metodologa del ciclo de vida del desarrollo de sistemas Los mecanismos de control de cambios dentro de la metodologa del ciclo de vida del desarrollo de sistemas permiten el llevar a cabo cambios a la metodologa y sta es un documento "viviente"

92

IT GOVERNANCE INSTITUTE

DIRECTRICES DE AUDITORIA
El registro de las revisiones y modificaciones a la metodologa del ciclo de vida del desarrollo de sistemas de la organizacin refleja los nuevos sistemas y tecnologas actuales que estn siendo consideradas y esperados en el futuro Los resultados completos de las pruebas de programas y sistemas (incluyendo resultados de pruebas en paralelo/piloto) son revisados y conservados para pruebas futuras Existe un proceso para resolver problemas encontrados durante las pruebas Se ha llevado a cabo una revisin post-implementacin por parte del personal de aseguramiento de la calidad Los representantes del departamento usuario involucrados en los proyectos de desarrollo de sistemas estn satisfechos con el uso actual de la metodologa El personal de aseguramiento de la calidad comprende claramente su funcin dentro de la organizacin Se requiere el llevar a cabo una revisin de aseguramiento de la calidad subsecuente al trmino de todas las pruebas del sistema y de la revisin y aprobacin de los resultados de las pruebas por parte del personal de la administracin de TI apropiada, de aseguramiento de la calidad y de los usuarios La revisin de aseguramiento de la calidad trae como resultado acciones correctivas por parte de la administracin Se llevan a cabo revisiones post-implementacin, y los resultados son comunicados a la Presidencia y que se requieren planes de accin para las reas de implementacin con necesidad de mejoras. Los resultados de las mediciones de las metas de calidad, existen y se trabaja con ellos

Comprobar el riesgo de los objetivos de control no alcanzados: Llevando a cabo: Benchmarking de la metodologa del ciclo de vida de desarrollo de sistemas contra organizaciones similares o estndares internacionales de la industria considerados como buenas prcticas. Una revisin detallada de las medidas de desempeo incluidas en el Plan de Calidad y asegurar s stas: son alcanzables satisfacen los requerimientos/expectativas de la corporacin satisfacen los requerimientos/expectativas de los usuarios son medibles Una revisin detallada de una muestra de proyectos para asegurar que: se ha cumplido con la metodologa del ciclo de vida del desarrollo de sistemas toda adaptacin/escalamiento de la metodologa del ciclo de vida del desarrollo de sistemas es apropiada y ha sido aprobada se han obtenido aprobaciones en todos los puntos de revisin y por parte de todo el personal clave de control (por ejemplo, oficial de seguridad de TI, personal de aseguramiento de la calidad, representantes de los usuarios, etc.) se han dado una coordinacin y comunicacin estrechas entre los usuarios de TI y los implementadores de sistemas (internos o terceras partes) se ha seguido el marco referencial para la adquisicin y el mantenimiento para la infraestructura tcnica, junto con cualquier paso relevante involucrado el desarrollo/las modificaciones fueron terminados satisfactoria y oportunamente se terminaron los reportes apropiados de aseguramiento de la calidad y se llevaron a cabo las acciones correctivas necesarias de manera oportuna

IT GOVERNANCE INSTITUTE

93

DIRECTRICES DE AUDITORIA
Una revisin detallada de la manera en la que la documentacin de la programacin y los sistemas es preparada, revisada, aprobada y mantenida Una revisin detallada de la manera en la que las pruebas de programas y sistemas (incluyendo pruebas piloto/en paralelo) y la documentacin son preparadas, aprobadas y mantenidas Una revisin detallada del proceso de verificacin de post-implementacin de aseguramiento de la calidad para asegurar que los reportes consideran el cumplimiento de las provisiones del proceso del ciclo de vida del desarrollo de sistemas, as como los aspectos de efectividad y calidad de los sistemas nuevos/modificados Identificando: Planes de calidad que no se relacionen con los planes a corto y largo plazo Instancias en la que no se utilice la metodologa del ciclo de vida del desarrollo de sistemas y aquellas situaciones de sobre utilizacin de la metodologa (por ejemplo demasiada estructura en proyectos pequeos, y no suficiente en proyectos mayores) Las instancias en las que la metodologa del ciclo de vida del desarrollo de sistemas haya sido utilizada inapropiadamente (por ejemplo, aplicar la metodologa del ciclo de vida del desarrollo de sistemas para desarrollos internos en la implementacin de un paquete de software adquirido del anaquel16, sin modificarla de manera correspondiente) Instancias en las que la coordinacin y la comunicacin entre el personal involucrado en el proceso del ciclo de vida del desarrollo de sistemas (incluyendo terceras partes como implementadores) sean pobres o inexistentes Instancias en las que los distintos pasos a seguir en la adquisicin y mantenimiento de la infraestructura de tecnologa (por ejemplo, adquisicin, programacin, documentacin y pruebas; establecimiento de parmetros; mantenimiento y aplicacin de correcciones) no hayan sido seguidas adecuadamente Situaciones en las que no exista documentacin de los programas y/o sistemas, no sea inadecuada o no est actualizada Instancias en las que las pruebas de programas y/o sistemas (incluyendo pruebas piloto/en paralelo) no hayan sido llevadas a cabo, hayan sido realizadas inadecuadamente y/o no hayan sido documentadas o hayan sido documentadas inadecuadamente Situaciones en las que las verificaciones de revisiones/post implementacin de aseguramiento de la calidad no hayan sido llevadas a cabo o hayan sido realizadas inadecuadamente Situaciones en las que las verificaciones de revisiones/post implementacin de aseguramiento de la calidad hayan sido ignoradas por la administracin y en las que se hayan implementado sistemas que no deberan haber sido implementados

16 Del anaquel (off-the-shelf): se dice de productos de software terminados que pueden adquirirse directamente de un proveedor o distribuidor.

94

IT GOVERNANCE INSTITUTE

DIRECTRICES DE AUDITORIA

ADQUISICIN E IMPLEMENTACIN

IT GOVERNANCE INSTITUTE

95

DIRECTRICES DE AUDITORIA
OBJETIVOS DE CONTROL DE ALTO NIVEL
ADQUISICIN E IMPLEMENTACIN AI1
Planeacin & Organizacin

ef ec tiv ef ida i d c co nf ienc id en ia in c ia te li di gri dad sp da o d cu nib m ilid p co lim ad nf ien ia bi to lid ad

Adquisicin & Implementacin


Entrega & Soporte

Control sobre el proceso de TI de: Identificacin de soluciones automatizadas

Monitoreo

que satisface los requerimientos de negocio de: asegurar un enfoque de efectividad y eficiencia para satisfacer los requerimientos del usuario se hace posible a travs de: Una identificacin objetiva y clara as como un anlisis de oportunidades alternativas comparadas contra los requerimientos de los usuarios y toma en consideracin:
Conocimiento de soluciones disponibles en el

mercado
Metodologas de adquisicin e implementacin Participacin del usuario en la compra Alineamiento con las estrategias de la empresa y de

TI
definicin de requerimientos de informacin estudios de factibilidad ( de costo-beneficio,

3 3 3
g ap ente lic a te cion c e in nolo s st g al ac a io da nes to s

alternativas, etc.) Requerimientos de funcionalidad, operatividad, aceptabilidad y mantenimiento Cumplimiento con la arquitectura de informacin Costo-efectividad de la seguridad y el control Responsabilidad de proveedores

96

IT GOVERNANCE INSTITUTE

DIRECTRICES DE AUDITORIA
AI1 IDENTIFICACIN DE SOLUCIONES AUTOMATIZADAS

OBJETIVOS DE CONTROL
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 Definicin de Requerimientos de Informacin Formulacin de Cursos de accin Alternativos Formulacin de la Estrategia de Adquisicin Requerimientos de Servicios de Terceros Estudio de Factibilidad Tecnolgica Estudio de Factibilidad Econmica Arquitectura de Informacin Reporte de Anlisis de Riesgos Controles costo-efectivos de Seguridad Diseo de Pistas de Auditora Ergonoma Seleccin del Software del Sistema Control de Abastecimiento Adquisicin de Productos de Software Mantenimiento de Software de Terceras Partes Contratos de Programacin de Aplicaciones Aceptacin de Instalaciones Aceptacin de Tecnologa

LOS OBJETIVOS DE CONTROL TANTO DETALLADOS COMO DE ALTO NIVEL SON AUDITADOS AL: Obtener un entendimiento a travs de:
Entrevistas: Director de TI Oficial de Seguridad Presidencia de la funcin de servicios de informacin Propietarios/patrocinadores del proyecto Administracin de contratos Obteniendo: Polticas y procedimientos relacionados con el ciclo de vida de desarrollo de sistemas y con la adquisicin de software Objetivos y planes a corto y largo plazo de tecnologa de informacin Documentacin seleccionada del proyecto, incluyendo definicin de requerimientos, anlisis de alternativas, estudios de factibilidad tecnolgica, estudios de factibilidad econmica, anlisis de modelos de datos de la empresa / arquitectura de informacin, anlisis de riesgos, estudios de costo-efectividad sobre control/seguridad interna, anlisis de pistas de auditora, estudios ergonmicos, y planes de aceptacin y resultados de pruebas de instalaciones y tecnologa especfica Contratos seleccionados relacionados con la compra, desarrollo o mantenimiento de software

IT GOVERNANCE INSTITUTE

97

DIRECTRICES DE AUDITORIA
Evaluar los controles: Considerando si: Existen polticas y procedimientos que requieren que: los requerimientos de usuarios satisfechos por el sistema existente o a ser satisfechos por el nuevo sistema propuesto o modificado sean claramente definidos antes de la aprobacin de cualquier proyecto de desarrollo, implementacin o modificacin La documentacin de los requerimientos de los usuarios sean revisados y aprobados por escrito por el propietario/ patrocinador enterado antes de la aprobacin de cualquier proyecto de desarrollo, implementacin o modificacin que est en proceso de aprobacin los requerimientos operativos y funcionales de la solucin sean satisfechos incluyendo desempeo, seguridad, confiabilidad, compatibilidad y legislacin las soluciones alternativas a los requerimientos de los usuarios sean estudiadas y analizadas antes de seleccionar una u otra solucin de software se lleve a cabo la identificacin de paquetes de software comercial que satisfagan los requerimientos del usuario para un proyecto especfico de desarrollo o modificacin antes de tomar la decisin final las alternativas para la adquisicin de los productos de software estn claramente definidos en trminos de productos que se pueden adquirir en el mercado, internamente desarrollados, a travs de contratos o mejorar el software existente o una combinacin de todos los anteriores el propietario/patrocinador enterado prepare, analice y apruebe un estudio de factibilidad tcnica para cada alternativa con el fin de satisfacer los requerimientos establecidos por el usuario para el desarrollo de un proyecto de sistemas nuevo o modificado en cada proyecto de desarrollo, modificacin o implementacin de sistemas, se lleve a cabo un anlisis de los costos y los beneficios asociados con cada alternativa considerada para satisfacer los requerimientos del usuario el propietario/patrocinador enterado prepare, analice y apruebe un estudio de factibilidad econmica antes de tomar la decisin respecto a desarrollar o modificar un proyecto de sistemas nuevo o modificado propuesto se preste atencin al modelo de datos de la empresa mientras se identifica y analiza la factibilidad de las soluciones en cada proyecto de desarrollo, implementacin o modificacin de sistemas propuesto, se prepare y documente un anlisis de las amenazas a la seguridad, de las debilidades y los impactos potenciales y las salvaguardas factibles de seguridad y control interno para reducir o eliminar el riesgo identificado los costos y los beneficios de seguridad sean examinados cuidadosamente para garantizar que los costos de los controles no exceden los beneficios se obtenga una aprobacin formal del estudio costo/beneficio por parte de la administracin se requieran controles y pistas de auditora apropiados para ser aplicados en todos los sistemas modificados o nuevos propuestos durante la fase de diseo del proyecto las pistas de auditoria y los controles dan la posibilidad de proteger a los usuarios contra el descubrimiento o mal uso de su identidad por parte de otros usuarios (Ej., ofreciendo anonimato, pseudnimos, ausencia de vnculos o que no se puedan ver las claves) sin riesgo para la seguridad del sistema cada proyecto de desarrollo, implementacin o modificacin de sistemas propuesto preste atencin a los problemas ergonmicos asociados con la introduccin de sistemas automatizados la administracin de la funcin de servicios de informacin identifique todos los programas de software de sistemas potenciales que satisfarn sus requerimientos operativos los productos sean revisados y probados antes de ser adquiridos y utilizados la compra de productos de software siga las polticas de adquisicin de la organizacin definiendo el marco referencial para la creacin de la solicitud de propuesta17, la seleccin del proveedor de software y la negociacin del contrato.
17 Solicitud de propuesta (request for proposal, RFP): invitacin que se extiende a proveedores para que presenten una propuesta.

98

IT GOVERNANCE INSTITUTE

DIRECTRICES DE AUDITORIA
para el software con licencia adquirido de terceras partes, los proveedores cuenten con procedimientos apropiados para validar, proteger y mantener los derechos de integridad de los productos de software la adquisicin de servicios de programacin por contrato se justifique a travs de una requisicin de servicios por escrito por parte de un miembro designado de la funcin de servicios de informacin se acuerde en el contrato con el proveedor un plan de aceptacin de las instalaciones y que dicho plan defina los procedimientos y criterios de aceptacin los productos finales de los servicios de programacin por contrato terminados sean revisados y probados de acuerdo con los estndares establecidos por el grupo de aseguramiento de la calidad de la funcin de servicios de informacin y otras partes interesadas antes de pagar por el trabajo realizado y aprobar el producto final se acuerde en el contrato con los proveedores un plan de aceptacin para tecnologa especfica, y que dicho plan defina los procedimientos y criterios de aceptacin la adquisicin de servicios de programacin por contrato sea justificada a travs de un requerimiento escrito de servicios por parte de un miembro designado de la funcin de servicios de informacin Se lleve a cabo un anlisis de riesgos en lnea con el marco referencial general de evaluacin de riesgos Existen los mecanismos para asignar o mantener los atributos de seguridad para la exportacin e importacin de datos, y para interpretarlos correctamente. La administracin haya desarrollado e implementado un enfoque de adquisicin central, que describa un conjunto comn de procedimientos y estndares a ser seguidos en la adquisicin de hardware, software y servicios de tecnologa de informacin Los contratos estipulen que el software, la documentacin y otros elementos entregables sean sujetos a pruebas y revisiones antes de ser aceptados Las pruebas incluidas en las especificaciones del contrato consisten en pruebas de sistema, pruebas de integracin, pruebas de hardware y componentes, pruebas de procedimientos, pruebas de carga y estrs, pruebas de afinamiento y desempeo, pruebas de regresin, pruebas de aceptacin del usuario, y finalmente, pruebas piloto del sistema total para evitar cualquier falla inesperada del sistema Las pruebas de aceptacin de instalaciones son llevadas a cabo para garantizar que stas y el ambiente, satisfacen los requerimientos especificados en el contrato Las pruebas de aceptacin de tecnologa especfica deberan incluir pruebas de inspeccin, pruebas de funcionalidad y registro de las cargas de trabajo Evaluar la suficiencia: Probando que: Los requerimientos de los usuarios satisfechos por el sistema existente y a ser satisfechos por el sistema nuevo propuesto o modificado hayan sido claramente definidos, revisados y aprobados por escrito por parte del usuario antes del desarrollo, implementacin o modificacin del proyecto Los requerimientos de las soluciones funcionales y operativas sean satisfechos incluyendo desempeo, seguridad, confiabilidad, compatibilidad y legislacin Todas las debilidades y deficiencias de procesamiento en el sistema existente hayan sido identificadas y sean tomadas en cuenta y resueltas completamente por el sistema nuevo propuesto o por el modificado Los cursos de accin alternativos que satisfarn los requerimientos de los usuarios, establecidos para un sistema nuevo o modificado propuesto, hayan sido analizados apropiadamente Los paquetes de software comercial que satisfagan las necesidades de un proyecto particular de desarrollo o modificacin de sistemas hayan sido identificados y considerados apropiadamente Todos los costos y beneficios identificables asociados con cada alternativa hayan sido soportados apropiadamente e incluidos como parte del estudio de factibilidad econmica requerido

IT GOVERNANCE INSTITUTE

99

DIRECTRICES DE AUDITORIA
Se haya prestado atencin al modelo de datos de la arquitectura de informacin/empresa como solucin al identificar y analizar su factibilidad El reporte de anlisis de riesgos en cuanto a amenazas a la seguridad, vulnerabilidades e impactos potenciales y las salvaguardas factibles de seguridad y control interno para reducir o eliminar los riesgos identificados sea preciso, completo y suficiente Los problemas de seguridad y control interno hayan sido tomados en cuenta apropiadamente en la documentacin del diseo del sistema La aprobacin de la administracin en cuanto a que los controles existentes y planeados son suficientes y aportan beneficios apropiados comparados con los costos de prdidas Existen mecanismos disponibles para las pistas de auditora o que stos pueden ser desarrollados para la solucin identificada y seleccionada Se ha tomado en cuenta un diseo amigable al usuario para mejorar las habilidades finales de ste durante el diseo del sistema y el desarrollo de diseo de pantallas, formatos de reporte, facilidades de ayuda en lnea, etc. Se han considerado aspectos ergonmicos durante el diseo y el desarrollo del sistema Se han incluido aspectos de desempeo de usuarios (por ejemplo, tiempo de respuesta del sistema, capacidades de carga/descarga, y reportes de propsito especfico) en las especificaciones de requerimientos del sistema antes de su diseo y desarrollo La identificacin de todos los programas potenciales de software del sistema que satisfacen los requerimientos operativos La funcin de servicios de informacin cumpla con un conjunto comn de procedimientos y estndares en la adquisicin de hardware, software y servicios relacionados con tecnologa de informacin Los productos adquiridos sean revisados y probados antes de ser usados y pagados completamente El acuerdo de compra de software permite al usuario tener una copia del cdigo fuente del programa, si aplica Las actualizaciones de los productos de software, las renovaciones de tecnologa y las correcciones son especificadas en los documentos de adquisicin El mantenimiento de terceras partes incluye los requerimientos de validacin proteccin y mantenimiento de la integridad del producto de software El personal de programacin por contrato trabaja sujetndose al mismo nivel de pruebas, revisin y aprobaciones que se exige a los programadores propios de la organizacin La funcin de aseguramiento de la calidad de la organizacin es responsable de la revisin y aprobacin del trabajo llevado a cabo por los programadores por contrato Se tiene en cuenta la propiedad y suficiencia del plan de aceptacin de instalaciones, incluyendo los procedimientos y criterios de aceptacin La propiedad y suficiencia del plan especfico de aceptacin de tecnologa, incluyendo inspecciones, pruebas de funcionalidad y pruebas de carga de trabajo Comprobar el riesgo de los objetivos de control no alcanzados: Llevando a cabo: Benchmarking de la identificacin de requerimientos de los usuarios para conseguir soluciones automatizadas contra organizaciones similares o estndares internacionales de la industria considerados como buenas prcticas. Una revisin detallada de: la identificacin de soluciones automatizadas para satisfacer los requerimientos del usuario (incluyendo la definicin de requerimientos del usuario, formulacin de cursos de accin alternativos; identificacin de paquetes de software comercial y elaboracin de estudios de factibilidad de desempeo tecnolgico, de factibilidad econmica, de arquitectura de informacin y de anlisis de riesgos)

100

IT GOVERNANCE INSTITUTE

DIRECTRICES DE AUDITORIA
la seguridad, los controles internos (incluyendo la consideracin de diseos amigables al usuario, ergonoma, etc.) y las pistas de auditora disponibles o "desarrollables" para la solucin identificada y seleccionada la seleccin e implementacin del software del sistema las polticas y procedimientos existentes de adquisicin de software para la adecuacin y el cumplimiento del control interno de la organizacin la manera en la que se administra el mantenimiento realizado por terceras partes la manera en la que la programacin de aplicacin por contrato ha sido monitoreada y administrada El proceso de aceptacin de las instalaciones para asegurar que stas y las pruebas ambientales satisfagan los requerimientos especificados en el contrato el proceso de aceptacin de tecnologa especfica para asegurar que las inspecciones, pruebas de funcionalidad y pruebas de carga de trabajo satisfacen los requerimientos especificados en el contrato

Identificando: Las deficiencias en la metodologa del ciclo de vida del desarrollo de sistemas de la organizacin Soluciones que no satisfacen los requerimientos del usuario Tentativas de desarrollo de sistemas que: no hayan considerado cursos alternativos de accin, trayendo como resultado una solucin ms costosa no hayan considerado los paquetes de software comercial que podran haber sido implementados en menos tiempo y a un menor costo no hayan considerado la factibilidad tecnolgica de las alternativas o hayan considerado inapropiadamente la factibilidad tecnolgica de la solucin elegida, trayendo como resultado que no se podra implementar la solucin como fue diseada originalmente hayan hecho suposiciones equivocadas en el estudio de factibilidad econmica, trayendo como resultado la eleccin del curso de accin incorrecto no hayan considerado el modelo de datos de la arquitectura de informacin/empresa, trayendo como resultado la eleccin del curso de accin incorrecto no hayan conducido anlisis de riesgos slidos, y consecuentemente, no hayan identificado adecuadamente los riesgos (incluyendo amenazas, vulnerabilidades e impactos potenciales) o los controles internos y de seguridad para reducir o eliminar los riesgos identificados Soluciones que: estuvieran ya sea sobre controladas o no controladas suficientemente debido a que el costo-efectividad de los controles y la seguridad fueron examinados inapropiadamente no hayan contado con pistas de auditora adecuadas no hayan considerado los aspectos ergonmicos y de diseo amigable para el usuario, trayendo como resultado errores en la entrada de datos que podran haber sido evitados no hayan seguido el enfoque de adquisiciones establecido por la organizacin, trayendo como resultado costos adicionales creados por la organizacin La falta de software de sistemas necesario La inefectividad del software de sistemas debido al establecimiento incorrecto de parmetros Mantenimiento de software de terceras partes que no haya satisfecho los trminos del contrato, trayendo como resultado que se afecte negativamente a la organizacin en el logro de su misin y/o metas

IT GOVERNANCE INSTITUTE

101

DIRECTRICES DE AUDITORIA
Programas de aplicacin por contrato que no hayan satisfecho los trminos del contrato, trayendo como consecuencia costos adicionales a la organizacin, atraso en la implementacin de los sistemas, etc. Situaciones en las que las instalaciones hayan sido aceptadas sin probar completamente el ambiente, trayendo como consecuencia no satisfacer los requerimientos de los usuarios y/o no cumplir con los trminos del contrato Las instancias en las que se haya aceptado una tecnologa especfica, pero que no se hayan llevado a cabo adecuadamente inspecciones, pruebas de funcionalidad y pruebas de carga de trabajo, trayendo como resultado el que la tecnologa no satisfaga los requerimientos del usuario y/o no cumpla con los trminos del contrato Cualquier falla del sistema

102

IT GOVERNANCE INSTITUTE

DIRECTRICES DE AUDITORIA

PAGINA INTENCIONALMENTE EN BLANCO

IT GOVERNANCE INSTITUTE

103

DIRECTRICES DE AUDITORIA
OBJETIVOS DE CONTROL DE ALTO NIVEL
ADQUISICIN E IMPLEMENTACIN AI2
Planeacin & Organizacin

ef ec tiv ef ida co icie d nf id ncia en in c ia te li di gri dad sp da o d cu nib i m lid p co lim ad nf ien ia bi to lid ad

Adquisicin & Implementacin


Entrega & Soporte

Control sobre el proceso de TI de: adquisicin y mantenimiento de software de aplicacin que satisface los requerimientos de negocio de: proporcionar funciones automatizadas que soporten efectivamente al negocio se hace posible a travs de: la definicin de declaraciones especficas sobre requerimientos funcionales y operacionales y una implementacin por fases con entregables claros y toma en consideracin:
Pruebas funcionales y de aceptacin Controles de aplicacin y requerimientos de Monitoreo

seguridad Requerimientos de documentacin Ciclo de vida del software de aplicacin Arquitectura de informacin de la empresa Metodologa del ciclo de vida de desarrollo del sistema Interfaz usuario mquina personalizacin de paquetes

3
g ap ente lic a te cion cn e in olo s st g al ac a io da nes to s

104

IT GOVERNANCE INSTITUTE

DIRECTRICES DE AUDITORIA
AI 2 ADQUISICIN Y MANTENIMIENTO DE SOFTWARE DE APLICACIN

OBJETIVOS DE CONTROL
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 Mtodos de Diseo Cambios Significativos a Sistemas Actuales Aprobacin del Diseo Definicin y Documentacin de Requerimientos de Archivos Especificaciones de Programas Diseo para la Recopilacin de Datos Fuente Definicin y Documentacin de Requerimientos de Entrada de Datos Definicin de Interfases Interfase Usuario - Mquina Definicin y Documentacin de Requerimientos de Procesamiento Definicin y Documentacin de Requerimientos de Salida de Datos Controles Disponibilidad como Factor Clave de Diseo Definiciones de TI sobre Integridad para el Software de Programas de Aplicacin Pruebas de Software de Aplicacin Materiales de Consulta y Soporte para Usuario Reevaluacin del Diseo del Sistema

LOS OBJETIVOS DE CONTROL TANTO DETALLADOS COMO DE ALTO NIVEL SON AUDITADOS AL: Obtener un entendimiento a travs de:
Entrevistas:

Director de TI Oficial de Seguridad Presidencia de TI Propietarios / patrocinadores de proyectos


Obteniendo:

Polticas y procedimientos relacionados con la metodologa del ciclo de vida del desarrollo de sistemas Objetivos y planes a corto y largo plazo de tecnologa de informacin Documentacin seleccionada del proyecto, incluyendo aprobaciones de diseos, definicin de requerimientos de archivo, especificaciones de programas, diseo de recopilacin de datos fuente, definicin de requerimientos de entrada, interfase usuario - mquina, definicin de requerimientos de procesamiento, definicin de requerimientos de salida, requerimientos de control interno/seguridad, requerimientos de disponibilidad, provisiones para la integridad de tecnologa de informacin, plan de pruebas y resultados del software de aplicacin, materiales de soporte y referencia para usuarios y reevaluacin del diseo del sistema

IT GOVERNANCE INSTITUTE

105

DIRECTRICES DE AUDITORIA
Evaluar los controles: Considerando si: Las polticas y procedimientos aseguran: la metodologa del ciclo de vida de desarrollo de sistemas de la organizacin aplica tanto para el desarrollo de nuevos sistemas como para modificaciones mayores a sistemas existentes y participacin del usuario el vnculo con el usuario al crear las especificaciones de diseo y al verificar stas contra los requerimientos del usuario en el caso de cambios mayores a los sistemas existentes, se observe un proceso de ciclo de vida de desarrollo de sistemas similar al utilizado en los casos de desarrollo de nuevos sistemas las especificaciones de diseo sean aprobadas por la administracin, los departamentos usuarios afectados y la Gerencia de la organizacin, cuando esto sea apropiado para todos los nuevos proyectos de desarrollo y para los proyectos de modificacin de sistemas se aplica un proceso apropiado para definir y documentar el formato de archivos para cada proyecto nuevo de desarrollo o modificacin de sistemas, incluyendo requerimientos para que se respeten las reglas de diccionario de datos se preparan especificaciones detalladas de programas para cada proyecto de desarrollo o modificacin de informacin, y que estas especificaciones concuerdan con las especificaciones del diseo del sistema se especifican los mecanismos adecuados para la recoleccin y captura de datos para cada proyecto nuevo o modificado de desarrollo de sistemas se especifican los mecanismos adecuados para la recopilacin y entrada de datos para cada nuevo proyecto de desarrollo o modificacin de sistemas existen mecanismos adecuados para la definicin y documentacin de los requerimientos de entrada para cada proyecto nuevo de desarrollo o modificacin de sistemas existe el desarrollo de una interfase entre el usuario y la mquina fcil de utilizar y auto-documentable (por medio de funciones de ayuda en lnea) existen mecanismos adecuados para la definicin y documentacin de las interfaces internas y externas para cada proyecto de desarrollo o modificacin de sistemas existen mecanismos adecuados para la definicin y documentacin de los requerimientos de procesamiento para cada nuevo proyecto de desarrollo o modificacin de sistemas existen mecanismos adecuados para la definicin y documentacin de los requerimientos de salida para cada nuevo proyecto de desarrollo o modificacin de sistemas se especifican mecanismos adecuados para asegurar los requerimientos de seguridad y control internos para cada proyecto nuevo de desarrollo o modificacin de sistemas los requerimientos de seguridad y control interno incluyen controles de aplicacin que garantizan la exactitud, completitud, oportunidad y autorizacin de entradas y salidas se considera la disponibilidad en el proceso de diseo de sistemas nuevos o modificados en la etapa ms temprana posible, y que esta consideracin debe analizar, en caso necesario, un incremento a travs de mejoras de mantenimiento y confiabilidad los programas de aplicacin contienen definiciones que verifican rutinariamente las tareas llevadas a cabo por el software para ayudar a asegurar la integridad en la recuperacin de la informacin a travs de roll-back u otros procesos similares el software de aplicacin es probado de acuerdo con el plan de pruebas del proyecto y los estndares establecidos antes de ser aprobado por el usuario se preparan manuales adecuados de soporte y referencia para usuarios (preferiblemente en formato electrnico) como parte del proceso de desarrollo o modificacin de cada sistema

106

IT GOVERNANCE INSTITUTE

DIRECTRICES DE AUDITORIA
el diseo del sistema es reevaluado siempre que ocurren discrepancias tecnolgicas y/o lgicas significativas durante el desarrollo o el mantenimiento del sistema La metodologa del ciclo de vida de desarrollo de sistemas asegura que los materiales de soporte y referencia para usuarios son actualizados de manera precisa y oportuna La metodologa de ciclo de vida de desarrollo de sistemas requiere el llevar a cabo una evaluacin de sensibilidad durante la iniciacin del desarrollo o modificacin de nuevos sistemas La metodologa de ciclo de vida de desarrollo de sistemas requiere la evaluacin de los aspectos bsicos de seguridad y control interno de un sistema nuevo a ser desarrollado o modificado, junto con el diseo conceptual del sistema, con el fin de integrar los conceptos de seguridad en el diseo lo ms pronto posible La metodologa del ciclo de vida de desarrollo de sistemas requiere que los aspectos de seguridad lgica y de las aplicaciones sean considerados e incluidos en el diseo de nuevos sistemas o modificaciones de sistemas existentes La evaluacin de los aspectos de control internos y de seguridad est basada en un buen marco referencial Los sistemas de Inteligencia Artificial estn funcionando en una interaccin o en el marco referencial de control con los operadores humanos para asegurar que las decisiones importantes sean aprobadas. La revelacin de informacin sensitiva que se utiliza durante las pruebas de la aplicacin se reduce ya sea con limitaciones severas de acceso o la despersonalizacin de los datos histricos. Evaluar la suficiencia: Probando que: La participacin del usuario en el proceso de ciclo de vida de desarrollo de sistemas es significativa La metodologa del ciclo de vida de desarrollo de sistemas asegura que existe un proceso que considera apropiadamente todos los aspectos de diseo de sistemas (por ejemplo, entrada, procesamiento, salida, controles internos, seguridad, recuperacin en caso de desastre, tiempo de respuesta, reportes, control de cambios, etc.) Los usuarios clave de los sistemas estn involucrados en el proceso del diseo del sistema Que la revisin del diseo y el proceso de aprobacin aseguran que todos los problemas han sido resueltos antes de comenzar a trabajar sobre la siguiente fase del proyecto Los cambios mayores a los sistemas existentes aseguran que stos han sido desarrollados utilizando una metodologa de ciclo de vida de desarrollo de sistemas similar a la utilizada para el desarrollo de nuevos sistemas Existen los procedimientos de aprobacin del diseo para asegurar que la programacin del sistema no se inicie hasta que se hayan obtenido las aprobaciones correspondientes Los requerimientos de archivo y la documentacin del sistema, as como el diccionario de datos, son consistentes con los estndares Se aprueban las especificaciones finales de archivos Las especificaciones de programacin concuerdan con las especificaciones del diseo del sistema Las especificaciones del diseo de recoleccin de datos y de entrada de datos concuerdan Existen las especificaciones del diseo de la interfase usuario - mquina Las especificaciones usuario - mquina son fciles de usar y utilizan funciones de auto documentacin (utilizando facilidades de ayuda en lnea). Se documenten las interfaces internas y externas Los requerimientos de procesamiento forman parte de las especificaciones del diseo Los requerimientos de salida forman parte de las especificaciones del diseo

IT GOVERNANCE INSTITUTE

107

DIRECTRICES DE AUDITORIA
Los requerimientos de seguridad y control interno forman parte de las especificaciones del diseo Las especificaciones de diseo de los requerimientos de controles de aplicacin garantizan la precisin, suficiencia, oportunidad y autorizacin de las entradas y las salidas Los requerimientos de seguridad y control interno han sido incluidos en el diseo conceptual del sistema (ya sea nuevo o modificado) lo ms tempranamente posible El oficial de seguridad est involucrado activamente en el proceso de diseo, desarrollo e implementacin del proyecto del nuevo sistema o de modificacin del sistema El diseo del sistema determina si se han cuantificado las mejoras de disponibilidad/confiabilidad en trminos de tiempo y de procedimientos ms eficientes en comparacin con mtodos anteriores, en caso de aplicar Las provisiones de programas de aplicacin verifican rutinariamente las tareas llevadas a cabo por el software para asegurar la integridad de los datos Existe un plan de pruebas del proyecto y un proceso de aprobacin del usuario Los materiales de soporte y referencia para usuarios, as como las facilidades de ayuda en lnea estn disponibles La funcin de "Help Desk" apoya efectivamente a los usuarios para solucionar problemas de procesamiento cada vez ms complejos El proceso para escalar los aspectos que atiende el Help Desk incluye el seguimiento, monitoreo y reporte de tales problemas a la administracin de la funcin de servicios de informacin apropiada Se requiere la existencia de mecanismos para actualizar la documentacin de los usuarios Existe la comunicacin sobre los cambios a la documentacin de los usuarios Se da el proceso de reevaluacin siempre que ocurren discrepancias tecnolgicas y/o lgicas significativas

Comprobar el riesgo de los objetivos de control no alcanzados: Llevando a cabo: Benchmarking de los costos de adquirir y desarrollar software de aplicacin contra organizaciones similares o estndares internacionales de la industria considerados como buenas prcticas. Una revisin detallada de: documentacin del diseo del sistema para evaluar la adecuacin de las especificaciones del diseo y el cumplimiento del diseo en cuanto a dichas especificaciones proyectos de desarrollo o modificacin de nuevos sistemas, determinando si los documentos de especificacin del diseo han sido revisados y aprobados por la administracin de la funcin de servicios de informacin y las funciones de los usuarios afectados, as como por la Presidencia de la organizacin cuando esto sea apropiado documentacin del software para asegurar que los requerimientos de archivo (por lo menos para los archivos mencionados a continuacin) son comprendidos claramente por el equipo de implementacin del proyecto y estn siendo estructurados por sistema y requerimientos del usuario, as como por las reglas de diccionario de datos de la organizacin: Maestro Transacciones Comando Programa Control Tablas Reportes Impresin Bitcora

108

IT GOVERNANCE INSTITUTE

DIRECTRICES DE AUDITORIA
Transmisin proyectos de desarrollo o modificacin de nuevos sistemas para asegurar que los archivos, programas, instrumentos de recopilacin de datos fuente, entradas, interfaces usuario - mquina, pasos de procesamiento y salidas identificados en diagramas de flujo/diagramas de flujo de datos, corresponden a las especificaciones varias del diseo del sistema proyectos de desarrollo o modificacin de nuevos sistemas para determinar que siempre que se identifiquen discrepancias tcnicas y/o lgicas, ocurra un proceso efectivo de reevaluacin del diseo del sistema proyectos de desarrollo o modificacin de nuevos sistemas para determinar la existencia de cualquier discrepancia de diseo tcnico o cualquier cambio funcional necesario proyectos de desarrollo o modificacin de nuevos sistemas y diseos conceptuales de sistemas para evaluar la adecuacin de las provisiones de seguridad y control interno que aseguren la precisin, la suficiencia, la oportunidad y la autorizacin de las entradas y salidas, as como la integracin de los conceptos de seguridad en el diseo lo ms tempranamente posible proyectos de desarrollo o modificacin de nuevos sistemas para evaluar el diseo a la luz de una mayor confiabilidad y disponibilidad para el usuario final, as como de la facilidad de dar mantenimiento por el personal de mantenimiento de la funcin de servicios de informacin proyectos para evaluar lo adecuado de la verificacin de integridad de los datos de los programas de aplicacin proyectos de desarrollo o modificacin de nuevos sistemas para asegurar que los materiales de referencia para los usuarios son actuales y consistentes con la documentacin del sistema y que stos satisfacen completamente las necesidades del usuario Una revisin detallada de la efectividad de: el proceso de especificacin de programas para asegurar que stos estn escritos de acuerdo a las especificaciones del diseo del usuario el proceso de especificacin de entradas para asegurar que los programas estn escritos de acuerdo a las especificaciones del diseo del usuario el proceso de especificacin de interfase usuario - mquina para asegurar que los programas estn escritos de acuerdo a las especificaciones del diseo del usuario el proceso de especificacin de procesamiento para asegurar que los programas estn escritos de acuerdo a las especificaciones del diseo del usuario el proceso de especificacin de salidas para asegurar que los programas estn escritos de acuerdo a las especificaciones del diseo del usuario Una revisin detallada de los estndares de prueba de la organizacin y la implementacin de los planes de pruebas relacionados para proyectos seleccionados de desarrollo y modificacin de nuevos sistemas Una revisin detallada de la satisfaccin del usuario con el sistema, sus reportes, la documentacin y material de referencia para el usuario, las facilidades de ayuda, etc. Identificando: Deficiencias en la metodologa de ciclo de vida de desarrollo de sistemas utilizada para los proyectos de desarrollo o modificacin de nuevos sistemas Especificaciones de diseo que no reflejen los requerimientos del usuario Requerimientos de archivo que no sean consistentes con las reglas de diccionario de datos de la organizacin Proyectos de desarrollo o modificacin de nuevos sistemas que contengan archivos, programas, seleccin de datos fuente, entradas, interfaces usuario - mquina, procesamiento, requerimientos de salida y/o Controles inadecuadamente definidos Proyectos de desarrollo o modificacin de nuevos sistemas en los que la disponibilidad no haya sido considerada en el proceso de diseo Deficiencias en la integridad de los datos en software de programas de aplicacin en proyectos de desarrollo o modificacin de nuevos sistemas Deficiencias en los estndares de pruebas de la organizacin, trayendo como consecuencia la implementacin de sistemas que procesan incorrectamente los datos, y emiten incorrectamente reportes Deficiencias en los planes de prueba en proyectos nuevos de desarrollo o modificacin de sistemas Deficiencias en los materiales de soporte y referencia para usuarios en proyectos nuevos de desarrollo o modificacin de sistemas
IT GOVERNANCE INSTITUTE

109

DIRECTRICES DE AUDITORIA
OBJETIVOS DE CONTROL DE ALTO NIVEL
ADQUISICION E IMPLEMENTACION AI3
Planeacin & Organizacin

ef ec tiv ef ida i co cie d nf id ncia en in c ia te li di gri dad sp da o d cu nib i l m p id co lim ad nf ien ia bi to lid ad

Adquisicin & Implementacin


Entrega & Soporte

Control sobre el proceso de TI de: adquisicin y mantenimiento de infraestructura tecnolgica que satisface los requerimientos de negocio de: proporcionar las plataformas apropiadas para soportar aplicaciones de negocios se hace posible a travs de: La adquisicin juiciosa de hardware y software, estandarizacin del software, anlisis del desempeo del hardware y software y administracin consistente del sistema y toma en consideracin:
Cumplimiento con las direcciones y estndares de la Monitoreo

infraestructura tecnolgica evaluacin de tecnologa Instalacin, mantenimiento y control sobre cambios Planes de actualizacin, conversin y actualizacin Uso de infraestructuras y/o recursos internos y externos Responsabilidades y relaciones de los proveedores Administracin de cambios Costo total de propiedad Seguridad del software del sistema

3
g ap ente lic a te cion cn e in olo s st g al ac a io da nes to s

110

IT GOVERNANCE INSTITUTE

DIRECTRICES DE AUDITORIA
AI 3 ADQUISICIN Y MANTENIMIENTO DE LA INFRAESTRUCTURA TECNOLGICA

OBJETIVOS DE CONTROL
1. 2. 3. 4. 5. 6 7 Evaluacin de Nuevo Hardware y Software Mantenimiento Preventivo para Hardware Seguridad del Software del Sistema Instalacin del Software del Sistema Mantenimiento del Software del Sistema Controles de Cambios para el Software del Sistema Uso y Monitoreo de los Utilitarios del Sistema

LOS OBJETIVOS DE CONTROL TANTO DETALLADOS COMO DE ALTO NIVEL SON AUDITADOS AL:
Obtener un entendimiento travs de: Entrevistas: Comit de Planeacin de TI Gerente de TI Gerencia media de TI Obteniendo: Polticas y procedimientos relacionados con la adquisicin, implementacin y mantenimiento de hardware y software Roles y responsabilidades de la Gerencia media de apoyo Objetivos y planes a corto y largo plazo de TI Reportes de estatus y minutas de reuniones Documentacin sobre vendedores de hardware y software Contratos de arrendamiento o acuerdos de arrendamiento con opcin de compra de hardware y software Evaluar los controles: Considerando si: Existen polticas y procedimientos que aseguran que: se prepara un plan de evaluacin formal para evaluar el nuevo hardware y software en cuanto a cualquier impacto sobre el desempeo global del sistema la posibilidad de acceso al software del sistema y con ella, la posibilidad de interrumpir los sistemas de informacin operativa est limitada la preparacin, instalacin y mantenimiento del software del sistema no amenaza la seguridad de los datos y programas almacenados en el sistema se seleccionan parmetros del software del sistema para asegurar la integridad de los datos y programas almacenados en el sistema el software del sistema es instalado y mantenido de acuerdo con el marco referencial de adquisicin y mantenimiento de la infraestructura de tecnologa
IT GOVERNANCE INSTITUTE

111

DIRECTRICES DE AUDITORIA
los proveedores de software del sistema proveen declaraciones de aseguramiento de la integridad como parte de su software y todas las modificaciones al mismo la prueba global (por ejemplo, utilizando una metodologa de ciclo de vida de desarrollo de sistemas) de software del sistema ocurre antes de que ste sea introducido al ambiente de produccin los passwords o contraseas de instalacin proporcionados por el proveedor de software son modificados al momento de la instalacin y que los cambios al software del sistema son controlados en lnea con los procedimientos de administracin de cambios de la organizacin Existen polticas y procedimientos para el mantenimiento preventivo de hardware (tanto el operado por la funcin de servicios de informacin como por las funciones de los usuarios afectados) para reducir la frecuencia y el impacto de las fallas de desempeo Se cumple con los pasos y la frecuencia de mantenimiento preventivo prescritos por el proveedor para cada dispositivo de hardware operado por la funcin de servicios de informacin y los usuarios afectados se adhieren a ellos. Existen polticas y tcnicas para monitorear el uso de los utilitarios del sistema Las responsabilidades por el uso de utilitarios de software sensitivo estn claramente definidas y entendidas por los programadores y el uso de esos utilitarios es monitoreado y rastreado.

Evaluar la suficiencia: Probando que: Existen las declaraciones de aseguramiento de la integridad del software del sistema entregados por los proveedores para todo el software del sistema (incluyendo todas las modificaciones) y considera las exposiciones resultantes en el software del sistema La evaluacin del desempeo trae como resultado la comparacin con los requerimientos del sistema Existe un proceso formal aprobado de evaluacin del desempeo El calendario de mantenimiento preventivo asegura que el mantenimiento de hardware programado no tendr ningn impacto negativo sobre aplicaciones crticas o sensitivas El mantenimiento programado asegura que no ha sido planeado para perodos pico de carga de trabajo y que la funcin de servicios de informacin y las operaciones de los grupos de usuarios afectados son suficientemente flexibles para adaptar el mantenimiento preventivo rutinario planeado Los programas operativos de servicios de informacin aseguran que existen las preparaciones adecuadas para manejar anticipadamente los tiempos muertos de hardware ocasionados por mantenimiento no programado Los parmetros del software del sistema aseguran que el personal apropiado de TI seleccion los correctos con el fin de asegurar la integridad de los datos y los programas almacenados en el sistema El acceso se restringe nicamente a un nmero limitado de operadores dentro de la funcin de servicios de informacin El software del sistema es instalado y mantenido de acuerdo con el marco referencial de adquisicin y mantenimiento para la infraestructura de tecnologa Se llevan a cabo pruebas completas (utilizando una metodologa de ciclo de vida de desarrollo de sistemas) para todo el software del sistema antes de autorizar su introduccin al ambiente de produccin Todos los passwords o contraseas de instalacin del software del sistema proporcionados por los proveedores fueron cambiados al momento de la instalacin Todos los cambios al software del sistema fueron controlados de acuerdo con los procedimientos de administracin de cambios de la organizacin

112

IT GOVERNANCE INSTITUTE

DIRECTRICES DE AUDITORIA
La administracin del sistema (por ejemplo, adicin de nuevos usuarios al sistema y a las redes; creacin y respaldo de bases de datos, asignacin de espacio para almacenamiento de datos, prioridades del sistema, etc.) se restringen nicamente a un nmero limitado de operadores dentro de la funcin de servicios de informacin

Comprobar el riesgo de los objetivos de control no alcanzados: Llevando a cabo: Benchmarking de la adquisicin, implementacin y mantenimiento de hardware y software contra organizaciones similares o estndares internacionales de la industria considerados como buenas prcticas. Una revisin de tallada de: la documentacin de sistemas operacionales o proyectos de desarrollo o modificacin de sistemas para determinar si los requerimientos formales de desempeo de hardware y software (incluyendo referencias para volumen de transaccin, tiempos de procesamiento y respuesta, tamaos de archivos y bases de datos, volmenes de redes y compatibilidad de protocolos de comunicaciones) existen para todos los sistemas prcticas de mantenimiento de hardware para determinar si el mantenimiento est siendo llevado a cabo de acuerdo con los lineamientos del proveedor y programados de tal manera que no afecte el desempeo global del sistema documentacin seleccionada de sistemas operacionales y sistemas en desarrollo o modificacin para evaluar las habilidades potenciales para burlar las restricciones de seguridad de acceso lgicas existentes proporcionadas por el software del sistema instalacin, mantenimiento del sistema y controles de cambio para asegurar el cumplimiento con el marco referencial de adquisicin y mantenimiento para la infraestructura de tecnologa y la integridad del sistema que es mantenida Identificando: Evaluaciones de desempeo que hayan afectado el desempeo global del sistema Problemas de mantenimiento preventivo que hayan afectado el desempeo global del sistema Debilidades en la preparacin, instalacin y mantenimiento de software del sistema (incluyendo la seleccin de parmetros inapropiados de software del sistema) que hayan amenazado la seguridad de los datos y los programas almacenados en el sistema Debilidades en las pruebas de software del sistema que pudieran amenazar la seguridad de los datos y los programas almacenados en el sistema Debilidades en el proceso de control de cambios del software del sistema que pudieran amenazar la seguridad de los datos y los programas almacenados en el sistema

IT GOVERNANCE INSTITUTE

113

DIRECTRICES DE AUDITORIA
OBJETIVOS DE CONTROL DE ALTO NIVEL
ADQUISICIN E IMPLEMENTACIN AI4
Planeacin & Organizacin

ef ec tiv ef ida i d c co nf ienc id en ia in c ia te li di gri dad sp da o d cu nib m ilid p co lim ad nf ien ia bi to lid ad

Adquisicin & Implementacin


Entrega & Soporte

Control sobre el proceso de TI de: desarrollo y mantenimiento de procedimientos que satisface los requerimientos de negocio de: asegurar el uso apropiado de las aplicaciones y de las soluciones tecnolgicas establecidas se hace posible a travs de: un enfoque estructurado del desarrollo de manuales de procedimientos de operaciones para usuarios, requerimientos de servicio y material de entrenamiento y toma en consideracin:
Rediseo de los procesos del negocio Tratamiento de procedimientos como cualquier Monitoreo

3 3 3 3
g ap ente lic a te cion cn e in olo s st al ga ac io da nes to s

otra tecnologa entregable Desarrollo oportuno procedimientos y controles de usuarios procedimientos y controles operacionales materiales de entrenamiento Administracin de cambios

114

IT GOVERNANCE INSTITUTE

DIRECTRICES DE AUDITORIA
AI 4 DESARROLLO Y MANTENIMIENTO DE PROCEDIMIENTOS
OBJETIVOS DE CONTROL
1 2 3 4 Requerimientos Operacionales y Niveles de Servicios Manual de Procedimientos para el Usuario Manual de Operaciones Materiales de Entrenamiento

LOS OBJETIVOS DE CONTROL TANTO DETALLADOS COMO DE ALTO NIVEL SON AUDITADOS AL:
Obtener un entendimiento travs de: Entrevistas: Desarrollo de aplicaciones de TI Mantenimiento de TI Control de cambios de TI Operaciones de TI Recursos humanos/entrenamiento de TI Administracin de aseguramiento de la calidad de TI Usuarios seleccionados de recursos de sistemas de informacin Obteniendo: Polticas y procedimientos organizacionales relacionados con: Planeacin estratgica y objetivos del negocio, planeacin de sistemas de informacin y desarrollo de aplicaciones Polticas y procedimientos de las funciones de servicios de informacin relacionadas con el desarrollo del sistema, incluyendo: organigrama, metodologa del ciclo de vida de desarrollo de sistemas, planeacin de capacidad, manuales de usuarios y operaciones, materiales de entrenamiento, pruebas y migracin al ambiente de produccin y documentos de planeacin de reanudacin/ contingencia del negocio Evaluar los controles: Considerando si: Los requerimientos operativos fueron determinados con estadsticas histricas de desempeo, disponibles, e informacin proporcionada por el usuario con respecto a incrementos/decrementos esperados El nivel de servicio y las expectativas de desempeo estn suficientemente detallados para permitir el seguimiento, la emisin de reportes y las oportunidades de mejora Los requerimientos operativos y los niveles de servicio estn determinados utilizando tanto desempeo histrico y ajustes de usuario como mediciones o "benchmarks" de la industria Los niveles de servicio y requerimientos de procesamiento son un paso integral en la planeacin de nuevos sistemas Los manuales de procedimientos de usuarios, el manual de operaciones y los materiales de entrenamiento estn desarrollados como parte de cada proyecto de desarrollo, implementacin o modificacin de sistemas de informacin, y se mantienen actualizados

IT GOVERNANCE INSTITUTE

115

DIRECTRICES DE AUDITORIA
Evaluar la suficiencia: Probando que: Existen requerimientos operacionales y que stos reflejan tanto las expectativas de operacin como las de los usuarios El desempeo operacional est siendo medido, comunicado y corregido en donde existen deficiencias El personal de operaciones y los usuarios estn conscientes y tienen conocimiento de los requerimientos de desempeo El personal de operaciones cuenta con manuales de operaciones para todos los sistemas y procesamientos bajo su responsabilidad Todo el movimiento de programas del ambiente de desarrollo a produccin requiere la actualizacin o creacin de un manual de operaciones Existen manuales de entrenamiento de usuarios para todas las aplicaciones, y reflejan actualmente la funcionalidad de la aplicacin Existen manuales de entrenamiento para todos los sistemas existentes y nuevos y son satisfactorios para los usuarios, reflejando el uso del sistema en la prctica diaria Los manuales de usuario incluyen, pero no se limitan a: Resumen de los sistemas y del ambiente explicacin de todas la entradas, programas, salidas e integracin de todos los sistemas con otros sistemas explicacin de todas las pantallas de entrada y despliegue de datos explicacin de todos y cada uno de los mensaje de error y la respuesta apropiada procedimientos y/o recursos de escalamiento de problemas El manual de operacin incluyen, pero no se limita a: nombre del sistema, nombre de los programas, secuencia de ejecucin definicin de los nombres de todos los archivos de entrada, proceso y de salida y del formato del medio Programacin de las corridas diarias, semanales, mensuales, trimestrales, de fin de ao, etc. comandos y parmetros de consola que requieran entradas por parte del operador mensajes de error presentados en la consola y respuestas ante ellos procedimientos de respaldo, reinicio y recuperacin en varios puntos o al presentarse una terminacin anormal formatos o procedimientos de salidas especiales; distribucin de reportes/salidas procedimiento de solucin en caso de emergencia, si aplica Se llevan a cabo el mantenimiento continuo de la documentacin de aplicacin, manuales de operacin y de usuario y el entrenamiento respectivo, si aplica Comprobar el riesgo de los objetivos de control no alcanzados: Llevando a cabo: Para una seleccin de proyectos de desarrollo de sistemas, revisiones y aprobaciones de documentacin en cuanto a: la consideracin de futuros requerimientos y niveles de servicio de usuarios Tareas y entregables para la creacin, distribucin y mantenimiento de manuales de usuario Tareas y entregables para la creacin, distribucin y mantenimiento del manual de operacin Tareas y entregables para entrenar al usuario para que comprenda y utilice nuevos sistemas o nuevas modificaciones

116

IT GOVERNANCE INSTITUTE

DIRECTRICES DE AUDITORIA
Entrevistas a los usuarios para confirmar la suficiencia de los esfuerzos de desarrollo de sistemas, incluyendo los manuales desarrollados y el entrenamiento proporcionado El anlisis tanto de manuales de usuario como de operaciones en cuanto a actualidad y mantenimiento continuo Identificando: deficiencias en los manuales de usuarios, operaciones y entrenamiento la no existencia de acuerdos de niveles de servicio entre: el proveedor y la funcin de servicios de informacin La funcin de servicios de informacin y los usuarios debilidades organizacionales para desarrollar y correr las aplicaciones requeridas

IT GOVERNANCE INSTITUTE

117

DIRECTRICES DE AUDITORIA
OBJETIVOS DE CONTROL DE ALTO NIVEL
ADQUISICIN E IMPLEMENTACIN AI5
Planeacin & Organizacin

ef ec tiv ef ida co icie d nf id ncia en in c ia te li di gri dad sp da o d cu nib i m lid p co lim ad nf ien ia bi to lid ad

Adquisicin & Implementacin


Entrega & Soporte

Control sobre el proceso de TI de: instalacin y acreditacin de sistemas que satisface los requerimientos de negocio de: verificar y confirmar que la solucin sea adecuada para el propsito deseado se hace posible a travs de: la realizacin de una migracin de instalacin, conversin y plan de aceptacin adecuadamente formalizados y toma en consideracin:
Capacitacin de los usuarios y del personal de Monitoreo

operaciones de TI
conversin de datos Un ambientes de pruebas que refleje el ambien-

te real
acreditacin revisiones y retroalimentacin y post imple

3 3 3 3 3
g ap ente lic a te cion cn e in olo s st g al ac a io da nes to s

mentacin Usuario final involucrado en las pruebas Planes continuo de mejoramiento de calidad Requerimientos de continuidad del negocio Mediciones de rendimiento y capacidad Criterios de aceptacin previamente acordados

118

IT GOVERNANCE INSTITUTE

DIRECTRICES DE AUDITORIA
AI 5 INSTALACIN Y ACREDITACIN DE SISTEMAS
OBJETIVOS DE CONTROL
1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 11. 12. 13. 14. Entrenamiento Adecuacin del Desempeo del Software de Aplicacin Plan de Implementacin Conversin del sistema Conversin de datos Planes y estrategias de pruebas Pruebas a los Cambios Desempeo y criterios de pruebas en paralelo/piloto Prueba de Aceptacin Final Pruebas y Acreditacin de la Seguridad Prueba Operacional Promocin a Produccin Evaluacin del cumplimiento de los Requerimientos del Usuario Revisin Gerencial Post - Implementacin

LOS OBJETIVOS DE CONTROL TANTO DETALLADOS COMO DE ALTO NIVEL SON AUDITADOS AL:
Obtener un entendimiento a travs de: Entrevistas: Director de TI Administracin de TI Entrenamiento, desarrollo de aplicaciones, seguridad, aseguramiento de la calidad y administracin de operaciones de TI Oficial de Seguridad Usuario administrador seleccionado para sistemas recientemente desarrollados/en desarrollo Contratos con proveedores para recursos de desarrollo de sistemas Obteniendo: Polticas y procedimientos organizacionales relacionados con la planeacin del ciclo de vida de desarrollo de sistemas y Polticas y procedimientos de TI relacionadas con: polticas y comits de seguridad, planeacin del ciclo de vida de desarrollo de sistemas, procedimientos para pruebas al desarrollo de sistemas para programas, unidades, planes de prueba del sistema, entrenamiento de usuarios, migracin de sistemas de prueba a produccin, aseguramiento de la calidad y entrenamiento Plan y programacin de recursos para el ciclo de vida de desarrollo de sistemas, estndares de programacin del ciclo de vida de desarrollo de sistemas, incluyendo procesos de requisicin de cambios Muestras de reportes de estatus de las actividades realizadas durante el desarrollo de sistemas Reportes post-implementacin de las actividades realizadas durante los desarrollos anteriores

IT GOVERNANCE INSTITUTE

119

DIRECTRICES DE AUDITORIA
Evaluar los controles: Considerando si: Existen polticas y procedimientos relacionados con el proceso de ciclo de vida de desarrollo de sistemas Existe una metodologa formal de ciclo de vida de desarrollo de sistemas para la instalacin y acreditacin de sistemas, incluyendo, pero no limitndose a, un enfoque en fases sobre: entrenamiento, adecuacin del desempeo, plan de conversin, pruebas de programas, grupos de programas (unidades) y del sistema total, un plan de pruebas prototipo o paralelo, pruebas de aceptacin, pruebas y acreditacin de seguridad, pruebas operativas, controles de cambio, revisin y modificacin de implementacin y post-implementacin Se lleva a cabo el entrenamiento de usuarios como parte de cada tentativa de desarrollo Los controles de los programas/sistema son consistentes con los estndares de seguridad de la organizacin y con las polticas, procedimientos y estndares de la funcin de servicios de informacin Existen varias libreras de desarrollo, prueba y produccin para los sistemas en proceso Existen criterios predeterminados para probar el acierto, las fallas y la terminacin de tentativas futuras El proceso de aseguramiento de la calidad incluye la migracin independiente de desarrollo a las libreras de produccin y la suficiencia de la aceptacin requerida de los usuarios y grupos de operacin Los planes de prueba para simulacin de volmenes, intervalos de proceso y disponibilidad y acreditacin de salidas forman parte del proceso El programa de entrenamiento asociado con una muestra de varias tentativas de desarrollo de sistemas contiene: diferencias con respecto al sistema anterior, cambios que afecten las entradas, procesamiento, programacin de actividades, distribucin, interfaces con otros sistemas, errores y correccin de errores Las herramientas automatizadas optimizan los sistemas desarrollados, una vez en produccin, y si estas herramientas son utilizadas para oportunidades de eficiencia La solucin de problemas ocurre en relacin con un desempeo por debajo de lo ptimo

Evaluar la suficiencia: Probando que: Se ha incluido en todas las tentativas de desarrollo de nuevos sistemas un plan formal para el entrenamiento de usuarios El personal est consciente, comprende y tiene conocimiento de la necesidad de controles formales de desarrollo de sistemas y entrenamiento de usuarios para cada instalacin e implementacin de desarrollo La conciencia, comprensin y conocimiento de usuarios seleccionados con respecto a sus responsabilidades en el diseo, aprobacin, pruebas, entrenamiento, conversin y proceso de implementacin es conocida y considerada Se da seguimiento a los costos reales del sistema comparados con los costos estimados, y al desempeo real contra el esperado de los sistemas nuevos o modificados Existe un plan de pruebas que cubre todas las reas de recursos de sistemas de informacin: software de aplicacin, instalaciones, tecnologa y usuarios Los usuarios comprenden todas las fases y responsabilidades en el desarrollo de sistemas, incluyendo: especificaciones de diseo, incluyendo iteraciones durante el ciclo de desarrollo anlisis costo/beneficio y estudio de factibilidad

120

IT GOVERNANCE INSTITUTE

DIRECTRICES DE AUDITORIA
aprobacin en cada paso del proceso de desarrollo del sistema compromiso y evaluacin del plan de pruebas y los resultados de las pruebas al ocurrir stas aprobacin y aceptacin del sistema a travs del ciclo de desarrollo aprobacin final y aceptacin del sistema evaluacin de la suficiencia del entrenamiento recibido para sistemas recientemente entregados y liberados El personal de desarrollo y la administracin aseguran la estabilidad de los requerimientos de los usuarios una vez acordados stos La satisfaccin del usuario es medida contra los elementos entregables y liberables de los proveedores, en comparacin con los productos internos

Comprobar el riesgo de los objetivos de control no alcanzados: Llevando a cabo: Mediciones ("Benchmarking") de la instalacin y acreditacin de sistemas contra organizaciones similares o apropiados estndares internacionales reconocidos como buenas prcticas de la industria Una revisin detallada de: el cumplimiento del grupo de desarrollo con las fechas lmite y tareas en relacin con la satisfaccin del usuario la funcionalidad del sistema una vez completado el material de entrenamiento asociado con sistemas anteriores la revisin independiente y migracin de los sistemas del ambiente de prueba al estatus y las libreras de produccin por parte de la funcin de aseguramiento de la calidad las herramientas y monitoreo de redes y recursos utilizados para recopilar estadsticas para mantenimiento y optimizacin, asegurando el soporte a las aplicaciones desarrolladas para lograr un desempeo mximo a un costo mnimo registros de una tentativa de desarrollo para determinar la disponibilidad de: Entrenamiento de usuarios Seguridad Desempeo de software Documentacin y resultados de pruebas Plan de conversin Migracin a produccin Control de cambios durante el desarrollo Satisfaccin de las necesidades del usuario Pruebas piloto o en paralelo Revisin post-implementacin

IT GOVERNANCE INSTITUTE

121

DIRECTRICES DE AUDITORIA
conclusiones de auditora interna o externa con respecto al proceso de diseo de sistemas resultados de las pruebas para confirmar si stos satisfacen los criterios predefinidos y si todas las funciones del sistema fueron incluidas en los planes de prueba discusiones de la administracin sobre los resultados de las pruebas, as como cualquier prueba terminada o proyecto de desarrollo participacin del usuario en el proceso de desarrollo pistas de auditora dirigidas a recrear una actividad o el anlisis de errores segn sea necesario participacin del proveedor en la tentativa de desarrollo incluyendo: lo razonable de los costos el cumplimiento con las fechas lmite la funcionalidad entregada y liberada Identificando: Para una seleccin de proyectos recientes de ciclo de vida de desarrollo de sistemas: compromiso del usuario y aprobacin formal en cada fase del proceso de desarrollo de sistemas plan de pruebas para programas, unidades, sistemas (incluyendo prototipo o en paralelo), conversin, implementacin, y revisin post-implementacin consistencia apropiada con los estndares de seguridad y control interno tareas y programacin de actividades apropiadas para la conversin de datos la realizacin de pruebas independientemente de aqullas de desarrollo, modificacin o mantenimiento del sistema aceptacin formal por parte de los usuarios con respecto a la funcionalidad, seguridad, integridad y riesgo residual del sistema Los manuales de operacin para la programacin de actividades, corridas, recuperacin/reinicio, respaldo interno/ respaldo en sitio alterno y solucin de errores consideran: la separacin fsica y lgica de las libreras de produccin con respecto a las de desarrollo o a las de pruebas los procedimientos de solucin entre las expectativas de los usuarios y la funcionalidad del sistema entregado y liberado, cuando stos se encuentren en conflicto Para los proveedores: la formalidad de las relaciones con los proveedores y la existencia de contratos la consideracin de servicios especficos y costos que el desempeo del proveedor es controlado tambin por la metodologa del ciclo de vida de desarrollo de sistemas de la organizacin el cumplimiento del proveedor en cuanto a desempeo, fechas lmite y especificaciones de costos de los contratos

122

IT GOVERNANCE INSTITUTE

DIRECTRICES DE AUDITORIA

PAGINA INTENCIONALMENTE EN BLANCO

IT GOVERNANCE INSTITUTE

123

DIRECTRICES DE AUDITORIA
OBJETIVOS DE CONTROL DE ALTO NIVEL
ADQUISICIN E IMPLEMENTACIN AI6
Planeacin & Organizacin

ef ec tiv ef ida i d c co nf ienc id en ia in c ia te li di gri dad sp da o d cu nib m ilid p co lim ad nf ien ia bi to lid ad

Adquisicin & Implementacin


Entrega & Soporte

Control sobre el proceso de TI de: administracin de cambios que satisface los requerimientos de negocio de: minimizar la probabilidad de interrupciones, alteraciones no autorizadas y errores se hace posible a travs de: un sistema de administracin que permita el anlisis, implementacin y seguimiento de todos los cambios requeridos y llevados a cabo a la infraestructura de TI actual y toma en consideracin:
identificacin de cambios procedimientos de categorizacin, priorizacin Monitoreo

y emergencia evaluacin del impacto autorizacin de cambios Administracin de liberacin distribucin de software Uso de herramientas automatizadas Administracin de la configuracin Rediseo de los procesos del negocio

3 3 3 3 3
g ap ente lic a te cion cn e in olo s st g al ac a io da nes to s

124

IT GOVERNANCE INSTITUTE

DIRECTRICES DE AUDITORIA
AI 6
ADMINISTRACIN DE

CAMBIOS

OBJETIVOS DE CONTROL
1 2 3 4 5 6 7 8 Inicio y Control de Requerimientos de Cambio Evaluacin del Impacto Control de Cambios Cambios de emergencia Documentacin y Procedimientos Mantenimiento Autorizado Poltica de Liberacin de Software Distribucin de Software

LOS OBJETIVOS DE CONTROL TANTO DETALLADOS COMO DE ALTO NIVEL SON AUDITADOS AL:
Obtener un entendimiento a travs de: Entrevistas: Director de TI Administracin de la funcin de servicios de informacin Administracin de desarrollo de sistemas, aseguramiento de la calidad del control de cambios, operaciones y seguridad Administracin de usuarios seleccionada involucrada en el diseo y utilizacin de aplicaciones de sistemas de informacin Obteniendo: Polticas y procedimientos organizacionales relacionadas con: planeacin de sistemas de informacin, control de cambios, seguridad y ciclo de vida de desarrollo de sistemas Polticas y procedimientos de la funcin de servicios de sistemas de informacin relacionadas con: metodologa formal del ciclo de vida de desarrollo de sistemas, estndares de seguridad, aseguramiento independiente de la calidad, implementacin, distribucin, mantenimiento, cambios de emergencia, liberacin de software y control de versiones del sistema. Plan de desarrollo de aplicaciones Formato y bitcora de requisiciones de control de cambios Contratos con proveedores relacionados con servicios de desarrollo de aplicacin Evaluar los controles: Considerando si: Existe y se utiliza una metodologa para priorizar los requerimientos de los usuarios para cambios al sistema Se consideran procedimientos de cambios de emergencia en los manuales de operaciones El control de cambios es un procedimiento formal tanto para los usuarios como para los grupos de desarrollo La bitcora de control de cambios asegura que todos los cambios mostrados fueron resueltos El usuario est satisfecho con el resultado de los cambios solicitados - oportunidad y costos

IT GOVERNANCE INSTITUTE

125

DIRECTRICES DE AUDITORIA
Para una seleccin de cambios en la bitcora de control de cambios: el cambio trajo como resultado modificaciones en los programas y operaciones los cambios hayan sido llevados a cabo como fueron documentados la documentacin actual refleja el ambiente modificado El proceso de cambios es monitoreado en cuanto a mejoras en el conocimiento, efectividad en el tiempo de respuesta y satisfaccin del usuario con respecto al proceso El mantenimiento al sistema de Intercambio de red privada (Private Branch Exchange - PBX) se incluye en los procedimientos de control de cambios Evaluar la suficiencia: Probando que: Para una muestra de cambios, la administracin ha aprobado los siguientes puntos: solicitud de cambios especificacin del cambio acceso al programa fuente finalizacin del cambio por parte del programador solicitud para mover el programa fuente al ambiente de prueba finalizacin de pruebas de aceptacin solicitud de compilacin y paso a produccin determinacin y aceptacin del impacto general y especfico desarrollo de un proceso de distribucin La revisin de la documentacin de control de cambios en cuanto a la inclusin de: fecha del cambio solicitado persona(s) que lo solicitan solicitud aprobada de cambios aprobacin del cambio realizado - funcin de servicios de informacin aprobacin del cambio realizado usuarios fecha de actualizacin de documentacin fecha de paso a produccin aprobacin del cambio por parte de aseguramiento de la calidad aceptacin por parte de operaciones Los tipos de anlisis de cambios realizados al sistema para la identificacin de tendencias La evaluacin de la adecuacin de las libreras de la funcin de servicios de informacin y la determinacin de la existencia de niveles de cdigo base para prevenir la regresin de errores Existen procedimientos para verificar el cdigo sin modificar y modificado para establecer los cambios realizados La bitcora de control de cambios asegura que todos los cambios fueron resueltos a satisfaccin de los usuarios y que no se llevaron a cabo cambios que no hayan sido registrados en la bitcora Los usuarios tienen conciencia y conocimiento de la necesidad de procedimientos formales de control de cambios El proceso de reforzamiento del personal asegura el cumplimiento de los procedimientos de control de cambios

126

IT GOVERNANCE INSTITUTE

DIRECTRICES DE AUDITORIA
Comprobar el riesgo de los objetivos de control no alcanzados: Llevando a cabo: Mediciones ("Benchmarking") de la administracin de control de cambios contra organizaciones similares o apropiados estndares internacionales reconocidos como buenas prcticas de la industria Para sistemas seleccionados de la funcin de servicios de informacin: una verificacin en cuanto a si la documentacin determina el requerimiento o si el cambio del sistema ha sido aprobado y priorizado por parte de la administracin de las reas usuarias afectadas y el proveedor de servicios la confirmacin de la existencia y adecuacin de evaluacin del impacto en formas de control de cambios la obtencin del conocimiento del cambio a travs de un acuse de recibo de solicitud de cambios de la funcin de servicios de informacin la asignacin del cambio a los recursos apropiados de desarrollo la adecuacin de los sistemas y los planes de prueba de los usuarios y sus resultados la migracin formal de prueba a produccin va grupo de aseguramiento de la calidad la actualizacin de los manuales de usuario y de operacin para reflejar el cambio la distribucin de la nueva versin a los usuarios apropiados Identificando: Para una seleccin de cambios de informacin que: slo se llevaron a cabo cambios aprobados todos los cambios han sido considerados las libreras actuales (fuente y objeto) reflejan los cambios ms recientes las variaciones en el procedimiento de control de cambios son registradas y consideradas entre: aplicaciones adquiridas e internas software de aplicacin y de sistemas tratamiento del control de cambios por parte del proveedor

IT GOVERNANCE INSTITUTE

127

DIRECTRICES DE AUDITORIA

PAGINA INTENCIONALMENTE EN BLANCO

128

IT GOVERNANCE INSTITUTE

DIRECTRICES DE AUDITORIA

ENTREGA Y SOPORTE (ENTREGA DE SERVICIOS Y SOPORTE)

IT GOVERNANCE INSTITUTE

129

DIRECTRICES DE AUDITORIA
OBJETIVOS DE CONTROL DE ALTO NIVEL
ENTREGA DE SERVICIOS Y SOPORTE DS1
Planeacin & Organizacin

ef ec tiv ef ida co icie d nf id ncia en in c ia te li di gri dad sp da o d cu nib m ilid p co lim ad nf ien ia bi to lid ad

Adquisicin & Implementacin

Entrega & Soporte

Control sobre el proceso de TI de: Definicin y administracin de niveles de servicio que satisface los requerimientos de negocio de: establecer una comprensin comn del nivel de servicio requerido se hace posible a travs de: el establecimiento de acuerdos de niveles de servicio que formalicen los criterios de desempeo contra los cuales se medir la cantidad y la calidad del servicio y toma en consideracin:
Monitoreo

convenios formales definicin de responsabilidades tiempos de respuestas y volmenes cargos garantas de integridad convenios de confidencialidad Criterios de satisfaccin del cliente Anlisis costo/beneficio de los niveles de servicio requeridos Monitoreo y reporte

3 3 3 3 3
g ap ente lic a te cion cn e in olo s st g al ac a io da nes to s

130

IT GOVERNANCE INSTITUTE

DIRECTRICES DE AUDITORIA
DS 1 DEFINICIN Y ADMINISTRACION DE NIVELES DE SERVICIO

OBJETIVOS DE CONTROL
1 2 3 4 5 6 7 Marco de Referencia para los acuerdos de Nivel de Servicio Aspectos sobre los Acuerdos de Nivel de Servicio Procedimientos de desempeo Monitoreo y Reporte Revisin de Convenios y Contratos de Nivel de Servicio Elementos sujetos a Cargo Programa de Mejoramiento del Servicio

LOS OBJETIVOS DE CONTROL TANTO DETALLADOS COMO DE ALTO NIVEL SON AUDITADOS AL:
Obtener un entendimiento travs de: Entrevistas: Director de Informacin Presidencia de la funcin de servicios de informacin Administrador del nivel de servicio/contrato de servicios de informacin Administrador de operaciones de la funcin de servicios de informacin Administracin de usuarios Obteniendo: Polticas y procedimientos generales para la organizacin asociadas a las relaciones proveedor/usuario Polticas y procedimientos de la funcin de servicios de informacin relacionadas con: Acuerdos de nivel de servicio Contenido de emisin de reportes operativos, tiempos y distribucin Mtodos de seguimiento de desempeo Actividades de accin correctiva Documentacin de la funcin de servicios de informacin relacionada con: Reportes de desempeo de nivel de servicio Algoritmos de cargo y metodologa para calcular cargos Programas de mejora del servicio Acciones a seguir ante la ocurrencia de un bajo desempeo Acuerdos de niveles de servicio con usuarios internos y externos y proveedores de servicio Evaluar los controles: Considerando si: Se identifica por poltica un proceso de acuerdo de nivel de servicio La participacin en el proceso por parte del usuario se requiere para la creacin y modificacin de acuerdos Estn definidas las responsabilidades de usuarios y proveedores La administracin monitorea y emite reportes sobre el logro de los criterios de desempeo de servicio especificados y sobre todos los problemas encontrados
IT GOVERNANCE INSTITUTE

131

DIRECTRICES DE AUDITORIA
Existe un proceso de revisin regular llevado a cabo por la administracin Se identifica un proceso con acciones a tomar en caso de un bajo desempeo Los acuerdos de nivel de servicio incluyen, pero no se limitan a contar con: definicin de servicio costo del servicio nivel de servicio mnimo cuantificable nivel de soporte por parte de la funcin de servicios de informacin disponibilidad, confiabilidad y capacidad de crecimiento plan de continuidad requerimientos de seguridad procedimientos de cambio para cualquier parte del acuerdo acuerdo por escrito y formalmente aprobado entre el proveedor y el usuario del servicio revisin/renovacin/no renovacin del perodo efectivo y del nuevo perodo contenido y frecuencia del reporte de desempeo y pago de servicios cargos son realistas comparados contra la historia, la industria y las buenas prcticas clculo de cargos compromiso de mejoras al servicio Evaluar la suficiencia: Probando que: Para una muestra de acuerdos de nivel de servicio pasados y en proceso, el contenido incluye: definicin del servicio costo del servicio nivel de servicio mnimo cuantificable nivel de soporte por parte de la funcin de servicios de informacin disponibilidad, confiabilidad y capacidad de crecimiento procedimiento de cambios para cualquier parte del acuerdo plan de continuidad en caso de desastre/contingencia requerimientos de seguridad acuerdo por escrito y formalmente aprobado entre el proveedor y el usuario del servicio revisin/renovacin/no renovacin del perodo efectivo y nuevo perodo contenido y la frecuencia del reporte de desempeo y el pago de servicios cargos son realistas comparados con la historia, la industria y las buenas prcticas clculos de cargos compromiso de mejoras al servicio aprobacin formal por parte de usuarios y proveedores Los usuarios apropiados estn conscientes, tienen conocimiento y comprenden los procesos y procedimientos del acuerdo de nivel de servicio El nivel de satisfaccin del usuario en cuanto al proceso y acuerdos reales del nivel de servicio actuales es suficiente El servicio proporciona registros para asegurar razones para un bajo desempeo y para asegurar que existe un programa para la mejora del desempeo La precisin de los cargos reales concuerda con el contenido del acuerdo

132

IT GOVERNANCE INSTITUTE

DIRECTRICES DE AUDITORIA
Se da seguimiento al desempeo histrico comparndolo contra el compromiso de mejora al servicio determinado anteriormente Los reportes sobre el logro del desempeo de servicio especificado son utilizados apropiadamente por la administracin para asegurar un desempeo satisfactorio Los reportes sobre todos los problemas encontrados son utilizados apropiadamente por la administracin para asegurar que se toman las acciones correctivas correspondientes Comprobar el riesgo de los objetivos de control no alcanzados: Llevando a cabo: Mediciones ("Benchmarking") de los acuerdos del nivel de servicio contra organizaciones similares o estndares internacionales apropiados reconocidos como las mejores prcticas de la industria Una revisin: del acuerdo de nivel de servicio para determinar que se definen y alcanzan las provisiones cualitativas y cuantitativas que confirman las obligaciones del acuerdo de nivel de servicio seleccionado para confirmar que los procedimientos de solucin de problemas, especficamente el desempeo bajo sean incluidos y llevados a cabo Identificando: La conveniencia de las provisiones que describen, coordinan y comunican la relacin entre el proveedor y el usuario de los servicios de informacin Clculos incorrectos para categoras seleccionadas de informacin Revisiones continuas y acciones correctivas llevadas a cabo por la administracin de reportes del nivel de servicio La conveniencia de las mejoras a los servicios propuestos en comparacin con el anlisis costo/beneficio La conveniencia de la capacidad de los proveedores para alcanzar en el futuro los objetivos comprometidos de mejoras

IT GOVERNANCE INSTITUTE

133

DIRECTRICES DE AUDITORIA
OBJETIVOS DE CONTROL DE ALTO NIVEL
ENTREGA DE SERVICIOS Y SOPORTE DS2
Planeacin & Organizacin

ef ec tiv ef ida i co cie d nf id ncia en in c ia te li di gri dad sp da o d cu nib m ilid p co lim ad nf ien ia bi to lid ad

Adquisicin & Implementacin

Entrega & Soporte

Control sobre el proceso de TI de: administracin de servicios prestados por terceros que satisface los requerimientos de negocio de: asegurar que los roles y responsabilidades de las terceras partes estn claramente definidas, que cumplan y continen satisfaciendo los requerimientos se hace posible a travs de: medidas de control dirigidas a la revisin y monitoreo de acuerdos y procedimientos existentes, en cuanto a su efectividad y suficiencia, con respecto a las polticas de la organizacin y toma en consideracin:
Monitoreo

acuerdos de servicio con terceras partes Administracin de contratos acuerdos de confidencialidad requerimientos legales y regulatorios monitoreo y reporte de la entrega de servicios Evaluacin de riesgos de la empresa y de TI Recompensas y sanciones por el desempeo Contabilidad organizacional interna y externa Anlisis de costos y de variaciones de los niveles de servicio

3 3 3 3 3
g ap ente lic a te cion cn e in olo s st g al ac a io da nes to s

134

IT GOVERNANCE INSTITUTE

DIRECTRICES DE AUDITORIA
DS 2 ADMINISTRACIN DE SERVICIOS PRESTADOS POR TERCEROS

OBJETIVOS DE CONTROL
1 2 3 4 5 6 7 8 Interfases con Proveedores Relaciones de propietarios Contratos con Terceros Calificaciones de Terceros Contratos con Fuentes Externas Continuidad de Servicios Relaciones de Seguridad Monitoreo

LOS OBJETIVOS DE CONTROL TANTO DETALLADOS COMO DE ALTO NIVEL SON AUDITADOS AL:
Obtener un entendimiento travs de: Entrevistas: Director de Informacin Presidencia de la funcin de servicios de informacin Administrador de contratos de TI / Administrador de niveles de servicio Administracin de las operaciones de la funcin de servicios de informacin Oficial de seguridad Obteniendo: Polticas y procedimientos generales para la organizacin asociadas con los servicios adquiridos y en particular, con las relaciones con proveedores como terceras partes Polticas y procedimientos de la funcin de servicios de informacin asociadas con: relaciones con terceras partes, procedimientos de seleccin de proveedores, contenido de los contratos de dichas relaciones, seguridad lgica y fsica, mantenimiento de la calidad por parte de los proveedores, planeacin de contingencias y outsourcing Una lista de todas las relaciones actuales con terceras partes y de los contratos asociados con cada una El reporte del nivel de servicio relacionado con las relaciones y servicios proporcionados por terceras partes Las minutas de las reuniones en las que se discuten la revisin de los contratos, la evaluacin del desempeo y la administracin de las relaciones Los acuerdos de confidencialidad para todas las relaciones con terceras partes Las listas de seguridad de acceso con los perfiles y recursos disponibles para los vendedores Evaluar los controles: Considerando si: Existen polticas y procedimientos de TI asociadas con las relaciones con terceras partes, y si stas son consistentes con las polticas generales de la organizacin Existen polticas que consideran especficamente la necesidad de contratos, de una definicin del contenido de los mismos, del propietario o administrador de las relaciones responsable de asegurar la creacin, mantenimiento, monitoreo y renegociacin de los contratos
IT GOVERNANCE INSTITUTE

135

DIRECTRICES DE AUDITORIA
Considerando si, contina Las interfaces estn definidas para agentes independientes involucrados en la conduccin del proyecto y dems partes como los subcontratados. Los contratos representan un registro completo de las relaciones con los proveedores como terceras partes Los contratos estn establecidos especficamente para la continuidad de los servicios, y que dichos contratos incluyen una planeacin de contingencias por parte del proveedor para asegurar la continuidad del servicio a los usuarios de stos El contenido de los contratos incluye por lo menos lo siguiente: aprobacin formal administrativa y legal entidad legal que proporciona los servicios servicios proporcionados acuerdos cualitativos y cuantitativos de nivel de servicio costo de los servicios y frecuencia de su pago proceso de solucin de problemas sanciones por bajo desempeo proceso de disolucin proceso de modificacin reporte de servicio - contenido, frecuencia y distribucin funciones entre las partes del contrato durante la vida del mismo aseguramiento de continuidad que indica que el servicio ser proporcionado por el proveedor usuarios de los servicios y procesos y frecuencia de las comunicaciones del proveedor duracin del contrato nivel de acceso proporcionado al proveedor requerimientos de seguridad garantas de confidencialidad derecho a acceso y derecho a auditar Los acuerdos escritos han sido negociados apropiadamente Los terceros en potencia se han calificado adecuadamente mediante la evaluacin de sus habilidades para proveer el servicio requerido (especial cuidadodue diligence) Evaluar la suficiencia: Probando que: Se cuenta con la lista de contratos y los contratos actuales son precisos y actualizados Ningn servicio es proporcionado por algn proveedor no incluido en la lista de contratos mencionada Los proveedores mencionados en los contratos efectivamente estn llevando a cabo los servicios definidos La administracin/los propietarios de los proveedores comprenden su responsabilidad dentro del contrato Las polticas y procedimientos de la funcin de TI asociadas con las relaciones con terceras partes existen y son consistentes con las polticas generales de la organizacin Existen polticas que consideran especficamente la necesidad de establecer contratos, la definicin del contenido de los mismos, del propietario o administrador de la relacin responsable de asegurar que los contratos sean creados, mantenidos, monitoreados y renegociados segn se requiera Los contratos representan un registro completo de las relaciones con los proveedores como terceras partes

136

IT GOVERNANCE INSTITUTE

DIRECTRICES DE AUDITORIA
Los contratos estn establecidos para asegurar especficamente la continuidad de los servicios, y que dichos contratos incluyen una planeacin de contingencias por parte del proveedor para asegurar el servicio continuo a los usuarios El contenido de los contratos incluyen por lo menos lo siguiente: aprobacin formal administrativa y legal entidad legal para proporcionar los servicios servicios proporcionados acuerdos cuantitativos y cualitativos del nivel de servicio costo y frecuencia de los servicios y su pago proceso de solucin de problemas sanciones por bajo desempeo proceso de disolucin proceso de modificacin reporte de servicios - contenido, frecuencia y distribucin funciones entre las partes del contrato durante la vida del mismo aseguramiento de la continuidad de los servicios prestados por el proveedor usuarios de los servicios y frecuencia del proceso de comunicaciones del proveedor duracin del contrato nivel de acceso proporcionado al proveedor requerimientos de seguridad garantas de confidencialidad derecho de acceso y derechos a llevar a cabo auditoras Los usuarios tienen conciencia, conocimiento y comprenden la necesidad de contar con polticas de contratos y con los contratos mismos para proporcionar servicios Existe una independencia adecuada entre el proveedor y la organizacin Se dan independientemente la bsqueda y la seleccin de proveedores La lista de seguridad de acceso incluye nicamente un nmero mnimo de proveedores requeridos, y que dicho acceso es el mnimo necesario El acceso de hardware y software a los recursos de la organizacin es administrado y controlado para minimizar su utilizacin por parte de los proveedores El nivel real de servicios proporcionados se compara en gran medida con las obligaciones contractuales Las instalaciones, personal, operaciones y controles sobre el outsourcing aseguran un nivel de desempeo requerido comparable con el esperado El monitoreo continuo de liberacin y entrega de servicios por parte de terceros es llevado a cabo por la administracin Se llevan a cabo auditoras independientes a las operaciones llevadas a cabo por el contratista Existen los reportes de evaluacin para terceros con el fin de evaluar sus capacidades para entregar el servicio requerido Se conserva la historia de las actividades pasadas y presentes relacionadas con litigios/problemas legales con los proveedores Las interfases de los agentes independientes involucrados en la conduccin del proyecto estn documentadas en el contrato. Los contratos con proveedores PBX (Private Branch Exchange) estn cubiertos

IT GOVERNANCE INSTITUTE

137

DIRECTRICES DE AUDITORIA
Comprobar el riesgo de los objetivos de control no alcanzados: Llevando a cabo: Mediciones ("Benchmarking") de los servicios de terceras partes contra organizaciones similares o estndares internacionales apropiados reconocidos como las mejores prcticas de la industria Una revisin detallada de cada uno de los contratos de terceras partes para determinar provisiones cualitativas y cuantitativas que confirmen la definicin de las obligaciones Identificando: Provisiones que describen, coordinan y comunican la relacin entre el proveedor y el usuario de los servicios de informacin Facturas de terceras parte que reflejan cargos precisos por servicios por contrato seleccionados El vnculo de la organizacin con los proveedores como terceras partes que asegura la comunicacin de problemas de contrato entre las partes y los usuarios de los servicios La aprobacin de todos los contratos por parte de la administracin y el consejo legal La puesta en prctica de evaluaciones de riesgos para confirmar la necesidad de las relaciones o la necesidad de modificar la relacin La revisin continua y las acciones correctivas tomadas por la administracin sobre los reportes de contratos Lo razonable de la aplicacin de los cargos en comparacin con el desempeo interno, externo y de la industria La existencia de planes de contingencia para todos los servicios contratados, especficamente para los servicios de recuperacin en caso de desastre de la funcin de servicios de informacin Para las funciones de fuentes externas, se cuenta con procedimientos para detectar defectos aparentes u oportunidades para mejorar el desempeo o reducir costos La implementacin de recomendaciones contenidas en auditoras independientes llevadas a cabo por la parte contratante

138

IT GOVERNANCE INSTITUTE

DIRECTRICES DE AUDITORIA

PAGINA INTENCIONALMENTE EN BLANCO

IT GOVERNANCE INSTITUTE

139

DIRECTRICES DE AUDITORIA
OBJETIVOS DE CONTROL DE ALTO NIVEL
ENTREGA DE SERVICIOS Y SOPORTE DS3
Planeacin & Organizacin

ef ec tiv ef ida co icie d nf id ncia en in c ia te li di gri dad sp da o d cu nib i m lid p co lim ad nf ien ia bi to lid ad

Adquisicin & Implementacin

Entrega & Soporte

Control sobre el proceso de TI de: administracin de desempeo y capacidad que satisface los requerimientos de negocio de: asegurar que la capacidad adecuada est disponible y que se est haciendo el mejor y ptimo uso de ella para alcanzar el desempeo deseado se hace posible a travs de: Recoleccin de datos, anlisis y reporte sobre el desempeo de los recursos, tamaos de las aplicaciones y demanda de recursos y toma en consideracin:
Monitoreo

requerimientos de disponibilidad y desempeo monitoreo y reporte automatizado herramientas de modelado administracin de la capacidad disponibilidad de recursos Cambios en los precios/desempeo del hardware y software

3 3 3
g ap ente lic a te cion cn e in olo s st g al ac a io da nes to s

140

IT GOVERNANCE INSTITUTE

DIRECTRICES DE AUDITORIA
DS 3 ADMINISTRACIN DE DESEMPEO Y CAPACIDAD

OBJETIVOS DE CONTROL
1 2 3 4 5 6 7 8 9 Requerimientos de Disponibilidad y Desempeo Plan de Disponibilidad Monitoreo y Reporte Herramientas de Modelado Administracin Proactiva del desempeo Pronstico de Carga de Trabajo Manejo de Capacidad de Recursos Disponibilidad de Recursos Programacin de actividades para el uso de los Recursos

LOS OBJETIVOS DE CONTROL TANTO DETALLADOS COMO DE ALTO NIVEL SON AUDITADOS AL:
Obtener un entendimiento a travs de: Entrevistas: Presidencia de la funcin de servicios de informacin Administracin de operaciones de la funcin de servicios de informacin Administracin de la capacidad de la funcin de servicios de informacin Administracin de redes de la funcin de servicios de informacin Obteniendo: Polticas y procedimientos globales para la organizacin relacionados con la disponibilidad, monitoreo y reporte del desempeo, pronstico de la carga de trabajo, administracin de la capacidad y programacin de actividades Polticas y procedimientos de la funcin de servicios de informacin relacionadas con: el enlace de la capacidad con el plan del negocio de los servicios de disponibilidad de la organizacin, la planeacin de la disponibilidad, monitoreo continuo y la administracin del desempeo Representaciones del producto por parte del proveedor con respecto a las normas de capacidad y desempeo Una lista de todos los productos actuales del proveedor en lo referente a hardware, software, comunicaciones y perifricos Reportes de monitoreo de redes de comunicacin Minutas de las reuniones en las que se discuten la planeacin de la capacidad, las expectativas de desempeo y la "afinacin" del desempeo Documentos de disponibilidad, capacidad, carga de trabajo y planeacin de recursos Presupuesto de TI anual incluyendo las suposiciones relacionadas con la capacidad y el desempeo Reportes relacionados con el desempeo operativo dentro de la funcin de servicios de informacin, incluyendo el reporte y la historia de la solucin de problemas

IT GOVERNANCE INSTITUTE

141

DIRECTRICES DE AUDITORIA
Evaluar los controles: Considerando si: Los perodos de timpo y el nivel de servicio estn definidos para todos los servicios proporcionados por la funcin de servicios de informacin Los perodos de tiempo y los niveles de servicio reflejan los requerimientos del usuario Los perodos de tiempo y los niveles de servicio son consistentes con las expectativas de desempeo del potencial del equipo Existe un plan de disponibilidad, est actualizado y refleja los requerimientos del usuario Se lleva a cabo y se reporta un monitoreo continuo del desempeo de todo el equipo y de la capacidad, y si la falta de un desempeo adecuado es considerada por la administracin y si se consideran formalmente las oportunidades de mejoras al desempeo Se monitorea el desempeo ptimo de configuracin utilizando herramientas de modelado para maximizar el desempeo y al mismo tiempo, minimizar la capacidad a los niveles requeridos Los usuarios y los grupos de desempeo operativo revisan proactivamente la capacidad, el desempeo, y si se llevan a cabo modificaciones a la programacin de actividades relacionadas con la carga de trabajo El pronstico de la carga de trabajo incluye informacin proporcionada por los usuarios debido a demandas cambiantes y por los proveedores debido a nueva tecnologa o a mejoras a los productos actuales Evaluar la suficiencia: Probando que: Las estadsticas sobre reportes de desempeo, capacidad y disponibilidad son precisas, incluyendo una comparacin entre las explicaciones de las variaciones de desempeo histricas y las pronosticadas El proceso de cambios para modificar los documentos de planeacin de disponibilidad, capacidad y carga de trabajo refleja los cambios en la tecnologa o los requerimientos del usuario Los reportes de anlisis de flujo de trabajo consideran las oportunidades de eficiencia de procesos adicionales El reporte de informacin del desempeo para los usuarios relacionado con el uso y la disponibilidad, existe, incluyendo capacidad programacin de actividades de carga de trabajo y tendencias Existen procedimientos de escalamiento, stos son seguidos y son apropiados para la solucin de problemas La fase de post - implementacin de la metodologa de desarrollo de sistemas incluye criterios para determinar el crecimiento futuro y los cambios a las expectativas de desempeo Los niveles de soporte proporcionados por la funcin de servicios de informacin son suficientes para apoyar las metas de la organizacin Comprobar el riesgo de los objetivos de control no alcanzados: Llevando a cabo: Mediciones ("Benchmarking") de la administracin del desempeo y la capacidad contra organizaciones similares o estndares internacionales apropiados reconocidos como las mejores practicas de la industria Pruebas de las necesidades continuas del negocio, para asegurar que los trminos y requerimientos de disponibilidad de TI reflejan adecuadamente estas necesidades

142

IT GOVERNANCE INSTITUTE

DIRECTRICES DE AUDITORIA
Una revisin del proceso de planeacin de capacidad y recursos para asegurar la modificacin oportuna de los planes, tomando como base las necesidades cambiantes del negocio Una verificacin para asegurar que las expectativas de desempeo estn siendo alcanzadas en lo referente a capacidad, respuesta y disponibilidad Una comparacin de los requerimientos de desempeo desde una perspectiva de anlisis costo/beneficio, para asegurar que no existen excedentes de capacidad o recursos Una verificacin peridica del reporte de desempeo producido y revisado por la administracin Identificando: Reportes de desempeo en cuanto a oportunidades de mejora o solucin de debilidades Las expectativas de desempeo de los usuarios estn siendo satisfechas, y que las modificaciones basadas en cambios de requerimientos estn siendo reflejadas en el plan Bitcoras o reportes de problemas que confirmen que los problemas ocurridos durante el procesamiento fueron considerados oportunamente y que se llevaron a cabo las acciones correctivas apropiadas Problemas especficos encontrados y el aseguramiento de la efectividad del proceso de solucin de problemas

IT GOVERNANCE INSTITUTE

143

DIRECTRICES DE AUDITORIA
OBJETIVOS DE CONTROL DE ALTO NIVEL
ENTREGA DE SERVICIOS Y SOPORTE DS4
Planeacin & Organizacin

ef ec tiv ef ida co icie d nf id ncia en in c ia te li di gri dad sp da o d cu nib m ilid p co lim ad nf ien ia bi to lid ad

Adquisicin & Implementacin

Entrega & Soporte

Control sobre el proceso de TI de: asegurar el servicio contnuo que satisface los requerimientos de negocio de: Asegurar de los servicios de TI estn disponibles de acuerdo con los requerimientos y asegurar un impacto mnimo en el negocio en el evento que ocurra una interrupcin mayor se hace posible a travs de: teniendo un plan de continuidad probado y funcional, que est alineado con el plan de continuidad del negocio y relacionado con los requerimientos de negocio y toma en consideracin:
Monitoreo

clasificacin con base en la criticidad procedimientos alternativos respaldo y recuperacin pruebas y entrenamiento sistemticos y regulares Procesos de escalamiento y monitoreo Responsabilidades organizacionales tanto internas como externas Planes de reactivacin Actividades de administracin de riesgos Anlisis de punto nico de falla Administracin de problemas
IT GOVERNANCE INSTITUTE

3 3 3 3 3
g ap ente lic a te cion cn e in olo s st g al ac a io da nes to s

144

DIRECTRICES DE AUDITORIA
DS 4 ASEGURAR EL SERVICIO CONTINUO

OBJETIVOS DE CONTROL
Marco de Referencia para Continuidad (recuperacin en caso de desastres) de TI Estrategia y Filosofa del Plan de Continuidad de TI Contenido del Plan de Continuidad de TI Reduccin de los Requerimientos de la Continuidad de TI Mantenimiento del Plan de Continuidad de TI Prueba del Plan de Continuidad de TI Capacitacin para el Plan de Continuidad de TI Distribucin del Plan de Continuidad de TI Procedimientos de Respaldo del Procesamiento Alterno en el Departamento Usuario Recursos crticos de TI 11 Respaldo del Sitio y del Hardware 12 Almacenamiento de respaldos en el sitio alterno 13 Procedimientos de Involucramiento 1 2 3 4 5 6 7 8 9 10

LOS OBJETIVOS DE CONTROL TANTO DETALLADOS COMO DE ALTO NIVEL SON AUDITADOS AL:
Obtener un entendimiento a travs de: Entrevistas: Presidencia de la funcin de servicios de informacin Administracin de operaciones de la funcin de servicios de informacin Administracin de continuidad de la funcin de servicios de informacin Administracin de recursos humanos o entrenamiento Organizaciones de usuarios con necesidades de reanudacin/continuidad en sus procesos Administrador del sitio de recuperacin del proveedor Administrador del almacenamiento fuera del centro de cmputo Administrador de riesgos/seguros Obteniendo: Polticas y procedimientos generales para la organizacin relacionados con el proceso de planeacin de recuperacin/ continuidad Polticas y procedimientos de la funcin de servicios de informacin relacionadas con: el marco referencial de continuidad, el plan, la filosofa, la estrategia, la priorizacin de aplicaciones, el plan de pruebas, los respaldos y rotaciones regulares y el entrenamiento de recuperacin de desastres/continuidad El plan de continuidad de TI Los usuarios de los servicios de los planes de continuidad Los resultados de las pruebas mas recientes de los planes de los usuarios relacionados con la continuidad y recuperacin del negocio La metodologa para determinar la priorizacin de aplicaciones en el evento de requerirse su recuperacin Los contratos de los proveedores que dan soporte a los servicios de continuidad Polticas de seguros por interrupcin del negocio
IT GOVERNANCE INSTITUTE

145

DIRECTRICES DE AUDITORIA
Evaluar los controles: Considerando si: Las polticas organizacionales requieren de un marco referencial de continuidad y de un plan como parte de los requerimientos normales de operacin tanto para la funcin de servicios de informacin como para todas las organizaciones dependientes de los recursos de sistemas de informacin Las polticas y procedimientos de la funcin de servicios de informacin requieren de: una filosofa y un marco referencial consistentes en relacin con el desarrollo de un plan de continuidad una priorizacin de las aplicaciones con respecto a los tiempos de recuperacin y regreso a la operacin normal una evaluacin de riesgos y la consideracin de seguros por prdidas del negocio en situaciones de continuidad para la funcin de servicios de informacin, as como para los usuarios de los recursos una determinacin de funciones y responsabilidades especficas con respecto a la planeacin de continuidad con pruebas, mantenimiento y requerimientos de actualizacin especficos un acuerdo de contrato formal con los proveedores que prestan servicios en el evento de requerirse la recuperacin, incluyendo instalaciones o relaciones de respaldo, anticipndose a una necesidad real la inclusin de los siguientes puntos como contenido mnimo en cada plan de continuidad: Procedimientos de emergencia para garantizar la seguridad de todos los miembros del personal afectados Funciones y responsabilidades de la funcin de servicios de informacin, de los proveedores que prestan servicios de recuperacin, de los usuarios de los servicios y del personal administrativo de soporte Un marco referencial de recuperacin consistente con un plan de continuidad a largo plazo Una lista de los recursos de sistemas que requieren alternativas (hardware, perifricos, software) Una lista de las aplicaciones priorizadas de mayor a menor, de los tiempos de recuperacin requeridos y de las normas de desempeo esperadas Funciones administrativas para comunicar y proporcionar servicios de soporte tales como beneficios, nmina, comunicacin externa, seguimiento de costos, etc. en el evento de requerirse la recuperacin Escenarios de desastre varios, desde las prdidas mnimas hasta la prdida total de la capacidad y respuesta a cada una en suficiente detalle para llevar a cabo una ejecucin paso a paso. La identificacin de equipo especfico y necesidades de suministros tales como impresoras de alta velocidad, firmas, formatos, equipo de comunicacin, telfonos, etc., as como de una fuente y otras fuentes alternativas definidas El entrenamiento, concientizacin y el conocimiento de las funciones individuales y de equipo en el plan continuidad La programacin de pruebas, los resultados de la ltima prueba y las acciones correctivas llevadas a cabo tomando como base la(s) prueba(s) anterior(es) El detalle de los proveedores de servicios contratados, de los servicios y de la expectativas de respuesta La informacin logstica de la localizacin de recursos claves, incluyendo el centro de cmputo de respaldo para la recuperacin de sistemas operativos, aplicaciones, archivos de datos, manuales de operacin y documentacin de programas/sistema/usuarios Los nombres, direcciones, nmeros de telfono/ "localizadores" (pagers) actuales del personal clave La inclusin de los planes de reconstruccin para la recuperacin en la ubicacin original de todos los sistemas y recursos Las alternativas de reanudacin del negocio para todos los usuarios estableciendo sitios de trabajo alternativo, una vez que los recursos de sistemas de informacin estn disponibles (por ejemplo, el sistema ha sido recuperado en el sitio alterno pero el edificio de los usuarios sufri un incendio y no est disponible)

146

IT GOVERNANCE INSTITUTE

DIRECTRICES DE AUDITORIA
Los requerimientos de la agencia reguladora con respecto a la planeacin de continuidad estn siendo satisfechos Los planes de contingencia para usuarios son desarrollados tomando como base la no disponibilidad de los recursos fsicos para llevar a cabo procesamientos crticos - manuales y computarizados Los sistemas de telefona, Correo de Voz, fax y sistemas de imgenes son parte del plan de continuidad Los sistemas de imgenes, los sistemas de fax, los documentos en papel as como los microfilm y los medios de almacenamiento masivo son parte del plan de continuidad.

Evaluar la suficiencia: Probando que: Existen planes de continuidad, que ste es actual y que es comprendido por todas las partes afectadas Se ha proporcionado a todas las partes involucradas un plan regular de entrenamiento de continuidad Se han seguido todas las polticas y procedimientos relacionadas con el desarrollo del plan El contenido del plan tiene como base el contenido descrito anteriormente, y que: los objetivos del plan de contingencia han sido alcanzados se ha seleccionado a las personas apropiadas para llevar a cabo funciones de liderazgo el plan ha recibido las revisiones y aprobaciones apropiadas por parte de la administracin el plan ha sido probado recientemente y que ste trabaj de acuerdo con lo esperado, o que cualquier deficiencia encontrada trajo como resultado la aplicacin de correcciones al plan existe un vnculo entre el plan de continuidad y el plan de negocios de la organizacin los procedimientos manuales alternativos son documentados y probados como parte de la prueba global Se han dado el entrenamiento y la concientizacin de los usuarios y del personal de la funcin de servicios de informacin en cuanto a funciones, tareas y responsabilidades especficas dentro del plan Las relaciones y tiempos del proveedor contratado son consistentes con las expectativas y necesidades del usuario El contenido del sitio de respaldo est actualizado y es suficiente con respecto a los procedimientos normales de rotacin en el sitio alterno (off-site)

Comprobar el riesgo de los objetivos de control no alcanzados: Llevando a cabo: Mediciones ("Benchmarking") de la planeacin de la continuidad contra organizaciones similares o estndares internacionales apropiados considerados como buenas prcticas en la industria Una revisin detallada de: los objetivos del plan para asegurar una estrategia apropiada y una interfase con la estrategia de continuidad general del negocio Un entendimiento apropiado de las responsabilidades individuales con respecto a proporcionar liderazgo como coordinadores del plan el plan es revisado y aprobado por los niveles apropiados de la presidencia los miembros seleccionados de la funcin de servicios de informacin y del departamento usuario para verificar que las necesidades del negocio estn incluidas en el plan de continuidad
IT GOVERNANCE INSTITUTE

147

DIRECTRICES DE AUDITORIA

los procedimientos de usuario para el procesamiento de datos manual alternativo para asegurar que stos estn documentados por los departamentos usuarios con el fin de ser utilizados cuando ocurra un desastre, y hasta que haya posibilidad de restaurar las operaciones despus del desastre los suministros de aplicacin especficos, para asegurar que existe inventario suficiente en un sitio de almacenamiento alterno (por ejemplo, cintas magnticas, reserva/inventario de cheques, reserva/inventario de certificados, etc.)

Identificando: Los contratos de los proveedores para verificar los tiempos para obtener suministros y la suficiencia de detalles del servicio, oportunidad, niveles de servicio y costos Las provisiones para adquirir componentes de redes o de telecomunicaciones especializadas Varios escenarios como parte del plan para suspensiones temporales o permanentes La priorizacin de aplicaciones ocurridas en forma consistente con las expectativas de los usuarios Que existen contratos por escrito para instalaciones de centro de cmputo externas proporcionales a las necesidades Velocidad, respuesta, disponibilidad y soporte de procesamiento del centro de cmputo alternativo, suficientes para los requerimientos de los usuarios Plan(es) de continuidad del (de los) proveedor(es) para asegurar la continuidad de sus servicios en caso de desastre La lejana de los servicios alternativos del proveedor con respecto al sitio original, con el fin de eliminar la posibilidad de desastres mutuos Pruebas peridicas del plan, habiendo ocurrido ajustes al plan basndose en pruebas Al personal usuario y de la funcin de servicios de informacin, asegurndose que haya recibido regularmente entrenamiento sobre el plan de continuidad La existencia de equipos, funciones y responsabilidades de reconstruccin similares, as como pruebas para migrar el procesamiento desde el lugar de procesamiento alternativo al sitio original

148

IT GOVERNANCE INSTITUTE

DIRECTRICES DE AUDITORIA

PAGINA INTENCIONALMENTE EN BLANCO

IT GOVERNANCE INSTITUTE

149

DIRECTRICES DE AUDITORIA
OBJETIVOS DE CONTROL DE ALTO NIVEL
ENTREGA DE SERVICIOS Y SOPORTE DS5
Planeacin & Organizacin

ef ec tiv ef ida co icie d nf id ncia en in c ia te li di gri dad sp da o d cu nib i m lid p co lim ad nf ien ia bi to lid ad

Adquisicin & Implementacin

Entrega & Soporte

Control sobre el proceso de TI de: garantizar la seguridad de los sistemas que satisface los requerimientos de negocio de: salvaguardar la informacin contra uso no autorizados, divulgacin, modificacin, dao o prdida se hace posible a travs de: controles de acceso lgico que aseguren que el acceso a sistemas, datos y programas est restringido a usuarios autorizados y toma en consideracin:
Monitoreo

Requerimiento de confidencialidad y privacidad Autorizacin, autenticacin y control de acceso identificacin de usuarios y perfiles de autorizacin Necesidad de tener y necesidad de conocer administracin de llaves criptogrficas manejo, reporte y seguimiento de incidentes Prevencin y deteccin de virus Firewalls Administracin centralizada de la seguridad Entrenamiento de usuarios Herramientas para el monitoreo del cumplimiento Pruebas y reportes de intrusin
IT GOVERNANCE INSTITUTE

3 3 3 3 3
g ap ente lic a te cion cn e in olo s st g al ac a io da nes to s

150

DIRECTRICES DE AUDITORIA
DS 5 GARANTIZAR LA SEGURIDAD DE LOS SISTEMAS
OBJETIVOS DE CONTROL
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 Manejo de las Medidas de Seguridad Identificacin, Autenticacin y Acceso Seguridad de Acceso a Datos en Lnea Administracin de Cuentas de Usuario Revisin Gerencial de Cuentas de Usuario Control de Usuario de las Cuentas de Usuario Vigilancia de Seguridad Clasificacin de Datos Administracin Centralizada de Identificacin y Derechos de Acceso Reportes de Actividades de Violacin y Seguridad Manejo de Incidentes Re-acreditacin Contrapartes confiables Autorizacin de Transaccin No Rechazo Ruta Confiable Proteccin de las Funciones de Seguridad Administracin de Llaves Criptogrficas Prevencin, Deteccin y Correccin del Software Daino Arquitectura de Firewalls y Conexiones con las Redes Pblicas Proteccin del Valor Electrnico

LOS OBJETIVOS DE CONTROL TANTO DETALLADOS COMO DE ALTO NIVEL SON AUDITADOS AL:
Obtener un entendimiento a travs de: Entrevistas: Oficial de seguridad Senior de la organizacin Administracin de la seguridad y presidencia de TI Administrador de la base de datos de TI Administrador de la seguridad de TI Administracin de desarrollo de aplicaciones de TI Obteniendo: Polticas y procedimientos globales para la organizacin referentes a la seguridad y el acceso de los sistemas de informacin Polticas y procedimientos de TI relacionadas con: seguridad y acceso a los sistemas de informacin Polticas y procedimientos relevantes, as como requerimientos de seguridad legales y regulatorios de los sistemas de informacin (por ejemplo, leyes, regulaciones, lineamientos/guas, estndares de la industria) incluyendo: procedimientos de administracin de cuentas de usuario

IT GOVERNANCE INSTITUTE

151

DIRECTRICES DE AUDITORIA

poltica de seguridad del usuario o de proteccin de la informacin estndares relacionados con el comercio electrnico esquema de clasificacin de datos inventario de software de control de acceso plano de los edificios/cuartos que contienen recursos de sistemas de informacin inventario o esquema de los puntos de acceso fsico a los recursos de sistemas de informacin (por ejemplo, mdems, lneas telefnicas y terminales remotas) procedimientos de control de cambios de software de seguridad procedimientos de seguimiento, solucin y escalamiento de problemas reportes de violaciones a la seguridad y procedimientos de revisin administrativa inventario de dispositivos de encriptacin de datos y de estndares de encriptacin lista de los proveedores y clientes con acceso a los recursos del sistema lista de los proveedores de servicios utilizados en la transmisin de datos prcticas de administracin de redes relacionadas con pruebas continuas de seguridad copias de los contratos de los proveedores de servicios de transmisin de datos copias de documentos firmados por lo usuarios relacionados con seguridad y concientizacin contenido del material de entrenamiento de seguridad para nuevos empleados reportes de auditora de auditores externos, proveedores de servicios como terceras partes y dependencias gubernamentales relacionadas con la seguridad de los sistemas de informacin

Evaluar los controles: Considerando si: Se cuenta con un plan de seguridad estratgico que proporcione una direccin y control centralizados sobre la seguridad de los sistemas de informacin, as como requerimientos de seguridad de usuario, como soporte Se cuenta con una organizacin de seguridad centralizada responsable de asegurar el acceso apropiado a los recursos del sistema Se cuenta con un esquema de clasificacin de datos en operacin que indique que todos los recursos del sistema cuentan con un propietario responsable de su seguridad y contenido Se cuenta con perfiles de seguridad de usuario que representen los menos accesos requeridos y que muestren revisiones regulares a los perfiles por parte de la administracin con fines de reacreditacin El entrenamiento de los empleados incluye un conocimiento y conciencia sobre seguridad, las responsabilidades de los propietarios y los requerimientos de proteccin contra virus Se cuenta con reportes de fallas a la seguridad y procedimientos formales de solucin de problemas. Estos reportes debern incluir: intentos no autorizados de acceso al sistema (sign on) intentos no autorizados de acceso a los recursos del sistema intentos no autorizados para consultar o modificar las definiciones y reglas de seguridad privilegios de acceso a recursos por ID de usuario modificaciones autorizadas a las definiciones y reglas de seguridad accesos autorizados a los recursos (seleccionados por usuario o recurso) cambio de estatus de la seguridad del sistema accesos a las tablas de parmetros de seguridad del sistema operativo

152

IT GOVERNANCE INSTITUTE

DIRECTRICES DE AUDITORIA
Existen mdulos criptogrficos y procedimientos de mantenimiento de llaves, si stos son administrados centralizadamente y si son utilizados para todas las actividades de acceso externo y de transmisin Existen estndares de administracin de llaves criptogrfica tanto para la actividad centralizada como para la de los usuarios Los controles de cambios al software de seguridad son formales y consistentes con los estndares normales de desarrollo y mantenimiento de sistemas Los mecanismos de autenticidad en uso proveen las siguientes facilidades: uso individual de datos de autenticacin (Ej., passwords nunca son reutilizados) autentificacin mltiple (Ej., se utilizan dos o ms mecanismos de autenticacin diferentes) autenticacin basada en polticas (Ej., capacidad para especificar procedimientos de autenticacin separados para eventos especficos) Autenticacin por demanda (Ej., habilidad para re-autenticar al usuario otras veces despus de la autentificacin inicial) El nmero de sesiones concurrentes correspondientes al mismo usuario estn limitadas Al ingresar al sistema, aparece un mensaje de advertencia preventivo en relacin al uso adecuado del hardware, software o conexin. Se despliega una pantalla de advertencia antes de completar la entrada para informar al lector que los accesos no autorizados podran causar responsabilidades legales Al lograrse la sesin exitosamente, se despliega el historial de los intentos exitosos y fallidos de acceso a la cuenta del usuario La poltica de password incluye: Forzar el cambio inicial de password la primera vez de uso longitud adecuada mnima del password la frecuencia obligada mnima de cambio de password verificacin del password en la lista de valores no permitidos (Ej., verificacin de diccionario) proteccin adecuada para los passwords de emergencia El procedimiento formal para resolucin de problemas incluye: ID de usuario suspendido despus de 5 intentos de entrada fallidos Fecha del ltimo acceso y el nmero de intentos fallidos se despliega al usuario autorizado una vez ingresado El tiempo de autenticacin se limita a 5 minutos, despus del cual se concluye la sesin Se le informa al usuario la suspensin, pero no la razn de la misma Los procedimientos de marcacin telefnica incluyen autenticacin basada en token o dial-back, cambios frecuentes del nmero telefnico, firewalls de hardware y software para restringir el acceso a los activos y cambios frecuentes de las claves de acceso y desactivacin de las claves de acceso de los empleados temporales Los mtodos de control por ubicacin fsica se utilizan para aplicar restricciones adicionales a las ubicaciones especficas El acceso al servicio de correo de voz y el sistema PBX est controlado con los mismos controles fsicos y lgicos de los sistemas computacionales El refuerzo a las polticas relacionadas con cargos sensitivos, incluyen: se les pide a los empleados en puestos sensitivos que permanezcan alejados de la organizacin durante un periodo adecuado de tiempo cada ao calendario (perodo de vacaciones; durante ste tiempo su User ID es suspendido; y la persona que reemplaza a el empleado es instruido en el sentido que debe notificar a la administracin si nota cualquier anormalidad relacionada con la seguridad) la rotacin de personal involucrado en actividades sensitivas, sin previa notificacin, se realiza de tiempo en tiempo El hardware y software de seguridad, as como los mdulos criptogrficos, estn protegidos contra la intromisin o divulgacin, el acceso se limita a la base de la necesidad de conocer

IT GOVERNANCE INSTITUTE

153

DIRECTRICES DE AUDITORIA
El acceso a los datos de seguridad as como la administracin de la seguridad, datos de transacciones sensitivas, passwords y llaves criptogrficas se limita a la base de la necesidad de conocer Se utilizan rutas confiables para transmitir informacin sensitiva no encriptada Para evitar la negacin del servicio por ataques con faxes basura, se toman medidas de seguridad como: evitar la publicacin de nmeros de fax fuera de la organizacin en la base de necesidad de conocer las lneas de fax utilizadas para solicitudes del negocio no se utilizan con otros fines Las medidas de control detectivo y preventivo han sido establecidas por la administracin para prevenir y detectar virus de computador Para reforzar la integridad de los valores electrnicos, se toman las medidas: facilidades de lector de tarjeta protegido contra la destruccin, publicacin o modificacin de la informacin de la tarjeta la informacin de la tarjeta (PIN y dems informacin) se protege contra la divulgacin de intruso se evita la falsificacin de las tarjetas Para reforzar la proteccin de las facilidad de seguridad, se toman medidas: el proceso de identificacin y autenticacin requiere ser repetido despus de un cierto periodo de inactividad un botn de bloqueo del sistema, un botn para forzar la salida o una secuencia de salida se puede activar cuando la Evaluar la suficiencia: Probando que: TI cumple con los estndares de seguridad relacionados con: autenticacin y acceso administracin de perfiles de usuario y clasificacin de la seguridad de datos reportes y revisin gerencial de las violaciones e incidentes de seguridad estndares de administracin de llaves criptogrficas Deteccin, resolucin y comunicacin sobre virus clasificacin y propiedad de datos Existen procedimientos para la requisicin, establecimiento y mantenimiento del acceso de usuarios al sistema Existen procedimientos para el acceso externo de recursos del sistema, por ejemplo, "logon, ID, password o contrasea y dial back Se lleva un inventario de los dispositivos de acceso al sistema para verificar su suficiencia Los parmetros de seguridad del sistema operativo tienen como base estndares locales/del proveedor Las prcticas de administracin de seguridad de la red son comunicadas, comprendidas e impuestas Los contratos de los proveedores de acceso externo incluyen consideraciones sobre responsabilidades y procedimientos de seguridad Existen procedimientos de logon vigentes para sistemas, usuarios y para el acceso de proveedores externos Se emiten reportes de seguridad en cuanto a la oportunidad, precisin y respuesta gerencial a incidentes Existen llaves secretas para la transmisin Los procedimientos para la proteccin contra software malicioso incluyen: todo el software adquirido por la organizacin se revisa contra los virus antes de su instalacin y uso existe una poltica por escrito sobre descargue de archivos, aceptacin y uso de software, freeware y shareware y esta poltica est vigente

154

IT GOVERNANCE INSTITUTE

DIRECTRICES DE AUDITORIA
el software para aplicaciones altamente sensibles est protegido por MAC (Messsage Authentication CodeCdigo de Autentificacin de Mensajes) o firma digital, y se utilizan mecanismos, fallas de verificacin para evitar el uso del software los usuarios tienen instrucciones para la deteccin y reportes de virus, como el desempeo lento o crecimiento misterioso de archivos existe una poltica y un procedimiento vigente para la verificacin de disquetes obtenidos por fuera del programa de compra normal de la organizacin Los firewalls poseen por lo menos las siguientes propiedades: todo el trfico de adentro hacia fuera y viceversa debe pasar por estos firewalls (esto no debe limitarse a los controles lgicos, debe reforzarse fsicamente) slo se permitir el paso al trfico autorizado, como se define en la poltica de seguridad local los firewalls por s mismo es inmune a la penetracin el trfico de intercambio en el firewall se lleva a cabo en la capa de aplicacin nicamente la arquitectura del firewall combina las medidas de control tanto a nivel de la red como de la aplicacin la arquitectura del firewall refuerza la discontinuidad de un protocolo en la capa de transporte la arquitectura del firewall debe estar configurada de acuerdo a la filosofa de arte mnimo la arquitectura del firewall debe desplegar slida autentificacin para la administracin y sus componentes la arquitectura del firewall oculta la estructura de la red interna la arquitectura del firewall provee una auditora de todas las comunicaciones hacia o a travs del sistema del firewall y activar alarmas cuando se detecte alguna actividad sospechosa el host de la organizacin, que provee el soporte para las solicitudes de entrada al servicio de las redes pblicas, permanece fuera del firewall la arquitectura del firewall se defiende de los ataques directos (Ej., a travs del monitoreo activo de la tecnologa de reconocimiento de patrones y trfico) todo cdigo ejecutable se explora en busca de cdigos maliciosos (Ej., virus, applets dainos) antes de introducirse a la red interna

Comprobar el riesgo de los objetivos de control no alcanzados:

Llevando a cabo: Mediciones (Benchmarking) de la seguridad de los sistemas de informacin contra organizaciones similares o estndares internacionales apropiados reconocidos con mejores prcticas de la industria Una revisin detallada de la seguridad de los sistemas de informacin, incluyendo evaluaciones de penetracin de la seguridad fsica y lgica de los recursos computacionales y de comunicaciones, etc. Entrevistas a los nuevos empleados para asegurar el conocimiento y la conciencia en cuanto a seguridad y en cuanto a las responsabilidades individuales, por ejemplo, confirmar la existencia de declaraciones de seguridad firmadas y el entrenamiento para nuevos empleados en cuanto a seguridad Entrevistas a usuarios para asegurar que el acceso est determinado tomando como base la necesidad (menor necesidad) y que la precisin de dicho acceso es revisada regularmente por la gerencia Identificando: Accesos inapropiados por parte de los usuarios a los recursos del sistema Inconsistencias con el esquema o inventario de redes en relacin con puntos de acceso faltantes, accesorios faltantes, etc.

IT GOVERNANCE INSTITUTE

155

DIRECTRICES DE AUDITORIA
Deficiencias en los contratos en cuanto a la propiedad y responsabilidades relacionadas con la integridad y seguridad de los datos en cualquier punto de la transmisin entre el envo y la recepcin Empleados no verificados como usuarios legtimos o empleados ya retirados que cuenten an con acceso Requisiciones informales o no aprobadas de acceso a los recursos del sistema Software de monitoreo de redes que no indique a la administracin de redes las fallas a la seguridad Defectos en los procedimientos de control de cambios del software de redes La no utilizacin de llaves secretas en los procedimientos de emisin/recepcin de terceras partes Deficiencias en los protocolos para generacin de llaves, almacenamiento de distribucin, entrada, uso, archivo y proteccin La falta de software actualizado para la deteccin de virus o de procedimientos formales para prevenir, detectar, corregir y comunicar contaminaciones

156

IT GOVERNANCE INSTITUTE

DIRECTRICES DE AUDITORIA

PAGINA INTENCIONALMENTE EN BLANCO

IT GOVERNANCE INSTITUTE

157

DIRECTRICES DE AUDITORIA
OBJETIVOS DE CONTROL DE ALTO NIVEL
ENTREGA DE SERVICIOS Y SOPORTE DS6
Planeacin & Organizacin

ef ec tiv ef ida co icie d nf id ncia en in c ia te li di gri dad sp da o d cu nib i m lid p co lim ad nf ien ia bi to lid ad

Adquisicin & Implementacin

Entrega & Soporte

Control sobre el proceso de TI de: identificacin y asignacin de costos que satisface los requerimientos de negocio de: asegurar un conocimiento correcto de los costos atribuibles a los servicios de TI se hace posible a travs de: un sistema de contabilidad de costos que asegure que stos sean registrados, calculados y asignados a los niveles de detalle requeridos y a los apropiados servicios ofrecidos y toma en consideracin:
recursos identificables y medibles procedimientos y polticas de cargo Procesos de tarifas de cargos y reembolso de Monitoreo

3 3 3 3 3
g ap ente lic a te cion cn e in olo s st g al ac a io da nes to s

cargos Enlace con los acuerdos de nivel de servicio Reportes automatizados Verificacin del reconocimiento de beneficios Benchmarking externo

158

IT GOVERNANCE INSTITUTE

DIRECTRICES DE AUDITORIA
DS 6 IDENTIFICACIN Y ASIGNACIN DE COSTOS

OBJETIVOS DE CONTROL
1 2 3 Elementos Sujetos a Cargo Procedimientos de Costeo Procedimientos de Cargo y Facturacin a Usuarios

LOS OBJETIVOS DE CONTROL TANTO DETALLADOS COMO DE ALTO NIVEL SON AUDITADOS AL:
Obtener un entendimiento a travs de: Entrevistas: Gerencia administrativa o de asignacin de costos de TI Administracin de usuarios seleccionada que es sujeta de costos y por lo tanto de recepcin de facturas Obteniendo: Polticas y procedimientos generales para la organizacin relacionadas con la planeacin y la preparacin del presupuesto Polticas y procedimientos de la funcin de servicios de informacin relacionados con metodologas de agregacin de costos y facturacin, as como reportes de desempeo/costos Los siguientes elementos de TI: Presupuesto actual y del ao anterior Reportes de seguimiento de la utilizacin de los recursos de los sistemas de informacin Datos fuente utilizados en la preparacin de los reportes de seguimiento Metodologa o algoritmo de asignacin de costos Reportes histricos de facturacin Los siguientes elementos de la administracin de usuarios: Presupuesto actual y del ao anterior para los costos de TI Plan de desarrollo y mantenimiento de sistemas de informacin del ao en curso Gastos presupuestados para los recursos de sistemas de informacin, incluyendo aquellos facturados o absorbidos Evaluar los controles: Considerando si: La funcin de servicios de informacin cuenta con un grupo responsable de reportar y emitir facturas a los usuarios Existen procedimientos que: creen un plan anual de desarrollo y mantenimiento con la identificacin de prioridades por parte del usuario en cuanto a desarrollo, mantenimiento y gastos operacionales permitan a los usuarios una determinacin de muy alto nivel en cuanto a en qu se gastan los recursos de la funcin de servicios de informacin generen un presupuesto anual para la funcin de servicios de informacin, incluyendo: Cumplimiento con los requerimientos organizacionales en cuanto a la preparacin de presupuestos Consistencia en cuanto a cules costos deben ser asignados por los departamentos usuarios
IT GOVERNANCE INSTITUTE

159

DIRECTRICES DE AUDITORIA
Comunicacin de costos histricos, suposicin de nuevos costos para la comprensin del usuario en cuanto a cules costos son incluidos y facturados Autorizacin del usuario de todos los costos presupuestados a ser asignados por la funcin de servicios de informacin Frecuencia de la emisin de reportes y cargo real de costos a los usuarios seguimiento de los costos asignados de todos los recursos de los sistemas de informacin, pero sin limitarse a: Hardware operacional Equipo perifrico Utilizacin de telecomunicaciones Desarrollo y soporte de aplicaciones Gastos operacionales administrativos Costos de servicios de proveedores externos Help Desk Instalaciones y mantenimiento Costos directos e indirectos Gastos fijos y variables Costos discrecionales y prdidas emisin regular de reportes para los usuarios en cuanto al desempeo para las distintas categoras de costos reporten a los usuarios en cuanto a mediciones (benchmarks) externas relacionadas con la efectividad de costos, con el fin de permitir una comparacin contra las expectativas de la industria u otras fuentes alternativas de servicios para los usuarios permitan la modificacin oportuna de la asignacin de costos para reflejar los cambios en las necesidades del negocio aprueben y acepten formalmente los cargos como son recibidos identifiquen las oportunidades de mejora de la funcin de servicios de informacin para reducir las facturaciones o para obtener un mejor valor por los cargos Los reportes aseguran que los elementos sujetos a cargo son identificables, medibles y predecibles Los reportes capturan y resaltan los cambios en los componentes de costos o en el algoritmo de asignacin Evaluar la suficiencia: Probando que: Existe una metodologa de asignacin de costos, que los usuarios estn de acuerdo en cuanto a su equidad, y que genera tanto costos como reportes y reclculos para la confirmacin de los costos Existe un programa de mejora para reducir costos o aumentar el desempeo de los recursos de los sistemas de informacin existentes Los procesos de asignacin y reporte fomentan un uso ms apropiado, efectivo y consistente de los recursos computacionales, que stos aseguran el tratamiento justo de los departamentos usuarios y sus necesidades, y que los cargos reflejan los costos asociados con la prestacin de servicios Comprobar el riesgo de los objetivos de control no alcanzados: Llevando a cabo: Mediciones (Benchmarking) de la metodologa para la contabilidad de costos y facturacin contra organizaciones similares o estndares internacionales apropiados reconocidos como mejores prcticas de la industria.

160

IT GOVERNANCE INSTITUTE

DIRECTRICES DE AUDITORIA
Un reclculo de la facturacin a partir de datos sujetos a anlisis, a travs de un algoritmo de asignacin de facturacin y dentro del flujo de reportes a usuarios La precisin de los datos en el reporte de desempeo, como: utilizacin de CPU utilizacin de perifricos utilizacin de DASD (dispositivos de acceso directo, discos) lneas de cdigo escritas lneas/pginas impresas modificaciones a programas llevadas a cabo nmero de PCs, telfonos, archivos de datos consultas al Help Desk nmero, duracin de las transmisiones La compilacin de los datos fuente de recursos en el reporte de desempeo es correcta Se cuenta con el algoritmo real para compilar y asignar costos a facturacin La precisin de la facturacin a usuarios especficos sea probada frecuentemente Las facturaciones a usuarios sean aprobadas Se lleven a cabo revisiones de consistencia de la facturacin entre los diferentes usuarios El progreso en el plan de desarrollo de usuarios tenga como base los costos expendidos Se lleve a cabo una revisin de la distribucin de reportes en cuanto a utilizacin e informacin de costos La satisfaccin del usuario en cuanto a : lo razonable de la facturacin comparada con las expectativas presupuestadas el plan de desarrollo anual contra los costos facturados lo razonable de la facturacin comparada con las fuentes alternativas, por ejemplo benchmarks la comunicacin de tendencias que incrementara/decrementara la facturacin solucin de las variaciones comparadas contra la facturacin esperada Identificando: Oportunidades para una mayor efectividad y propiedad de la metodologa de facturacin incluyendo ms componentes de costos modificando los ndices o unidades de medida de asignacin de costos modificando el algoritmo mismo de costos mecanizando o integrando la funcin de contabilidad con equipo y reportes generados por aplicaciones Inconsistencias dentro del algoritmo de asignacin Inconsistencias de asignacin entre diferentes usuarios Oportunidades para la mejora de recursos de sistemas Oportunidades para el usuario con el fin de aplicar de una mejor manera los recursos de servicios de informacin para alcanzar los requerimientos de negocios del usuario Mejoras en la eficiencia de los procesos de recopilacin, acumulacin, asignacin, reporte y comunicacin, los cuales se traducirn en un mejor desempeo o menor costo para los usuarios de los servicios proporcionados Que las tendencias de costos reflejadas por las variaciones y el anlisis hayan sido traducidas a cargos modificados en los perodos siguientes y hayan sido reflejadas en la estructura de costos Que existen oportunidades para hacer de la funcin de servicios de informacin un centro de obtencin de utilidades que centraliza los costos proporcionando servicios a otros usuarios internos o externos Si la funcin de servicios de informacin es un centro de obtencin de utilidades, que la contribucin de dichos beneficios contra el plan y el presupuesto sea alcanzada y que destaquen las oportunidades para aumentar los beneficios.

IT GOVERNANCE INSTITUTE

161

DIRECTRICES DE AUDITORIA
OBJETIVOS DE CONTROL DE ALTO NIVEL
ENTREGA DE SERVICIOS Y SOPORTE DS7
ef ec tiv ef ida co icie d nf id ncia en in c ia te li di gri dad sp da o d cu nib m ilid p co lim ad nf ien ia bi to lid ad
Planeacin & Organizacin

Adquisicin & Implementacin

Control sobre el proceso de TI de: educacin y entrenamiento de usuarios que satisface los requerimientos de negocio de: asegurar que los usuarios estn haciendo un uso efectivo de la tecnologa y estn conscientes de los riesgos y responsabilidades involucrados se hace posible a travs de: un plan completo de entrenamiento y desarrollo y toma en consideracin:

Entrega & Soporte

Monitoreo

Programa de entrenamiento Inventario de habilidades campaas de concientizacin tcnicas de concientizacin Usos de nuevas tecnologas y mtodos de entrenamiento Productividad personal Desarrollo de base de conocimientos

3
g ap ente lic a te cion cn e in olo s st g al ac a io da nes to s

162

IT GOVERNANCE INSTITUTE

DIRECTRICES DE AUDITORIA
DS 7 EDUCACIN Y ENTRENAMIENTO DE USUARIOS

OBJETIVOS DE CONTROL
1 2 3 Identificacin de necesidades de entrenamiento / Capacitacin Organizacin de Entrenamiento Entrenamiento sobre principios y conciencia de Seguridad

LOS OBJETIVOS DE CONTROL TANTO DETALLADOS COMO DE ALTO NIVEL SON AUDITADOS AL:
Obtener un entendimiento a travs de: Entrevistas: Administrador de entrenamiento o recursos humanos de la organizacin Administrador de entrenamiento o de recursos humanos de TI Administradores y empleados seleccionados de TI Administradores y empleados seleccionados de los departamentos usuarios Obteniendo: Polticas y procedimientos generales para la organizacin con respecto al entrenamiento sobre controles y conciencia de seguridad, beneficios para los empleados enfocados al desarrollo, programas de entrenamiento para los usuarios de servicios, instalaciones educacionales y requerimientos de educacin continua profesional Programas, polticas y procedimientos de entrenamiento y de educacin de TI relacionados con concientizacin en controles y seguridad, controles y seguridad tcnica Programas de entrenamiento disponibles (tanto internos como externos) para concientizacin en controles y seguridad introductorios y continuos as como entrenamiento dentro de la organizacin Evaluar los controles: Considerando si: Existen polticas y procedimientos relacionados con una concientizacin continua de seguridad y controles Se cuenta con un programa de educacin/entrenamiento enfocado a los principios de seguridad y control de los sistemas de informacin Los nuevos empleados tienen conocimiento y conciencia de la responsabilidad de seguridad y control con respecto a la utilizacin y la custodia de los recursos de TI Se cuenta con polticas y procedimientos vigentes relacionados con entrenamiento y si stos estn actualizados con respecto a la configuracin tcnica de los recursos de TI Existe disponibilidad de oportunidades y frecuencia de entrenamiento interno, considerando tambin la asistencia de los empleados Existe disponibilidad de oportunidades y frecuencia de entrenamiento tcnico externo, considerando tambin la asistencia de los empleados Si una funcin de entrenamiento es analizada con base en las necesidades de entrenamiento del personal con respecto a seguridad y controles, trasladando estas necesidades en oportunidades de entrenamiento interno o externo Se requiere a todos los empleados asistir a entrenamientos de conciencia de control y seguridad continuamente, los cuales incluiran, sin limitarse a:
IT GOVERNANCE INSTITUTE

163

DIRECTRICES DE AUDITORIA
principios generales de seguridad de sistemas conducta tica de TI prcticas de seguridad para la proteccin contra daos ocasionados por fallas que afecten la disponibilidad, confidencialidad, integridad y desempeo de las funciones en una forma segura existen las responsabilidades asociadas con la custodia y utilizacin de los recursos de TI la seguridad de la informacin y los sistemas de informacin cuando se utilizan en un sitio alterno/externo La entrenamiento sobre concientizacin en seguridad incluye una poltica para evitar la exposicin de la informacin sensitiva a travs de conversaciones (Ej., avisando el estatus de la informacin a todas las personas que toman parte en la conversacin)

Evaluar la suficiencia: Probando que: Los nuevos empleados tienen conciencia y conocimiento de la seguridad, controles y responsabilidades fiduciarias de poseer y utilizar recursos de TI Las responsabilidades de los empleados con respecto a la confidencialidad, integridad, disponibilidad, confiabilidad y seguridad de todos los recursos de TI es comunicada continuamente Un grupo de la funcin de TI es formalmente responsable del entrenamiento para el personal de TI, sobre concientizacin en seguridad y control y mantenimiento de programas de educacin continua para certificaciones profesionales Se considera continuamente la evaluacin de las necesidades de entrenamiento para empleados El desarrollo o la participacin en los programas de entrenamiento relacionados con seguridad y controles es parte de los requerimientos de entrenamiento Existen programas de entrenamiento vigentes para concientizar a los nuevos y antiguos empleados en seguridad Los acuerdos de confidencialidad y conflicto de intereses son firmados por todos los empleados No faltan estatutos de confidencialidad y conflicto de intereses para empleados No faltan evaluaciones de necesidades de entrenamiento para empleados Comprobar el riesgo de los objetivos de control no alcanzados: Llevando a cabo: Una revisin de los manuales de entrenamiento en cuanto a su adecuacin y suficiencia con respecto a controles de seguridad, confidencialidad, confiabilidad, disponibilidad e integridad Entrevistas al personal de TI para determinar la identificacin de necesidades de entrenamiento y la extensin o satisfaccin de tales necesidades Identificando: Inconsistencias en los programas ofrecidos como respuesta a las necesidades de entrenamiento Deficiencias en la concientizacin de los usuarios en cuanto a problemas de seguridad y control relacionados con la utilizacin de los recursos de TI

164

IT GOVERNANCE INSTITUTE

DIRECTRICES DE AUDITORIA

PAGINA INTENCIONALMENTE EN BLANCO

IT GOVERNANCE INSTITUTE

165

DIRECTRICES DE AUDITORIA
OBJETIVOS DE CONTROL DE ALTO NIVEL
ENTREGA DE SERVICIOS Y SOPORTE DS8
Planeacin & Organizacin

ef ec tiv ef ida i co cie d nf id ncia en in c ia te li di gri dad sp da o d cu nib i l m p id co lim ad nf ien ia bi to lid ad

Adquisicin & Implementacin

Entrega & Soporte

Control sobre el proceso de TI de: Apoyo y asistencia a los clientes que satisface los requerimientos de negocio de: asegurar que cualquier problema experimentado por los usuarios sea atendido apropiadamente se hace posible a travs de: Una facilidad de Help Desk18 que proporcione soporte y asesora de primera lnea y toma en consideracin:
Monitoreo

consultas de usuarios y respuesta a problemas monitoreo de consultas y despacho anlisis y reporte de tendencias Desarrollo de una base de conocimientos Anlisis de las causas de originan los problemas Seguimiento y escalamiento de problemas

3 3
g ap ente lic a te cion cn e in olo s st al ga ac io da nes to s

18

Help Desk: Mesa de control y ayuda /area que da soporte inicial a los usuarios y que escala los problemas

166

IT GOVERNANCE INSTITUTE

DIRECTRICES DE AUDITORIA
DS 8 APOYO Y ASISTENCIA A LOS CLIENTES

OBJETIVOS DE CONTROL
1 2 3 4 5 Help Desk Registro de consultas del cliente Escalamiento de consultas del cliente Monitoreo de atencin a clientes Anlisis y reporte de tendencias

LOS OBJETIVOS DE CONTROL TANTO DETALLADOS COMO DE ALTO NIVEL SON AUDITADOS AL:
Obtener un entendimiento a travs de: Entrevistas: Administrador de soporte del Help Desk de TI Usuarios seleccionados de los servicios de informacin Obteniendo: Polticas y procedimientos generales para la organizacin relacionados con el soporte a usuarios de TI Organigrama, estatutos, misin, polticas y procedimientos de TI relacionados con las actividades de Help Desk Reportes relacionados con la consultas de los usuarios, su solucin y estadsticas de desempeo del Help Desk Cualquier estndar de desempeo para las actividades del Help Desk Acuerdos de nivel de servicios entre TI y diferentes usuarios Archivos personales que muestren las credenciales y experiencia profesional del personal del Help Desk

Evaluar los controles: Considerando si: La naturaleza de la funcin del Help Desk (por ejemplo, la forma en las solicitudes de ayuda son procesadas y la asistencia es proporcionada) es efectiva Existen instalaciones vigentes, divisiones o departamentos que lleven a cabo la funcin de Help Desk, as como personal o posiciones responsables del Help Desk El nivel de documentacin para las actividades del Help Desk es adecuado y est actualizado Existe un proceso real para registrar solicitudes de servicios y si se hace uso de dicha bitcora El proceso para la escalamiento de preguntas y la intervencin de la administracin para su solucin son suficientes El perodo de tiempo para atender las solicitudes recibidas es adecuado Existen los procedimientos para el seguimiento de tendencias y reportes de las actividades del Help Desk Se identifican y ejecutan formalmente iniciativas de mejora de desempeo Se alcanzan y se cumple con los acuerdos de nivel de servicio y los estndares de desempeo El nivel de satisfaccin del usuario peridicamente se revisa y se reporta

IT GOVERNANCE INSTITUTE

167

DIRECTRICES DE AUDITORIA
Probando que: Las polticas y procedimientos son actuales y precisos en relacin con las actividades del Help Desk Los compromisos de nivel de servicio son conservados y que las variaciones son explicadas Las solicitudes de servicio son atendidas de una forma oportuna El anlisis y reporte de tendencias asegura que los reportes: son emitidos y que se toman las medidas necesarias para mejorar el servicio incluyen problemas especficos, anlisis de tendencias y tiempos de respuesta son enviados a las personas responsables con la autoridad para resolver los problemas Se obtienen para una muestra de solicitudes de ayuda, confirmacin de la precisin, oportunidad y suficiencia de la respuesta Las encuestas sobre el nivel de satisfaccin del usuario existen y se trabaja con ellas Comprobar el riesgo de los objetivos de control no alcanzados: Llevando a cabo: Entrevistas con usuarios seleccionados para determinar su satisfaccin en cuanto a: actividades del Help Desk reporte de actividades cumplimiento de los compromisos de nivel de servicio Una revisin de la competencia y capacidad del personal del Help Desk con respecto a la realizacin de sus tareas Una revisin de solicitudes seleccionadas que han sido escaladas para verificar lo adecuado de sus respuestas Una revisin de los reportes de tendencias y posibles oportunidades de mejoras de desempeo Identificando: Interacciones inadecuadas de las actividades del Help Desk con respecto a otras funciones dentro de la funcin de TI, as como a las organizaciones usuarias Procedimientos y actividades insuficientes relacionadas con problemas en el reporte de recepcin, registro, seguimiento, escalamiento y solucin de preguntas Deficiencias en el proceso de escalamiento con respecto a la falta de involucramiento por parte de la administracin o a acciones correctivas efectivas Oportunidad inadecuada en el reporte de problemas o insatisfaccin del usuario en cuanto al proceso de reporte de problemas.

168

IT GOVERNANCE INSTITUTE

DIRECTRICES DE AUDITORIA

PAGINA INTENCIONALMENTE EN BLANCO

IT GOVERNANCE INSTITUTE

169

DIRECTRICES DE AUDITORIA
OBJETIVOS DE CONTROL DE ALTO NIVEL
ENTREGA DE SERVICIOS Y SOPORTE DS9
Planeacin & Organizacin

ef ec tiv ef ida i d c co nf ienc id en ia in c ia te li di gri dad sp da o d cu nib m ilid p co lim ad nf ien ia bi to lid ad

Adquisicin & Implementacin

Entrega & Soporte

Control sobre el proceso de TI de: Administracin de la configuracin que satisface los requerimientos de negocio de: dar cuenta de todos los componentes de TI, prevenir alteraciones no autorizadas, verificar la existencia fsica y proporcionar una base para la sana administracin de cambios se hace posible a travs de: controles que identifiquen y registren todos los activos de TI as como su localizacin fsica y un programa regular de verificacin que confirme su existencia y toma en consideracin:
Monitoreo

registro de activos administracin de cambios en la configuracin chequeo de software no autorizado controles de almacenamiento de software Interrelaciones e integracin entre software y hardware Uso de herramientas automatizadas

3 3 3
g ap ente lic a te cion cn e in olo s st g al ac a io da nes to s

170

IT GOVERNANCE INSTITUTE

DIRECTRICES DE AUDITORIA
DS 9 ADMINISTRACIN DE LA CONFIGURACIN
OBJETIVOS DE CONTROL
1 2 3 4 5 6 7 8 Registro de la Configuracin Estndar de la Configuracin Estado de la contabilizacin o registro Control de la Configuracin Software no Autorizado Almacenamiento de Software Procedimientos para la administracin de la configuracin Contabilizacin o registro del software

LOS OBJETIVOS DE CONTROL TANTO DETALLADOS COMO DE ALTO NIVEL SON AUDITADOS AL:
Obtener un entendimiento a travs de: Entrevistas: Administracin de operaciones de TI Administracin de soporte de sistemas de TI Administracin de desarrollo de aplicaciones de TI Administracin de instalaciones Personal de soporte de proveedores de software Personal de administracin de activos relacionados con computacin Administrador de aseguramiento de la calidad Obteniendo: Un inventario de la configuracin: hardware, software de sistema operativo, software de aplicaciones, instalaciones y archivos de datos dentro y fuera de las instalaciones Polticas y procedimientos organizacionales relacionados con la adquisicin, inventario y disposicin de software y equipo computacional comprado, rentado o arrendado con opcin de compra Polticas organizacionales relacionadas con la utilizacin de software o equipo no autorizado Polticas y procedimientos de la funcin de servicios de informacin relacionados especficamente con la adquisicin, disposicin y mantenimiento de los recursos de la configuracin Polticas y procedimientos de TI relacionados con las funciones de aseguramiento de la calidad y de control de cambios en cuanto a la transferencia independiente y el registro de la migracin del desarrollo de software nuevo y modificado hacia los archivos y estatus de produccin Informacin de la lnea base/estndar de la configuracin Registros contables de activos fijos y arrendamientos relacionados con los recursos de sistemas Reportes relacionados con adiciones, eliminaciones y cambios a la configuracin de los sistemas Listas del contenido de las distintas libreras prueba, desarrollo y produccin Inventario del contenido del almacenamiento externo equipo, archivos, manuales y formas incluyendo material en manos de los proveedores
IT GOVERNANCE INSTITUTE

171

DIRECTRICES DE AUDITORIA
Considerando si: El proceso para crear y controlar las lneas base de la configuracin (el punto de corte en el diseo y desarrollo de un elemento de la configuracin ms all del cual no ocurren ms avances sin llevar a cabo un estricto control de la configuracin) es apropiado Existen funciones para mantener la base de la configuracin Existe un proceso para controlar la contabilizacin y registro de los recursos adquiridos y arrendados incluyendo entradas, salidas e integracin con otros procesos Los procedimientos de control de la configuracin incluyen: integridad en la lnea base de la configuracin controles de autorizacin de acceso programados en el sistema de administracin de cambios la recuperacin de los elementos de la configuracin y las requisiciones de cambios en cualquier momento la terminacin de la configuracin y de los reportes que evalan lo adecuado de los procedimientos de registro de la configuracin evaluaciones peridicas de la funcin de registro de la configuracin el personal responsable de la revisin del control de la configuracin satisfaga los requisitos de conocimientos, destrezas y habilidades la existencia de procedimientos para revisar el acceso a las bases del software los resultados de las revisiones sean proporcionados a la administracin para llevar a cabo acciones correctivas Se lleva a cabo regularmente una revisin peridica de la configuracin con registros contabilizados y registrados La lnea base de la configuracin cuenta con historia suficiente para dar seguimiento a los cambios Existen procedimientos de control de cambios de software para: establecer y mantener una librera de programas de aplicacin con licencia asegurar que la librera de programas de aplicacin con licencia sea controlada adecuadamente asegurar la confiabilidad e integridad del inventario de software asegurar la confiabilidad e integridad del inventario de software autorizado utilizado y revisar la existencia de software no autorizado asignar responsabilidades sobre el control de software no autorizado a un miembro especfico del personal registrar el uso de software no autorizado y reportar a la administracin para llevar a cabo acciones correctivas determinar si la administracin llev a cabo acciones correctivas sobre las violaciones Los procesos de migracin de aplicaciones de desarrollo al ambiente de pruebas y finalmente al estatus de produccin interactan con el reporte de la configuracin El proceso de almacenamiento de software incluye: definir un rea segura de almacenamiento de archivos (librera) para todo el software vlido en fases apropiadas del ciclo de vida de desarrollo de sistemas requerir separacin de las libreras de almacenamiento de software entre ellas y con respecto a las reas de almacenamiento de archivos de desarrollo, pruebas y produccin requerir la existencia dentro de las libreras fuente que permitan la colocacin temporal de mdulos fuente a ser transferidos al perodo de ciclo de produccin requerir que cada miembro de todas las libreras cuente con un propietario designado definir controles de acceso lgicos y fsicos Establecer el registro y contabilizacin del software

172

IT GOVERNANCE INSTITUTE

DIRECTRICES DE AUDITORIA
establecer un seguimiento de auditora detectar, documentar y reportar a la administracin todas las instancias en las que no se cumpla con este procedimiento determinar si la administracin llev a cabo acciones correctivas Existe una coordinacin entre el desarrollo de aplicaciones, el aseguramiento de la calidad y las operaciones con respecto a los cambios sobre la lnea base de la configuracin, al llevarse a cabo su actualizacin.

El software es rotulado e inventariado peridicamente El software de administracin de libreras es utilizado para:


Producir pistas de auditora de los cambios a los programas Mantener el nmero de la versin de los programas Registrar y reportar los cambios a los programas Mantener informacin sobre la creacin/actualizacin de los mdulos en produccin Mantener copia de versiones anteriores Actualizar el control de versiones

Evaluar la suficiencia: Probando que: Todos los elementos de la configuracin se encuentran bajo un control de una lnea base Las polticas y procedimientos relacionados con el reporte de la configuracin son actuales y precisos Se cumple con los estndares de desempeo con respecto al mantenimiento y reporte de la configuracin Se lleva a cabo una comparacin entre la lnea base de la configuracin y el inventario fsico del equipo as como con los registros de contabilizacin de activos Existe independencia de la migracin de pruebas a produccin y registros de los cambios Para una seleccin de salidas de lnea base: se lleve una lnea base precisa, apropiada y actualizada de los elementos de la configuracin los registros de la configuracin reflejen el estatus actual de todos los elementos de la configuracin, incluyendo la historia de cambios la administracin revise y evale peridicamente la consistencia de la configuracin, y que se lleven a cabo acciones correctivas las libreras de archivos hayan sido definidas conveniente y adecuadamente y en fases apropiadas del ciclo de vida de desarrollo de sistemas para todas las computadoras personales que contengan software no autorizado se reporten violaciones y la administracin lleve a cabo acciones correctivas los registros de la configuracin con respecto a producto, versin y modificaciones de los recursos proporcionados por los proveedores sean precisos los registros histricos de cambios a la configuracin sean precisos existan mecanismos para asegurar que no exista software no autorizado en las computadoras, incluyendo: Polticas y normas/estatutos Entrenamiento y conciencia de responsabilidades potenciales (legales y de producto)

IT GOVERNANCE INSTITUTE

173

DIRECTRICES DE AUDITORIA
Formas firmadas de cumplimiento por parte de todo el personal que utilice computadoras Control centralizado del software computacional Revisin continua del software computacional Reportes de los resultados de la revisin Acciones correctivas por parte de la administracin basadas en los resultados de las revisiones el almacenamiento de programas de aplicacin y cdigo fuente sea definido durante el ciclo de desarrollo y que el impacto de los registros de la configuracin sea determinado la suficiencia e integridad de los registros de proveedores y del sitio alterno relacionados con la configuracin, as como la precisin en los registros de la configuracin sean anticipados y considerados se definan procedimientos de lnea base de la configuracin para: Registrar el evento que cre la lnea base, el establecimiento de la lnea base y los elementos de la configuracin que deben ser controlados en la lnea base Modificar la lnea base, incluyendo la autoridad requerida para aprobar los cambios a las lneas bases de la configuracin aprobadas previamente Registrar los cambios a la lnea base y los elementos de la configuracin que deben ser controlados en la lnea base Asegurar que todos los elementos de la configuracin son registrados dentro de los productos de la lnea base existe el reporte de la contabilizacin para: El tipo de informacin a ser recopilada, almacenada, procesada y reportada (Esto deber incluir el estatus de la lnea base, los hallazgos en las revisiones de la lnea base, solicitudes y estatus de cambios; revisin y aprobacin/desaprobacin del control de la configuracin (s aplica); modificaciones realizadas; reportes de problemas y estatus y la historia de la revisin de la configuracin) La manera en la que los problemas de solicitudes de cambio son resueltos con un estado de cuenta incompleto Los tipos de reportes de estados de cuenta a ser generados y su frecuencia La manera en la que el acceso a estos datos de estatus ser controlado

Comprobar el riesgo de los objetivos de control no alcanzados: Llevando a cabo: Una revisin detallada de la frecuencia y la oportunidad de las revisiones administrativas de los registros de la configuracin, los cambios a los registros y la reconciliacin de lo registros de inventario, contabilizacin y registro de los proveedores Un anlisis del software de varias libreras en cuanto a posible duplicacin, identificacin de cdigo objeto faltante y en cuanto a la eliminacin de archivos de datos o programas innecesarios -- y su reflejo en los registros de la configuracin

174

IT GOVERNANCE INSTITUTE

DIRECTRICES DE AUDITORIA
Identificando: Las debilidades en la concientizacin y en el conocimiento de la administracin y el personal en cuanto a las polticas organizacionales con respecto a: Los registros de la configuracin y los cambios realizados a estos registros La colocacin de controles de configuracin en el ciclo de vida de desarrollo de sistemas La integracin de los registros de configuracin, contabilizacin y registro de los proveedores La no utilizacin de software no autorizado en computadoras personales Posibles mejoras inadecuadas en la efectividad y la eficiencia de la funcin de creacin y mantenimiento de la lnea base de la configuracin Deficiencias en los cambios de proveedores al ser reflejados en los registros de la configuracin, en los registros de seguridad, o cambios a los registros por parte de los proveedores reflejados apropiadamente

IT GOVERNANCE INSTITUTE

175

DIRECTRICES DE AUDITORIA
OBJETIVOS DE CONTROL DE ALTO NIVEL
ENTREGA DE SERVICIOS Y SOPORTE DS10
Planeacin & Organizacin

ef ec tiv ef ida co icie d nf id ncia en in c ia te li di gri dad sp da o d cu nib m ilid p co lim ad nf ien ia bi to lid ad

Adquisicin & Implementacin

Entrega & Soporte

Control sobre el proceso de TI de: administracin de problemas e incidentes que satisface los requerimientos de negocio de: asegurar que los problemas e incidentes sean resueltos y que sus causas sean investigadas para prevenir cualquier recurrencia se hace posible a travs de: un sistema de administracin de problemas que registre y d seguimiento a todos los incidentes y toma en consideracin:
suficientes pistas de auditora de problemas y Monitoreo

soluciones resolucin oportuna de problemas reportados procedimientos de escalamiento reportes de incidentes Acceso a la informacin de la configuracin Responsabilidades de los proveedores Coordinacin con administracin de cambios

3 3 3 3 3
g ap ente lic a te cion cn e in olo s st al ga ac io da nes to s

176

IT GOVERNANCE INSTITUTE

DIRECTRICES DE AUDITORIA
DS 10 ADMINISTRACIN DE PROBLEMAS E INCIDENTES

OBJETIVOS DE CONTROL
1 2 3 4 5 Sistema de administracin de Problemas Escalamiento de Problemas Seguimiento de Problemas y Pistas de Auditora Autorizaciones de acceso temporales y de emergencia Prioridades para procesamiento de emergencia

LOS OBJETIVOS DE CONTROL TANTO DETALLADOS COMO DE ALTO NIVEL SON AUDITADOS AL:
Obtener un entendimiento a travs de: Entrevistas: Personal de soporte de operaciones de TI Personal de soporte del Help Desk de TI Personal de soporte de sistemas de TI Personal de soporte de aplicaciones de TI Usuarios seleccionados de los recursos de TI Obteniendo: Un resumen de las instalaciones y posiciones de administracin de problemas que realizan la funcin de administracin de problemas Polticas y procedimientos de la funcin de TI relacionados con la administracin de problemas, incluyendo procesos de reconocimiento, registro, solucin, escalamiento, seguimiento y reporte Una lista de los problemas reportados durante un perodo representativo, incluyendo la fecha de ocurrencia, la fecha de escalamiento (s aplica), la fecha de solucin y los tiempos de solucin Una lista de las aplicaciones crticas que son escaladas inmediatamente a la atencin de la presidencia para darles prioridad de solucin, o que son reportables como problemas crticos Un conocimiento de cualquier aplicacin de manejo de problemas, y en particular un mtodo para asegurar que todos los problemas son capturados, resueltos y reportados segn lo requerido Evaluar los controles: Considerando si: Existe un proceso de manejo de problemas que asegure que todos los eventos operacionales que no son parte de las operaciones estndar son registrados, analizados y resueltos de manera oportuna, y que se generan reportes de incidentes para problemas significativos Existen procedimientos de manejo de problemas para: definir e implementar un sistema de administracin de problemas registrar, analizar y resolver de manera oportuna todos los eventos no-estndar
IT GOVERNANCE INSTITUTE

177

DIRECTRICES DE AUDITORIA

establecer reportes de incidentes para los eventos crticos y la emisin de reportes para usuarios identificar tipos de problemas y metodologa de priorizacin que permitan una variedad de soluciones tomando el riesgo como base definir controles lgicos y fsicos de la informacin de manejo de problemas distribuir salidas sobre la base de necesidad de conocer seguir las tendencias de los problemas para maximizar recursos y reducir la rotacin recolectar entradas de datos precisas, actuales, consistentes y utilizables para la emisin de reportes notificar al nivel apropiado de administracin sobre los escalamientos y concientizacin determinar si la administracin evala peridicamente el proceso de manejo de problemas en cuanto a una mayor efectividad y eficiencia asegurar la suficiencia de los seguimientos de auditora para los problemas de sistemas asegurar la integracin entre los cambios, la disponibilidad, los sistemas y el personal de administracin de la configuracin Las prioridades de procesamiento de emergencia existen, estn documentadas y requieren la aprobacin de programas apropiados y de la gerencia de TI Hay procedimientos de autorizacin de accesos de emergencia y temporales que requieren: Documentacin de acceso a formularios estndar y mantenidos en archivos Aprobacin por parte de los gerentes apropiados Asegurar la comunicacin con la funcin de seguridad Terminacin automtica de acceso despus de un perodo de tiempo predeterminado Evaluar la suficiencia: Probando que: Una muestra seleccionada de salidas de procesos cumple con los procedimientos establecidos relacionados con: problemas no-crticos problemas crticos/ de alta prioridad que requieren escalamiento el reporte de los requerimientos, el contenido, la exactitud, distribucin y acciones tomadas Satisfaccin del usuario con el proceso del manejo de problemas y sus resultados Va entrevistas, el conocimiento y la conciencia del proceso de manejo de problemas Comprobar el riesgo de los objetivos de control no alcanzados: Llevando a cabo: Para una seleccin de problemas reportados, pruebas que aseguren que los procedimientos de manejo de problemas fueron seguidos para todas las actividades no-estndar, incluyendo: registro de todos los eventos no-estndar por proceso seguimiento y solucin de todos y cada una de los eventos nivel apropiado de respuesta tomando como base la prioridad del evento escalamiento de problemas para eventos crticos reporte apropiado dentro de la funcin de TI y grupos usuarios revisiones regulares de efectividad y eficiencia de procesos en cuanto a mejoras expectativas y xito de programa de mejoras del desempeo

178

IT GOVERNANCE INSTITUTE

DIRECTRICES DE AUDITORIA
Identificando: Ocurrencias de problemas no controlados formalmente por el proceso de manejo de problemas Ocurrencias de problemas reconocidos pero no resueltos por proceso de manejo de problemas Variaciones entre los eventos de procesos reales y formales con respecto a la solucin de problemas Deficiencias de los usuarios en el proceso de manejo de problemas, en la comunicacin de problemas y su solucin en cuanto a posibles oportunidades de mejora

IT GOVERNANCE INSTITUTE

179

DIRECTRICES DE AUDITORIA
OBJETIVOS DE CONTROL DE ALTO NIVEL
ENTREGA DE SERVICIOS Y SOPORTE DS11
Planeacin & Organizacin

ef ec tiv ef ida co icie d nf id ncia en in c ia te li di gri dad sp da o d cu nib i m lid p co lim ad nf ien ia bi to lid ad

Adquisicin & Implementacin

Entrega & Soporte

Control sobre el proceso de TI de: Administracin de datos que satisface los requerimientos de negocio de: asegurar que los datos permanezcan completos, precisos y vlidos durante su entrada, actualizacin y almacenamiento se hace posible a travs de: una combinacin efectiva de controles generales y de aplicacin sobre las operaciones de TI y toma en consideracin:
Monitoreo

diseo de formatos controles de documentos fuente controles de entrada, procesamiento y salida identificacin, movimiento y administracin de la librera de medios Recuperacin y respaldo de datos autenticacin e integridad Propiedad de datos Polticas de administracin de datos

3
g ap ente lic a te cion cn e in olo s st g al ac a io da nes to s

Modelo de datos y estndares de representacin de datos Integracin y consistencia a travs de plataformas Requerimientos legales y regulatorios

180

IT GOVERNANCE INSTITUTE

DIRECTRICES DE AUDITORIA
DS 11 ADMINISTRACIN DE DATOS

OBJETIVOS DE CONTROL
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 Procedimientos de Preparacin de Datos Procedimientos de Autorizacin de Documentos Fuente Recopilacin de Datos de Documentos Fuente Manejo de Errores de Documentos Fuente Retencin de Documentos Fuente Procedimientos de Autorizacin de Entrada de Datos Revisiones de Precisin, Suficiencia y Autorizacin Manejo de Errores en la Entrada de Datos Integridad de Procesamiento de Datos Validacin y Edicin de Procesamiento de Datos Manejo de Errores en el Procesamiento de Datos Manejo y Retencin de Salida de Datos Distribucin de Salida de Datos Balanceo y Conciliacin de Datos de Salida Revisin de Salida de Datos y Manejo de Errores Provisiones de Seguridad para Reportes de Salida Proteccin de Informacin Sensitiva durante su transmisin y transporte Proteccin de Informacin Sensitiva Desechada Administracin de Almacenamiento Perodos de Retencin y Trminos de Almacenamiento Sistema de Administracin de la Librera de Medios Responsabilidades de la Administracin de la Librera de Medios Respaldo y Restauracin Funciones de Respaldo Almacenamiento de Respaldo Archivo Proteccin de mensajes sensitivos Autenticacin e Integridad Integridad de Transacciones Electrnicas Integridad continua de Datos Almacenados

LOS OBJETIVOS DE CONTROL TANTO DETALLADOS COMO DE ALTO NIVEL SON AUDITADOS AL:
Obtener un entendimiento a travs de: Entrevistas: Administracin de operaciones de TI Administracin de bases de datos de TI Administracin de desarrollo de aplicaciones de TI Administracin de entrenamiento/recursos humanos de TI Administracin de soporte de sistemas de TI Administracin de la seguridad del sitio de respaldo Administraciones de diferentes usuarios para aplicaciones de misin crtica

IT GOVERNANCE INSTITUTE

181

DIRECTRICES DE AUDITORIA
Obteniendo: Polticas y procedimientos organizacionales relacionados con la naturaleza y administracin de datos, incluyendo: flujo de datos dentro de la funcin de TI y hacia/desde los usuarios de los datos puntos en la organizacin en los que los datos son originados, concentrados en grupos o tandas (batched), editados, capturados, procesados, extrados, revisados, corregidos y remitidos, y distribuidos a los usuarios proceso de autorizacin de documentos fuente procesos de recoleccin, seguimiento y transmisin de datos procedimientos para asegurar la suficiencia, precisin, registro y transmisin de documentos fuente completos para su captura procedimientos utilizados para identificar y corregir errores durante la creacin de datos procedimientos para asegurar la integridad, confidencialidad y no rechazo de los mensajes sensitivos transmitidos por Internet o cualquier otra red pblica mtodos utilizados por la organizacin para retener documentos fuente (archivo, imgenes, etc.), para definir qu documentos deben ser retenidos, los requerimientos de retencin legales y regulatorios, etc. sistemas de interfase que proporcionen y utilicen datos para las funciones de TI contratos de proveedores para llevar a cabo tareas de administracin de datos reportes administrativos utilizados para monitorear actividades e inventarios Una lista de todas las aplicaciones mayores, as como de la documentacin de usuario relacionada con: mdulos que lleven a cabo revisiones de precisin, suficiencia y autorizacin de captura en el ingreso de datos funciones que lleven a cabo entradas de datos para cada aplicacin funciones que lleven a cabo rutinas de correccin de errores de entrada de datos mtodos utilizados para prevenir (por medios manuales y programados), detectar y corregir errores control de la integridad de los procesos de datos enviados a proceso edicin y autenticacin de la validacin del procesamiento de datos tan cerca del punto de origen como sea posible manejo y retencin de salidas creadas por aplicaciones salidas, distribucin de salidas y sistemas de interfase que utilizan salidas procedimientos de balanceo de salidas para control de totales y conciliacin de variaciones revisin de la precisin de los reportes de salida y de la informacin seguridad en el procesamiento distribuido de los reportes seguridad de los datos transmitidos y entre aplicaciones disposicin de documentacin sensible de entrada, proceso y salida procedimientos de control de proveedores como terceras partes con respecto a preparacin, entrada, procesamiento y salida Polticas y procedimientos relacionados con cualquier repositorio central de bases de datos de la organizacin, incluyendo: organizacin de la base de datos y diccionario de datos procedimientos de mantenimiento y seguridad de bases de datos determinacin y mantenimiento de la propiedad de las bases de datos procedimientos de control de cambios sobre el diseo y contenido de la base de datos reportes administrativos y pistas de auditora que definen actividades de bases de datos

182

IT GOVERNANCE INSTITUTE

DIRECTRICES DE AUDITORIA
Polticas y procedimientos relacionados con la librera de medios y con el almacenamiento de datos externo, incluyendo: administracin de la librera de medios y del sistema de administracin de la librera requerir la identificacin externa de todos los medios requerir el inventario actual de todos los contenidos y procesos para actividades de control procesos de administracin/depuracin para proteger los recursos de datos procedimientos de reconciliacin entre registros actuales y registros de datos almacenados reciclaje de datos y rotacin de medios de datos Inventario de datos de prueba y pruebas de recuperacin llevadas a cabo Medios y funciones del personal en el sitio alterno en el plan de continuidad Evaluar los controles: Considerando si: Para la preparacin de datos: los procedimientos de preparacin de datos aseguran suficiencia, precisin y validez existen procedimientos de autorizacin para todos los documentos fuente existe una separacin de funciones entre el origen, la aprobacin y la conversin de documentos fuente a datos los datos autorizados permanecen completos, precisos y vlidos a travs de la creacin de documentos fuente los datos son transmitidos de una manera oportuna se lleva a cabo una revisin peridica de los documentos fuente en cuanto a su suficiencia y aprobaciones apropiadas se lleva a cabo un manejo apropiado de documentos fuente errneos existe un control adecuado de informacin sensitiva en documentos fuente para su proteccin contra eventos que los puedan comprometer los procedimientos aseguran suficiencia y precisin de documentos fuente, registro/contabilizacin apropiada para documentos fuente y conversin oportuna la retencin de documentos fuente es lo suficientemente larga para permitir la reconstruccin en caso de prdida, la disponibilidad para revisiones y auditora, las consultas legales o requerimientos regulatorios Para la entrada de datos: los documentos fuente siguen un proceso de aprobacin apropiada antes de su captura existe una separacin de funciones apropiada entre las actividades de envo, aprobacin, autorizacin y entrada de datos existen cdigos nicos de terminal o estacin e identificaciones seguras de operadores existen procesos de uso, mantenimiento y control de cdigos de estacin e IDs de operador Existen pistas de auditora para identificar la fuente de entrada existen rutinas de verificacin para la edicin de los datos capturados tan cerca del punto de origen como sea posible existen procesos apropiados de manejo de datos de entrada errneos se asignan claramente las responsabilidades para hacer cumplir una autorizacin apropiada sobre los datos

IT GOVERNANCE INSTITUTE

183

DIRECTRICES DE AUDITORIA
Para el procesamiento de datos: Los programas contienen rutinas de prevencin, deteccin y correccin de errores: los programas deben probar las entradas en cuanto a errores (por ejemplo, validacin y edicin) los programas deben validar todas las transacciones contra una lista maestra los programas deben rechazar la anulacin de condiciones de error Los procesos de manejo de errores incluyen: la correccin de errores y reenvo de la transaccin debe ser aprobada la definicin de responsabilidades individuales para el manejo de archivos en suspenso la generacin de reportes de errores no resueltos emitidos a partir de los archivos en suspenso la disponibilidad del esquema de priorizacin de archivos suspendidos tomando como base la edad y el tipo Existen bitcoras de los programas ejecutados y las transacciones procesadas/rechazadas para pistas de auditora Existe un grupo de control para monitorear las actividades de entrada e investigar los eventos no-estndar, as como balancear las cuentas de registros y totales de control para todos los datos procesados Todos los campos son editados apropiadamente, an si uno de los campos contiene algn error Las tablas utilizadas en la validacin son revisadas frecuentemente Existen procedimientos por escrito para la correccin y reenvo de datos con errores incluyendo una solucin que no afecte su reprocesamiento Las transacciones reenviadas son procesadas exactamente como fueron procesadas originalmente La responsabilidad de la correccin de errores reside dentro de la funcin de envo original Los sistemas de Inteligencia Artificial estn colocados en un marco referencial de control interactivo con operadores humanos para aseguran que las decisiones importantes se aprueben Para las salidas, interfaces y distribucin: El acceso a las salidas est restringido fsica y lgicamente a personal autorizado Se lleva a cabo una revisin continua de necesidades de salidas Las salidas son balanceadas rutinariamente con respecto a totales de control Existen pistas de auditora para facilitar el seguimiento del procesamiento de transacciones y la reconciliacin de datos alterados La precisin de los reportes de salidas es revisada y los errores contenidos en las salidas son controlados por personal capacitado Existe una definicin clara sobre aspectos de seguridad durante las salidas, interfaces y distribucin Las fallas en seguridad durante cualquier fase son comunicadas a la administracin, se llevan a cabo acciones correctivas sobre ellas y son reflejadas apropiadamente en nuevos procedimientos El proceso y la responsabilidad de desechar/reciclar las salidas est claramente definida La destruccin de materiales utilizados pero no requeridos despus de procesados es presenciada por testigos Todos los medios de entrada y salida son almacenados en un sitio de almacenamiento alterno en caso de requerirse en un futuro La informacin marcada como eliminada cambia de tal forma que no se pueda recuperar Para la librera de medios: El contenido de la librera de medios es inventariada sistemticamente Las discrepancias descubiertas por el inventario son solucionadas oportunamente Se toman medidas para mantener la integridad de los medios magnticos almacenados en la librera

184

IT GOVERNANCE INSTITUTE

DIRECTRICES DE AUDITORIA
Existen procesos de mantenimiento y limpieza para proteger el contenido de la librera de medios Las responsabilidades de la administracin de la librera de medios han sido asignadas a miembros especficos del personal de TI Existen estrategias de respaldo y restauracin de medios Los respaldos de medios se llevan a cabo de acuerdo con la estrategia de respaldos y si la utilidad de los respaldos es verificada regularmente Los respaldos de medios son almacenados con seguridad y si las localidades de almacenamiento son revisadas peridicamente en cuanto a la seguridad de sus acceso fsico y a la seguridad de los archivos de datos y otros elementos Los periodos de retencin y almacenamiento estn definidos por documentos, datos, programas, reportes y mensajes (entrantes y salientes) as como los datos (llaves, certificados) utilizados para su encriptacin y autentificacin Adicional al almacenamiento de documentos fuentes en papel, las conversaciones telefnicas son registrados y almacenadassi no entra en conflicto con las leyes locales de privacidadpara transacciones y otras actividades que son parte de las actividades tradicionales del negocio que se llevan a cabo mediante el uso del telfono Los procedimientos adecuados estn activos en relacin al archivo de informacin (datos y programas) en lnea con los requerimientos legales y del negocio y reforzando la capacidad de respuesta y reproduccin Para la autenticacin e integridad de informacin: La integridad de los archivos de datos se verifica peridicamente Las solicitudes externas a la organizacin recibidas por va telefnica o correo de voz se verifican confirmando por telfono o algn otro medio de autenticacin Un mtodo preestablecido se utiliza independiente a la verificacin de la autentificacin de la fuente y el contenido de las solicitudes de transaccin recibida va fax o sistemas de imgenes La firma electrnica o la certificacin se utilizan para verificar la integridad y autenticidad de los documentos electrnicos entrantes

Evaluar la suficiencia: Probando que: La preparacin de datos: Para una muestra seleccionada de documentos fuente, existe consistencia evidente con respecto a los procedimientos establecidos relacionados con la autorizacin, aprobacin, precisin, suficiencia y recepcin de entrada de datos y si la entrada de datos es oportuna El personal responsable de la informacin fuente, de su ingreso y conversin tiene conciencia y comprende los requerimientos de control en la preparacin de datos La entrada de datos: El envo a proceso de datos de prueba (tanto transacciones correctas como errneas) para asegurar que se llevan a cabo revisiones de precisin, suficiencia y autorizacin Para transacciones seleccionadas se comparan los archivos maestros antes y despus de la captura Existe una apropiada revisin de retencin, solucin y de la integridad en el manejo de errores Los procedimientos y acciones de manejo de errores cumplen con las polticas y controles establecidos

IT GOVERNANCE INSTITUTE

185

DIRECTRICES DE AUDITORIA
El procesamiento de datos: Se utilizan efectivamente los totales de control corrida-a-corrida y los controles de actualizacin de archivos maestros Se envan datos de prueba (tanto transacciones correctas como errneas) para asegurar que se llevan a cabo la validacin, autenticacin y edicin de procesamiento de datos tan cerca del punto de origen como sea posible El proceso de manejo de errores es llevado a cabo de acuerdo con los procedimientos y controles establecidos Se llevan a cabo la retencin, solucin y revisin apropiada de la integridad en el manejo de errores y que stas funcionan adecuadamente Los procedimientos y acciones del manejo de errores cumplen con los procedimientos y controles establecidos La Salida, Interfase y Distribucin de Datos: La salida es balanceada rutinariamente contra totales de control relevantes Las pistas de auditora son proporcionadas para facilitar el seguimiento del procesamiento de transacciones en la reconciliacin de datos confusos o errneos Los reportes de salida son revisados en cuanto a su precisin por parte del proveedor y los usuarios relevantes Existen la retencin, solucin y revisin apropiada de la integridad en el manejo de errores y que stas funcionan adecuadamente Los procedimientos y acciones de manejo de errores cumplen con las polticas y controles establecidos Los reportes de salidas son asegurados al esperar ser distribuidos, as como aqullos ya distribuidos a los usuarios de acuerdo con los procedimientos y controles establecidos Existe la proteccin adecuada para la informacin sensible durante la transmisin y transporte contra los accesos no autorizados y las modificaciones Existe una proteccin adecuada de informacin sensitiva durante la transmisin y transporte en cuanto a accesos y modificaciones no autorizadas Los procedimientos y acciones para el desecho/reciclaje de informacin sensitiva cumplen con los procedimientos y controles establecidos La Librera de Medios: El contenido de la librera de medios es inventariado sistemticamente, que todas las discrepancias encontradas son solucionadas oportunamente y se toman medidas para mantener la integridad de los medios almacenados en la librera Los procedimientos de mantenimiento/limpieza diseados para proteger el contenido de la librera de medios existen y funcionan adecuadamente Las responsabilidades de la administracin de la librera de medios son asignadas apropiadamente La librera de medios es independiente de las funciones de preparacin, entrada, procesamiento y salida La estrategia de respaldos y restauracin de medios es apropiada Los respaldos de medios se llevan a cabo apropiadamente de acuerdo con la estrategia de respaldo definida Los sitios de almacenamiento de medios son seguros fsicamente y que su inventario est actualizado El almacenamiento de datos considera los requerimientos de recuperacin y la economa o efectividad de costos Los perodos de retencin y los trminos de almacenamiento son apropiados para documentos, datos, programas y reportes

186

IT GOVERNANCE INSTITUTE

DIRECTRICES DE AUDITORIA
Para la integridad y autenticacin de la informacin El riesgo de direccionar mensajes (por carta, fax o e-mail) equivocadamente se reduce con los procedimientos adecuados Existen protecciones adecuadas para asegurar la integridad, confidencialidad y no rechazo de los mensajes sensitivos transmitidos sobre internet o cualquier otra red pblica Los controles normalmente se aplican a un proceso de transaccin especfico, como faxes o contestadores telefnicos automticos, tambin aplica a sistemas computacionales que soportan la transaccin o proceso (Ej., software de fax en las computadoras personales) Comprobar el riesgo de los objetivos de control no alcanzados: Llevando a cabo: Mediciones (Benchmarking) de la administracin de datos contra organizaciones similares o estndares internacionales apropiados reconocidos como mejores prcticas de la industria Para una seleccin de transacciones, confirmar lo apropiado del procesamiento durante: la preparacin de datos el procesamiento de entradas el procesamiento de datos la salida, distribucin o integracin el manejo de errores en todas las fases del procesamiento la integridad de los datos a travs del manejo de errores en todas las fases del procesamiento retencin y destruccin Pruebas especficas para lo siguiente: suficiencia, precisin y validez durante cada fase del procesamiento aprobaciones y autorizaciones adecuadas existencia de controles preventivos, detectivos y correctivosdentro del procesamiento o a travs del control de funciones manuales de grupo/procedimentales retencin de documentos fuente para la revisin posterior de la consistencia con respecto a los requerimientos de retencin recuperacin de una seleccin de documentos fuente y transacciones para confirmar la existencia y la precisin anlisis de la disponibilidad de pistas de auditora: existencia, identificacin de fuente/operador y asegurar que cualquier sistema de interfase cuenta con niveles iguales de control sobre las transacciones edicin de las facilidades de programas de entrada y procesamiento, incluyendo, pero sin limitarse a: Blancos en campos requeridos Validacin de cdigos de transacciones Montos negativos Cualquier otra condicin apropiada suficiencia de las pruebas de validacin internas al procesamiento archivos suspenso con transacciones defectuosas, incluyendo los siguientes controles: Identificacin inmediata del operador que comete el error y aviso del error Todas las transacciones de error son transferidas a estos archivos suspenso El registro es mantenido hasta que la transaccin es resuelta y eliminada Las transacciones muestran cdigo de error, fecha y hora de captura, operador y mquina

IT GOVERNANCE INSTITUTE

187

DIRECTRICES DE AUDITORIA
Los archivos de suspenso crean reportes de seguimiento para la revisin administrativa, el anlisis de tendencias y entrenamiento correctivo separacin de la funciones de origen, entrada, procesamiento, verificacin y distribucin Para una seleccin de transacciones de salida: revisar una muestra de listas de transacciones procesadas en cuanto a su suficiencia y precisin revisar una muestra de reportes de salida en cuanto a precisin y suficiencia revisar los calendarios de retencin de salidas en cuanto a su adecuacin y cumplimiento de los procedimientos confirmar que la distribucin real de una muestra de salidas fue llevada a cabo con precisin confirmar el procesamiento integrado confirmando la salida de una bitcora de procesamiento de transacciones de un sistema con la entrada de la bitcora de otro sistema revisar los procedimientos de balanceo para todas las entradas, salidas de procesamiento y otras transacciones usadas por el sistemas confirmar que nicamente personal autorizado tiene acceso a reportes sensitivas confirmar la destruccin o reubicacin de almacenamientos en sitios externos para todos los medios de datos por polticas y procedimientos de retencin confirmar los perodos reales de retencin contra los procedimientos de retencin atestiguar la entrega o transmisin real de salidas sensitivas y el cumplimiento con los procedimientos de procesamiento, distribucin y seguridad confirmar la creacin e integridad de los respaldos en asociacin con el procesamiento normal, as como para los requerimientos del plan de continuidad Para la librera de medios: revisar el acceso de los usuarios a los servicios/utilidades/utilitarios sensitivos; determinar que el acceso es apropiado seleccionar una muestra de medios a ser destruida y observar el proceso completo; verificar el cumplimiento de los procedimientos aprobados determinar lo adecuado de los controles para los datos en almacenamientos en el sitio externo y mientras los datos estn en trnsito obtener resultados del inventario de la librera de medios ms reciente; confirmar su precisin confirmar que los procesadores que mantienen los registros son suficientes para accesar los medios necesarios revisar los controles para restringir el intento de saltar (bypass) las reglas de etiquetado internas y externas probar el cumplimiento de los controles internos y externos va revisin de medios seleccionados revisar los procedimientos de creacin de respaldos para asegurar la existencia de datos suficientes en caso de desastre confirmar las inspecciones de la librera de medios por requerimientos programados de actividades Identificando:

Si cuando los archivos de produccin son accesados directamente por los operadores se crean y mantienen imgenes de los archivos antes y despus del acceso formas de entrada y salida sensitivas (por ejemplo, inventario/stock de cheques, certificados de reservas) no protegidas bitcoras no llevadas y mantenidas para totales batch y de control para todas las fases del procesamiento

188

IT GOVERNANCE INSTITUTE

DIRECTRICES DE AUDITORIA

reportes de salidas no tiles a los usuarios: datos no relevantes y tiles, reportes no necesarios, distribucin no apropiada, formato y frecuencia no adecuados, acceso en lnea no controlado a los reportes datos transmitidos sin controles adicionales, incluyendo: Accesos de envo/recepcin de transmisiones limitados Autorizacin e identificacin apropiadas del emisor y del receptor Medios seguros de transmisin Encriptacin de datos transmitidos y algoritmos de decodificacin apropiados Pruebas de integridad de la transmisin en cuanto a su suficiencia Procedimientos de retransmisin contratos de proveedores con controles faltantes como servicios de destruccin deficiencias en el sitio externo con respecto a amenazas ambientales tales como fuego, agua, fallas elctricas y accesos no autorizados

IT GOVERNANCE INSTITUTE

189

DIRECTRICES DE AUDITORIA
OBJETIVOS DE CONTROL DE ALTO NIVEL
ENTREGA DE SERVICIOS Y SOPORTE DS12
Planeacin & Organizacin

ef ec tiv ef ida co icie d nf id ncia en in c ia te li di gri dad sp da o d cu nib i m lid p co lim ad nf ien ia bi to lid ad

Adquisicin & Implementacin

Entrega & Soporte

Control sobre el proceso de TI de: Administracin de instalaciones que satisface los requerimientos de negocio de: proporcionar un ambiente fsico conveniente que proteja al equipo y al personal de TI contra peligros naturales o fallas humanas se hace posible a travs de: la instalacin de controles fsicos y ambientales adecuados que sean revisados regularmente para su funcionamiento apropiado y toma en consideracin:
Monitoreo

acceso a instalaciones identificacin del sitio seguridad fsica Polticas de inspeccin y escalamiento Planeacin de continuidad del negocio y administracin de crisis salud y seguridad del personal Polticas de mantenimiento preventivo proteccin contra amenazas ambientales Monitoreo automatizado

3
g ap ente lic a te cion cn e in olo s st g al ac a io da nes to s

190

IT GOVERNANCE INSTITUTE

DIRECTRICES DE AUDITORIA
DS 12 ADMINISTRACIN DE INSTALACIONES

OBJETIVOS DE CONTROL
1 2 3 4 5 6 Seguridad Fsica Bajo Perfil de las Instalaciones de Tecnologa de Informacin Escolta de Visitantes Salud y Seguridad del Personal Proteccin contra Factores Ambientales Suministro Ininterrumpido de Energa

LOS OBJETIVOS DE CONTROL TANTO DETALLADOS COMO DE ALTO NIVEL SON AUDITADOS AL:
Obtener un entendimiento a travs de: Entrevistas: Administrador de las Instalaciones Oficial de Seguridad Administrador de Riesgos Administracin de operaciones de TI Administrador de la seguridad de TI Obteniendo: Polticas y procedimientos organizacionales relacionados con la administracin, planos del sitio, seguridad, inventario de activos fijos e inventario de las instalaciones, as como adquisicin/leasing Polticas y procedimientos de TI relacionados con el plano de las instalaciones, la seguridad fsica y lgica, acceso, mantenimiento, registro de visitantes, salud, seguridad y requerimientos ambientales, mecanismos de entrada y salida, reporte de seguridad, contratos de seguridad y mantenimiento, inventario de equipo, procedimientos de vigilancia, y requerimientos regulatorios Una lista de los individuos que tienen acceso a las instalaciones y al plano del piso de la instalacin Una lista de los acuerdos de desempeo, capacidad y nivel de servicio con respecto a las expectativas de desempeo de los recursos TI (equipo e instalaciones), incluyendo estndares industriales Copia del documento de planeacin de continuidad Evaluar los controles: Considerando si: La localizacin de las instalaciones no es obvia externamente, se encuentra en el rea u organizacin menos accesible, y si el acceso es limitado al menor nmero de personas Los procedimientos de acceso lgico y fsico son suficientes, incluyendo perfiles de seguridad de acceso para empleados, proveedores, equipo y personal de mantenimiento de las instalaciones Los procedimientos y prcticas de administracin de llave ("Key" ) y lectora de tarjetas ("card reader") son adecuados, incluyendo la actualizacin y revisin continuas tomando como base una menor necesidad de acceso
IT GOVERNANCE INSTITUTE

191

DIRECTRICES DE AUDITORIA
Las polticas de acceso y autorizacin de entrada/salida, escolta, registro, pases temporales requeridos, cmaras de vigilancia son apropiadas para todas las reas y especialmente para las reas ms sensibles Se llevan a cabo revisiones peridicas de los perfiles de acceso, incluyendo revisiones administrativas Existen y se llevan a cabo los procesos de revocacin, respuesta y escalamiento en caso de violaciones a la seguridad Existe el proceso de signage con respecto a la no identificacin de reas sensibles, y si es consistente con los requerimientos de seguro, cdigo de construccin local y regulatorios Las medidas de control de seguridad y acceso incluyen a los dispositivos de informacin porttiles utilizados fuera del sitio Se lleva a cabo una revisin de los registros de visitantes, asignacin de pases, escolta, persona responsable del visitante, bitcora para asegurar tanto los registros de entradas como de salidas y el conocimiento de la recepcionista con respecto a los procedimientos de seguridad Se lleva a cabo una revisin de los procedimientos de aviso contra incendio, cambios de clima, problemas elctricos y procedimientos de alarma, as como las respuestas esperadas en los distintos escenarios para los diferentes niveles de emergencias ambientales Se lleva a cabo una revisin de los procedimientos de control de aire acondicionado, ventilacin, humedad y las respuestas esperadas en los distintos escenarios de prdida o extremos no anticipados Existe una revisin del proceso de alarma al ocurrir una violacin a la seguridad, que incluya: definicin de la prioridad de la alarma (por ejemplo, apertura de la puerta por parte de una persona armada que ha entrado en las instalaciones) escenarios de respuesta para cada alarma de prioridad responsabilidades del personal interno versus personal de seguridad local o proveedores interaccin con las autoridades locales revisin del simulacro de alarma ms reciente La organizacin es responsable del acceso fsico dentro de la funcin de servicios de informacin, incluyendo: desarrollo, mantenimiento y revisiones continuas de polticas y procedimientos de seguridad establecimiento de relaciones con proveedores relacionados con la seguridad contacto con la administracin de las instalaciones en cuanto a problemas de tecnologa relacionados con seguridad coordinacin del entrenamiento y conciencia sobre seguridad para la organizacin coordinacin de actividades que afecten en control de acceso lgico va aplicaciones centralizadas y software de sistema operativo proporcionar entrenamiento y crear conciencia de seguridad no slo dentro de la funcin de servicios de informacin, sino para los servicios de usuarios Se llevan a cabo prcticas de distribuidores automticos y servicios de conserjera para investigacin del personal en las instalaciones de la organizacin Se llevan a cabo la actualizacin y negociacin del contenido de los contratos de servicio Los procedimientos de pruebas de penetracin y los resultados coordinan los escenarios de prueba de penetracin fsica coordinan la prueba de penetracin fsica con proveedores y autoridades locales Se cumple con las regulaciones de salud, seguridad y ambiente La seguridad fsica es tomada en cuenta en el plan de recuperacin/contingencia en caso de desastre y abarca una seguridad fsica similar en las instalaciones aprovisionadas Existen elementos de infraestructura especficos alternativos necesarios para implementar seguridad: fuente de poder ininterrumpida (UPS) alternativas o re enrutamiento de lneas de telecomunicacin recursos alternativos de agua, gas, aire acondicionado y humedad

192

IT GOVERNANCE INSTITUTE

DIRECTRICES DE AUDITORIA
Evaluar la suficiencia: Probando que: El personal tiene conciencia y comprende la necesidad de seguridad y controles Los armarios cableados estn fsicamente protegidos con el acceso posible autorizado y el cableado se encuentra bajo tierra o conductos protegidos tanto como sea posible El proceso de signage identifica rutas de emergencia y qu hacer en caso de una emergencia o violacin a la seguridad Los directorios de telfono en otra partes de la instalacin no identifican localidades sensibles La bitcora de visitantes sigue apropiadamente los procedimientos de seguridad Existen los procedimientos de identificacin requeridos para cualquier acceso dentro o fuera va observacin Las puertas, ventanas, elevadores, ventilas y ductos o cualquier otro modo de acceso estn identificados El site computacional est separado, cerrado y asegurado y es accesado nicamente por personal de operaciones y gente de mantenimiento tomando como base un acceso necesario El personal de las instalaciones rota turnos y toma vacaciones y descansos apropiados Existen los procedimientos de mantenimiento y registro para un desempeo de trabajo oportuno Las variaciones de las polticas y procedimientos en las operaciones de los turnos segundo y tercero son reportadas Los planes fsicos son actualizados a medida que cambian la configuracin, el ambiente y las instalaciones Los registros y el equipo de monitoreo ambiental y de seguridad --debajo, en, sobre, y alrededor son mantenidos No se almacenan tiles peligrosos Existe el seguimiento de auditora de control de acceso sobre software de seguridad o reportes clave de administracin Se ha dado seguimiento a toda emergencia ocurrida en el pasado o a su documentacin El personal con acceso son empleados reales Se llevan a cabo verificaciones de suficiencia de administracin clave de acceso Se otorga una educacin en seguridad fsica y conciencia de seguridad Existe una cobertura y experiencia de seguros para los gastos asociados con algn evento de seguridad, prdida del negocio y gastos para recuperar la instalacin El proceso para la implementacin de acceso a cambios de llaves y controles de procesos lgicos es continuo y conocido El ambiente cumple con los requerimientos regulatorios establecidos Las bitcoras de mantenimiento de alarmas no pueden ser modificadas inapropiadamente La frecuencia de cambios a los cdigos de acceso y revisiones de perfil involucramiento de usuario e instalaciones es documentada Comprobar el riesgo de los objetivos de control no alcanzados: Llevando a cabo: Mediciones (Benchmarking) de administracin de instalaciones contra organizaciones similares o estndares internacionales/buenas prcticas reconocidas en la industria apropiadas Comparaciones de la disposicin o plano fsico contra bosquejos del edificio y dispositivos de seguridad Determinaciones sobre: la no aparicin de la instalacin en s como una localidad de servicios de sistemas, ni siquiera sugerida indirectamente va direcciones, sealamientos de estacionamiento, etc. la limitacin del nmero de puertas por cdigos locales de construccin/seguro la suficiente proteccin de las instalaciones a travs de barreras fsicas para evitar el acceso inapropiado de vehculos y personas patrones de trnsito para asegurar que el flujo no dirige a las personas hacia las reas de seguridad la suficiencia del monitoreo con videos y la revisin de cintas
IT GOVERNANCE INSTITUTE

193

DIRECTRICES DE AUDITORIA
la existencia de espacio apropiado para el equipo computacional en cuanto a acceso, temperatura y mantenimiento la suficiencia y disponibilidad de las cubiertas para el equipo contra agua o elementos externos en caso de emergencia la revisin de las bitcoras de mantenimiento de alarmas y el reporte del ltimo reporte de simulacro Pruebas sobre temperatura, humedad, electricidad sobre y debajo de los pisos falsos; si han ocurrido anomalas, cules fueron las actividades de investigacin/solucin resultantes Revisiones de todos los seguros y bisagras (bisagras dentro de la habitacin) Una visita de las instalaciones sin portar gafete para determinar si se llevan a cabo detenciones e interrogatorios sobre el hecho de no portar gafete Revisiones de la cobertura del guardia/recepcionista cuando un visitante es escoltado a travs de las instalaciones Pruebas de seguridad de penetracin de las instalaciones Identificando: Suficiencia de sealizacin, extintores de incendios, sistemas de aspersin, UPS, drenaje, cableado y mantenimiento regular Para las ventanas: asegurar que ningn recursos es visible desde el exterior, que no existan aparadores en el centro de datos Determinacin de pruebas de seguridad de penetracin Pruebas de visitantes, incluyendo registro, gafete, escolta, inspeccin, salida Discrepancias en la bitcora de visitantes y en los gafetes de visitantes Evaluacin de los perfiles e historia de acceso tomando como base el reporte clave de la administracin incluyendo el reemplazo de gafetes/tarjetas maestras y artculos perdidos inactivos Revisin de estadsticas de desastres locales Desarrollo de escenarios de penetracin en caso de desastre Contratos de proveedores para asegurar que se llevan a cabo una investigacin de personal y el cumplimiento con los requerimientos de salud y seguridad Pruebas de UPS y verificar que los resultados cumplan con los requerimientos operacionales y de capacidad para sostener las actividades crticas de procesamiento de datos Pruebas de acceso de informacin (bitcoras, cintas, registros) para asegurar que stos son revisados por los usuarios y la administracin en cuando a su propiedad Pruebas de procedimientos de monitoreo de entrada a la instalacin cerca del rea

194

IT GOVERNANCE INSTITUTE

DIRECTRICES DE AUDITORIA

PAGINA INTENCIONALMENTE EN BLANCO

IT GOVERNANCE INSTITUTE

195

DIRECTRICES DE AUDITORIA
OBJETIVOS DE CONTROL DE ALTO NIVEL
ENTREGA DE SERVICIOS Y SOPORTE DS13
Planeacin & Organizacin

ef ec tiv ef ida i d c co nf ienc id en ia in c ia te li di gri dad sp da o d cu nib m ilid p co lim ad nf ien ia bi to lid ad

Adquisicin & Implementacin

Entrega & Soporte

Control sobre el proceso de TI de: administracin de las operaciones que satisface los requerimientos de negocio de: asegurar que las funciones importantes de soporte de TI estn siendo llevadas a cabo regularmente y de una manera ordenada se hace posible a travs de: una programacin de actividades de soporte que sea registrada y completada en cuanto al logro de todas las actividades y toma en consideracin:
Monitoreo

manual de procedimiento de operaciones documentacin de procedimientos de arranque administracin de servicios de red programacin de actividades de personal y cargas de trabajo proceso de cambio de turno registro de eventos de sistemas

Coordinacin con cambios, disponibilidad y administracin de la continuidad del negocio Mantenimiento preventivo Acuerdos de nivel de servicio Operaciones automatizadas Registro, seguimiento y escalamiento de incidentes
IT GOVERNANCE INSTITUTE

3 3

3 3

196

g ap ente lic a te cion cn e in olo s st g al ac a io da nes to s

DIRECTRICES DE AUDITORIA
DS 13 ADMINISTRACIN DE LAS OPERACIONES

OBJETIVOS DE CONTROL
1 2 3 4 5 6 7 8 Manual de Instrucciones y Procedimientos para las Operaciones de procesamiento Documentacin del Proceso de Inicio y de Otras Operaciones Programacin de Trabajos Salidas de la programacin de Trabajos Estndar Continuidad de Procesamiento Bitcoras de Operaciones Proteccin de formas especiales y dispositivos de salida Operaciones Remotas

LOS OBJETIVOS DE CONTROL TANTO DETALLADOS COMO DE ALTO NIVEL SON AUDITADOS AL:
Obtener un entendimiento a travs de: Entrevistas: Administracin de operaciones de TI Administracin de la planeacin de la continuidad de TI Presidencia de TI Usuarios seleccionados de los recursos de TI Proveedores seleccionados que proporcionan servicios o productos de software o hardware por contrato Obteniendo: Polticas y procedimientos organizacionales relacionados con la administracin de operaciones y el rol de sistemas de informacin en el cumplimiento de los objetivos del negocio Polticas y procedimientos de la funcin de servicios de informacin relacionados con el rol operacional, las expectativas de desempeo, la programacin de trabajos, los acuerdos de nivel de servicio, las instrucciones para el operador, la rotacin de personal, la planeacin de la continuidad y las operaciones de instalaciones remotas Instrucciones operacionales para la funcin general de inicio, trmino, programacin de la carga de trabajo, estndares, acuerdos de nivel de servicio, procedimientos para correcciones de emergencia, respuestas de procesamiento anormal, bitcoras de consola, seguridad fsica y lgica, separacin de libreras de desarrollo y produccin y procedimientos para escalamiento de problemas Una muestra seleccionada de instrucciones operacionales para aplicaciones clave incluyendo, programacin de actividades, entradas, tiempo de procesamiento, mensajes de error, instrucciones de fin anormal, reinicio, procedimientos de escalamiento de problemas, trabajos antes y despus y archivos en el sitio externo

IT GOVERNANCE INSTITUTE

197

DIRECTRICES DE AUDITORIA
Evaluar los controles: Considerando si: Existe evidencia sobre: la suficiencia de todos los procesamientos llevados a cabo, arranque en fro (cold start), reinicios y recuperaciones la suficiencia del IPL (initial program load-cargue inicial de programa) y del procedimiento de finalizacin de procesos (shut down) estadsticas de cumplimiento de la programacin de trabajos para confirmar el trmino completo y exitoso de todos los requerimientos la separacin fsica y lgica de las libreras fuente y objeto, de pruebas/desarrollo/produccin y los procedimientos de control de cambios para trasladar programas de una librera a otra estadsticas de desempeo para actividades operacionales, incluyendo, aunque sin limitarse a: Capacidad, utilizacin y desempeo de hardware y perifricos Utilizacin y desempeo de memoria Utilizacin y desempeo de telecomunicaciones prueba de que el desempeo alcanza las normas de desempeo de producto, los estndares de desempeo definidos internamente y los compromisos de acuerdo de nivel de servicio de usuarios el mantenimiento, retencin y revisin peridicos de las bitcoras de operacin se llevan a cabo peridicamente la oportunidad en mantenimiento realizado a todos los equipos la rotacin de turnos, el disfrute de vacaciones y el mantenimiento de competencia de los operadores Evaluar la suficiencia: Probando que: Los miembros del personal de operaciones estn concientes y comprenden: los procedimientos de operacin que estn bajo su responsabilidad las expectativas de desempeo dentro de las instalaciones normas de proveedores, estndares organizacionales y acuerdos de nivel de servicio con los usuarios Arreglo urgente/emergencia de programas, as como los procedimientos de reinicio/recuperacin los requerimientos y la revisin administrativa de las bitcoras de operaciones los procedimientos de escalamiento de problemas la comunicacin de cambios de turno y las responsabilidades entre turnos procedimientos de cambio o rotacin para trasladar programas de desarrollo a produccin interaccin con las instalaciones de procesamiento remotas y centrales las responsabilidades de comunicar a la administracin sobre las oportunidades de mejoras a la productividad Comprobar el riesgo de los objetivos de control no alcanzados: Llevando a cabo: Una revisin de las estadsticas de desempeo operacional (equipo y personal) para asegurar lo adecuado de su utilizacin; compararlas contra organizaciones similares, normas de proveedores y estndares internacionales reconocidos como buenas practicas de la industria

198

IT GOVERNANCE INSTITUTE

DIRECTRICES DE AUDITORIA
Una revisin de una muestra limitada de manuales de operacin de TI para determinar si cumplen con los requerimientos de las polticas y los procedimientos Un examen de la documentacin de los procesos de inicio (start-up) y trmino (shut down) y confirmar que los procedimientos son probados y actualizados regularmente Un examen de la programacin de actividades de procesamiento para asegurar lo adecuado y la suficiencia del desempeo comparado contra el plan o programacin de actividades Identificando: Usuarios seleccionados y asegurando la suficiencia del desempeo operacional relacionado con actividades continuas y acuerdos de nivel de servicio Una muestra de terrminaciones anormales (ABENDS abnormal end) para trabajos y determinando la solucin a los problemas ocurridos Las experiencias de entrenamiento, rotacin de turnos y vacaciones de los operadores Una muestra de bitcoras de consola para revisar la precisin, las tendencias en el desempeo y la revisin administrativa de la solucin de problemas evaluar el escalamiento de problemas si aplica A usuarios para determinar la satisfaccin con el compromiso del acuerdo de nivel de servicio Procedimientos de mantenimiento preventivo completados en todo el equipo por sugerencia del proveedor

IT GOVERNANCE INSTITUTE

199

DIRECTRICES DE AUDITORIA

PAGINA INTENCIONALMENTE EN BLANCO

200

IT GOVERNANCE INSTITUTE

DIRECTRICES DE AUDITORIA

MONITOREO

IT GOVERNANCE INSTITUTE

201

DIRECTRICES DE AUDITORIA
OBJETIVOS DE CONTROL DE ALTO NIVEL
MONITOREO M1
Planeacin & Organizacin

ef ec tiv ef ida i d c co nf ienc id en ia in c ia te li di gri dad sp da o d cu nib m ilid p co lim ad nf ien ia bi to lid ad

Adquisicin & Implementacin

Entrega & Soporte

Control sobre el proceso de TI de: monitoreo de los procesos que satisface los requerimientos de negocio de: asegurar el logro de los objetivos establecidos para los procesos de TI se hace posible a travs de: la definicin de indicadores de desempeo relevantes, reporte oportuno y sistemtico del desempeo y accin oportuna de las desviaciones y toma en consideracin:
Tarjetas de puntuacin con directrices de

Monitoreo

3 3 3 3 3
g ap ente lic a te cion cn e in olo s st g al ac a io da nes to s

desempeo y medidas de resultado evaluacin de la satisfaccin de clientes reportes gerenciales Desempeo histrico de la base de conocimiento Benchmarking externo

202

IT GOVERNANCE INSTITUTE

DIRECTRICES DE AUDITORIA
M 1 MONITOREO DE LOS PROCESOS
OBJETIVOS DE CONTROL
1 2 3 4 Recolectar Datos de Monitoreo Evaluar el Desempeo Evaluar la Satisfaccin del Cliente Reporte Administrativo

LOS OBJETIVOS DE CONTROL TANTO DETALLADOS COMO DE ALTO NIVEL SON AUDITADOS AL:
Obtener un entendimiento a travs de: Entrevistas: Director Ejecutivo Director de Informacin Director de auditora interna Director de servicios de informacin y administracin de control de calidad Gerente de auditora externa Usuarios seleccionados de recursos de TI Miembros del comit de auditora, si aplica Obteniendo: Polticas y procedimientos organizacionales relacionadas con la planeacin, administracin, monitoreo y reporte del desempeo Polticas y procedimientos de TI relacionadas con el monitoreo y el reporte del desempeo, estableciendo iniciativas de mejoramiento del desempeo y frecuencia de las revisiones Reportes de las actividades de TI incluyendo, pero no limitados a: reportes internos, reportes de auditoras internas, reportes de auditoras externas, reportes de usuarios, encuestas de satisfaccin de los usuarios, planes de desarrollo de sistemas y reportes de avance, minutas del comit de auditora y cualquier otro tipo de evaluacin del uso de los recursos de TI de la organizacin. Documentos de planeacin de la funcin de servicios de informacin con objetivos para cada grupo de recursos y el desempeo real en comparacin con dichos planes.

Evaluar los controles: Considerando si: Los datos identificados para monitorear los recursos de TI son apropiados Se usan indicadores clave del desempeo y/o factores crticos de xito para medir el desempeo de TI en comparacin con los niveles deseables. Los reportes internos de la utilizacin de los recursos de TI (gente, instalaciones, aplicaciones, tecnologa y datos) son adecuados.
IT GOVERNANCE INSTITUTE

203

DIRECTRICES DE AUDITORIA
Existe una revisin administrativa de los reportes de desempeo de los recursos de TI Existen controles de monitoreo para proporcionar una retroalimentacin confiable y til de manera oportuna La respuesta de la organizacin a las recomendaciones de mejoramiento de control de calidad, auditora interna y auditora externa es apropiada Existen iniciativas y resultados de mejoramiento del desempeo deseado Se est dando el desempeo organizacional en comparacin con las metas establecidas dentro de la organizacin Existe anlisis sobre satisfaccin del usuario La confiabilidad y utilidad de los reportes de desempeo para no usuarios tales como auditor externo, comit de auditora y alta administracin de la organizacin, es suficiente La oportunidad de los reportes permite una respuesta rpida ante las excepciones o incumplimientos identificados del desempeo Los reportes son suficientes en comparacin con las polticas y procedimientos establecidos para el desempeo de las actividades (por ejemplo, reportes de desempeo)

Evaluar la suficiencia: Probando que: Existen reportes de monitoreo del desempeo de los datos Existe revisin administrativa de los reportes de monitoreo del desempeo e iniciativas de acciones correctivas Los empleados estn conscientes y comprenden las polticas y procedimientos relativos al monitoreo del desempeo La calidad y el contenido de los reportes internos se relacionan con: La recoleccin de datos de monitoreo del desempeo El anlisis de los datos de monitoreo del desempeo El anlisis de los datos del desempeo de los recursos Las acciones administrativas sobre problemas del desempeo El anlisis de encuestas de satisfaccin de los usuarios La alta administracin est satisfecha con los reportes sobre el monitoreo del desempeo Comprobar el riesgo de los objetivos de control no alcanzados: Llevando a cabo: Benchmarking del monitoreo del desempeo contra organizaciones similares o estndares internacionales apropiados considerados como las mejores prcticas de la industria Revisin de la relevancia de los datos dentro de los procesos que se estn monitoreando Revisin del desempeo real contra lo planeado en todas las reas de TI Satisfaccin real del usuario contra lo considerado previamente de todas las reas de TI Anlisis del nivel de cumplimiento de las recomendaciones de la administracin Anlisis del nivel de implementacin de las recomendaciones de la administracin Identificando: La competencia, autoridad e independencia del personal de monitoreo dentro de la organizacin de sistemas de informacin

204

IT GOVERNANCE INSTITUTE

DIRECTRICES DE AUDITORIA

PAGINA INTENCIONALMENTE EN BLANCO

IT GOVERNANCE INSTITUTE

205

DIRECTRICES DE AUDITORIA
OBJETIVOS DE CONTROL DE ALTO NIVEL
MONITOREO M2
Planeacin & Organizacin

ef ec tiv ef ida i d c co nf ienc id en ia in c ia te li di gri dad sp da o d cu nib m ilid p co lim ad nf ien ia bi to lid ad

Adquisicin & Implementacin

Entrega & Soporte

Control sobre el proceso de TI de: Evaluar lo adecuado del control interno que satisface los requerimientos de negocio de: asegurar el logro de los objetivos de control interno establecidos para los procesos de TI se hace posible a travs de: el compromiso de la Gerencia de monitorear los controles internos, evaluar su efectividad y emitir reportes sobre ellos en forma regular y toma en consideracin:

Monitoreo

Responsabilidades para el control interno monitoreo permanente de control interno Benchmarks reportes de errores y excepciones auto evaluaciones reportes gerenciales Cumplimiento con requerimientos legales y regulatorios

3 3 3 3 3
g ap ente lic a te cion cn e in olo s st g al ac a io da nes to s

206

IT GOVERNANCE INSTITUTE

DIRECTRICES DE AUDITORIA
M 2 EVALUAR LO ADECUADO DEL CONTROL INTERNO
OBJETIVOS DE CONTROL
1 2 3 4 Monitoreo del Control Interno Operacin Oportuna de los Controles Internos Reportes del Nivel de Control Interno Aseguramiento de la Seguridad Operacional y del Control Interno

LOS OBJETIVOS DE CONTROL TANTO DETALLADOS COMO DE ALTO NIVEL SON AUDITADOS AL:
Obtener un entendimiento a travs de: Entrevistas: Director Ejecutivo Director de Informacin Director de auditora interna Director de TI y administracin de control de calidad Gerente de auditora externa Usuarios seleccionados de los recursos de TI Miembros del comit de auditora, si aplica Obteniendo: Polticas y procedimientos organizacionales relacionadas con la planeacin, administracin, monitoreo y reporte de los controles internos Polticas y procedimientos de la funcin de servicios de informacin relacionadas con el monitoreo y el reporte de los controles internos y la frecuencia de las revisiones Reportes de las actividades de TI incluyendo, pero no limitados a: reportes internos, reportes de auditoras internas, reportes de auditoras externas, reportes de usuarios, encuestas de satisfaccin de los usuarios, planes de desarrollo de sistemas y reportes de avance, minutas del comit de auditora y cualquier otro tipo de evaluacin de los controles internos de TI Polticas y procedimientos especficos de TI relativos al aseguramiento de la seguridad operacional y del control interno Evaluar los controles: Considerando si: Los datos identificados para monitorear los controles internos de TI son apropiados Los reportes internos de los datos de control interno de TI son adecuados Existe una revisin administrativa de los controles internos de TI Existen controles de monitoreo para proporcionar retroalimentacin confiable y til de manera oportuna La respuesta de la organizacin a las recomendaciones de mejoramiento del control de calidad, auditora interna y auditora externa es apropiada
IT GOVERNANCE INSTITUTE

207

DIRECTRICES DE AUDITORIA
Existen iniciativas y resultados de mejoramiento del control interno deseable Se est dando el desempeo organizacional en comparacin con las metas establecidas de control interno de la organizacin La informacin concerniente a errores, inconsistencias y excepciones de control interno se mantiene de manera sistemtica y se reporta a la administracin La confiabilidad y utilidad de los reportes de control interno para no usuarios, tales como auditor externo, comit de auditora y alta administracin de la organizacin, es suficiente La oportunidad de los reportes permite una respuesta rpida ante las excepciones o incumplimientos identificados del control interno Los reportes de control interno son suficientes en comparacin con las polticas y procedimientos establecidos para el desempeo de las actividades (por ejemplo, reportes de control interno)

Evaluar la suficiencia: Probando que: Existen reportes de monitoreo del control interno Se lleve a cabo una revisin administrativa de los reportes de control interno e iniciativas de acciones correctivas Los empleados estn conscientes y comprenden las polticas y procedimientos relativos al monitoreo del control interno La calidad y el contenido de los reportes internos se relacionan con: La recoleccin de datos de monitoreo del control interno El desempeo del cumplimiento del control interno Las acciones administrativas sobre problemas del control interno El aseguramiento de la seguridad operacional y del control interno La alta administracin est satisfecha con los reportes sobre el monitoreo de la seguridad y el control interno Comprobar el riesgo de los objetivos de control no alcanzados: Llevando a cabo: Benchmarking de la evaluacin del control interno respecto a organizaciones similares o estndares internacionales apropiados reconocidos como mejores prcticas de la industria Revisin de la relevancia de los datos dentro de los procesos que se estn monitoreando y en el reporte de los controles internos Marco de referencia para la revisin de los controles internos de toda la organizacin y en particular de TI para asegurar la suficiencia de la cobertura y de los diversos niveles de detalle para los responsables del proceso Revisin del control interno real contra lo planeado en todas las reas de TI Anlisis del grado de cumplimiento de las metas de control interno e iniciativas de mejoramiento Revisin de la satisfaccin del comit de auditora con los reportes sobre los controles internos Anlisis del nivel de implantacin de las recomendaciones de la administracin Identificando: Las reas adicionales para el probable reporte de control interno, en consistencia con la auditora de TI, la administracin, los auditores externos y aspectos regulatorios La responsabilidad, autoridad e independencia del personal de revisin de control interno dentro de la organizacin de sistemas de informacin

208

IT GOVERNANCE INSTITUTE

DIRECTRICES DE AUDITORIA

PAGINA INTENCIONALMENTE EN BLANCO

IT GOVERNANCE INSTITUTE

209

DIRECTRICES DE AUDITORIA
OBJETIVOS DE CONTROL DE ALTO NIVEL
MONITOREO M3
Planeacin & Organizacin

ef ec tiv ef ida i d c co nf ienc id en ia in c ia te li di gri dad sp da o d cu nib m ilid p co lim ad nf ien ia bi to lid ad

Adquisicin & Implementacin

S
Entrega & Soporte

Control sobre el proceso de TI de: obtencin de aseguramiento independiente que satisface los requerimientos de negocio de: incrementar los niveles de confianza entre la organizacin, clientes y proveedores externos se hace posible a travs de: revisiones de aseguramiento independientes llevadas al cabo en intervalos regulares y toma en consideracin:
certificaciones y acreditaciones independientes evaluaciones independientes de efectividad aseguramiento independiente sobre cumpli-

Monitoreo

miento de requerimientos legales y regulatorios


aseguramiento independiente de cumplimiento

de compromisos contractuales revisiones y Benchmarking a proveedores de servicios externos Revisiones del aseguramiento de desempeo realizadas por personal calificado involucramiento proactivo de auditora

3 3 3 3 3
g ap ente lic a te cion cn e in olo s st g al ac a io da nes to s

210

IT GOVERNANCE INSTITUTE

DIRECTRICES DE AUDITORIA
M 3 OBTECIN DE ASEGURAMIENTO INDEPENDIENTE
OBJETIVOS DE CONTROL
1 2 3 4 5 6 7 8 Acreditacin/Certificacin Independiente de la Seguridad y el Control Interno de los Servicios de TI Acreditacin/Certificacin Independiente de la Seguridad y el Control Interno de los Proveedores Externos de Servicios Evaluacin Independiente de la Efectividad de los Servicios de TI Evaluacin Independiente de la Efectividad de los Proveedores Externos de Servicios Aseguramiento Independiente del Cumplimiento de Requerimientos Legales y regulatorios y Compromisos Contractuales Aseguramiento Independiente del Cumplimiento de Requerimientos Legales y Regulatorios y Compromisos Contractuales por parte de Proveedores Externos de Servicios Responsabilidad de la Funcin de Aseguramiento Independiente Involucramiento Proactivo de Auditora

LOS OBJETIVOS DE CONTROL TANTO DETALLADOS COMO DE ALTO NIVEL SON AUDITADOS AL:
Obtener un entendimiento a travs de: Entrevistas: Director Ejecutivo Director de Informacin Director de auditora interna Director de TI Gerente de auditora externa Gerente de aseguramiento independiente Obteniendo: Organigrama a nivel de toda la organizacin y manual de polticas y procedimientos Polticas y procedimientos relativas al proceso de aseguramiento independiente Contratos/Acuerdos de servicio con el proveedor del servicio de TI Requerimientos legales y regulatorios pertinentes y compromisos contractuales Contratos/estatutos, presupuestos, reportes previos e historial de desempeo de aseguramiento independiente Historial de experiencia y educacin continua del personal de aseguramiento independiente Reportes de auditoras previas Evaluar los controles: Considerando si: Los contratos/estatutos de aseguramiento independiente estn debidamente establecidos/ejecutados para asegurar la cobertura de revisin adecuada (por ejemplo, certificacin/acreditacin, evaluacin de eficacia y evaluaciones de cumplimiento)
IT GOVERNANCE INSTITUTE

211

DIRECTRICES DE AUDITORIA
La acreditacin/certificacin independiente se obtiene antes de implantar servicios nuevos e importantes de TI La re-certificacin/re-acreditacin independiente de los servicios de tecnologa de informacin se obtiene en un ciclo rutinario despus de la implantacin La certificacin/acreditacin independiente se obtiene antes de utilizar a los proveedores de servicios de tecnologa de informacin La re-certificacin/re-acreditacin se obtiene en un ciclo rutinario La evaluacin independiente de la eficacia de los servicios de tecnologa de informacin se obtiene en un ciclo rutinario La evaluacin independiente de la eficacia de los servicios de TI se obtiene en un ciclo rutinario La evaluacin independiente de la eficacia de los proveedores de servicios de TI se obtiene en un ciclo rutinario Las revisiones independientes del cumplimiento de TI con los requerimientos legales y regulatorios y los compromisos contractuales se obtiene en un ciclo rutinario Las revisiones independientes del cumplimiento de proveedores externos de los servicios de TI con los requerimientos legales y regulatorios y los compromisos contractuales se obtienen en un ciclo rutinario El personal de aseguramiento independiente es competente y realiza su tarea de acuerdo a los estndares profesionales apropiados El programa de educacin profesional continua ayuda para proporcionar la capacitacin tcnica al personal de aseguramiento independiente La administracin busca el involucramiento de auditora antes de decidir sobre soluciones del servicio de TI

Evaluar la suficiencia: Probando que: La alta gerencia aprueba el desempeo de la entidad de aseguramiento independiente La certificacin/acreditacin independiente antes de la implantacin de nuevos servicios crticos de TI es global, completa y oportuna La re-certificacin/re-acreditacin independiente de los servicios de TI se realiza en un ciclo rutinario despus de la implantacin, y que es global, completa y oportuna La certificacin/acreditacin independiente antes de utilizar proveedores de servicios de TI es global, completa y oportuna La re-certificacin/re-acreditacin independiente se realiza en un ciclo rutinario y es global, completa y oportuna La evaluacin independiente de la efectividad de los servicios de TI se realiza en un ciclo rutinario y es global, completa y oportuna La evaluacin independiente de la efectividad de los proveedores de servicios de TI se realiza en un ciclo rutinario y es global, completa y oportuna Las revisiones independientes del cumplimiento de TI con los requerimientos legales y regulativos y los compromisos contractuales se realizan en ciclos rutinarios y son globales, completas y oportunas Las revisiones independientes del cumplimiento de proveedores externos de servicios con los requerimientos legales y regulativos y los compromisos contractuales se realizan en ciclos rutinarios y son globales, completas y oportunas Los reportes de la funcin de aseguramiento independiente son relevantes en cuanto a hallazgos, conclusiones y recomendaciones

212

IT GOVERNANCE INSTITUTE

DIRECTRICES DE AUDITORIA
La funcin de aseguramiento independiente posee las habilidades y el conocimiento necesarios para realizar un trabajo competente Existe involucramiento proactivo, antes de decidir sobre soluciones del servicio de TI Comprobar el riesgo de los objetivos de control no alcanzados: Llevando a cabo: Benchmarking de las actividades de revisin de la entidad de aseguramiento independiente respecto a organizaciones similares o estndares internacionales apropiados reconocidos como mejores prcticas de la industria Una revisin detallada que: verifique los contratos/estatutos de aseguramiento independiente respecto a las actividades de revisin realizadas determine la suficiencia y oportunidad de las certificaciones/acreditaciones determine la suficiencia y oportunidad de las re-certificaciones/re-acreditaciones determine la suficiencia y oportunidad de las evaluaciones de eficacia determine la suficiencia y oportunidad de las revisiones de cumplimiento de requerimientos legales y regulatorios y de compromisos contractuales verifique la capacidad del personal de la funcin de aseguramiento independiente verifique el involucramiento proactivo de auditora Identificando: El valor agregado de las actividades de revisin de aseguramiento independiente El desempeo real contra lo planeado con relacin a los planes y presupuestos de aseguramiento independiente El grado y la oportunidad del involucramiento proactivo de auditora

IT GOVERNANCE INSTITUTE

213

DIRECTRICES DE AUDITORIA
OBJETIVOS DE CONTROL DE ALTO NIVEL
MONITOREO M4
Planeacin & Organizacin

ef ec tiv ef ida co icie d nf id ncia en in c ia te li di gri dad sp da o d cu nib i m lid p co lim ad nf ien ia bi to lid ad

Adquisicin & Implementacin

Entrega & Soporte

Control sobre el proceso de TI de: proveer auditora independiente que satisface los requerimientos de negocio de: incrementar los niveles de confianza y beneficiarse de recomendaciones basadas en mejores prcticas se hace posible a travs de: auditoras independientes desarrolladas en intervalos regulares y toma en consideracin:
independencia de la auditora involucramiento proactivo de la auditora ejecucin de auditoras por parte de personal

Monitoreo

3 3 3 3 3
g ap ente lic a te cion cn e in olo s st g al ac a io da nes to s

calificado
aclaracin de hallazgos y recomendaciones actividades de seguimiento Evaluacin del impacto de las recomendaciones

de la auditora (costo, beneficios y riesgos)

214

IT GOVERNANCE INSTITUTE

DIRECTRICES DE AUDITORIA
M 4 PROVEER AUDITORA INDEPENDIENTE
OBJETIVOS DE CONTROL
1 2 3 4 5 6 7 8 Estatutos de Auditora Independencia tica y Estndares Profesionales Competencia Planeacin Realizacin del Trabajo de Auditora Reporte Actividades de Seguimiento

LOS OBJETIVOS DE CONTROL TANTO DETALLADOS COMO DE ALTO NIVEL SON AUDITADOS AL:
Obtener un entendimiento a travs de: Entrevistas: Director Ejecutivo Director de Informacin Director de auditora interna Director de control de calidad de TI Gerente de auditora externa Miembros del comit de auditora, si aplica Obteniendo: Organigrama a nivel de toda la organizacin y manual de polticas y procedimientos Cdigo de conducta a nivel organizacin Polticas y procedimientos relativos al proceso de auditora independiente Estatutos/normas de auditora, misin, polticas, procedimientos y estndares, reportes previos y planes de auditora Opiniones de auditora externa, revisiones y planes de auditora Historial de experiencia y educacin continua del personal de auditora independiente Evaluacin del riesgo de auditora, presupuesto e historial de desempeo Minutas de las reuniones del comit de auditora, si aplica Evaluar los controles: Considerando si: El comit de auditora est debidamente establecido y se rene con regularidad, si aplica La organizacin de auditora interna est debidamente establecida Las auditoras externas contribuyen al cumplimiento del plan de auditora La adherencia de la auditora a los cdigos de conducta profesional es suficiente La independencia del auditor est confirmada mediante declaraciones firmadas de conflicto de intereses El plan de auditora se basa en la metodologa de evaluacin de riesgos y en las necesidades generales del plan
IT GOVERNANCE INSTITUTE

215

DIRECTRICES DE AUDITORIA
Las auditoras se planean y supervisan de manera adecuada El programa de educacin profesional continua ayuda en la capacitacin tcnica de los auditores El personal de auditora es competente y realiza sus tareas de acuerdo con los estndares profesionales de auditora Existe un proceso adecuado de reporte de los hallazgos de la auditora hacia la administracin El seguimiento de todos los problemas de control se est realizando de manera oportuna La cobertura de la auditora incluye todo el rango de auditora de sistemas de informacin (por ejemplo, controles generales y de aplicaciones, ciclo de desarrollo del sistema, rentabilidad, economa, eficiencia, eficacia, enfoque proactivo de auditora, etc.)

Evaluar la suficiencia: Probando que: La alta administracin aprueba el desempeo de la funcin continua de auditora independiente Las actitudes de la alta administracin son consistentes con la normas/estatutos de auditora Benchmarks de auditora interna respecto a los estndares profesionales La designacin de auditores asegura la independencia y las habilidades necesaria Hay mejora continua en la experiencia profesional del personal de auditora El contenido del reporte de auditora es relevante respecto a las recomendaciones Existen reportes de seguimiento que resumen la oportunidad de la implantacin Comprobar el riesgo de los objetivos de control no alcanzados: Llevando a cabo: Benchmarking de la funcin de auditora respecto a organizaciones similares o estndares internacionales apropiados reconocidos como mejores prcticas de la industria Una revisin detallada que: verifique que el plan de auditora representa una revisin cclica y continua la auditora est contribuyendo al xito del negocio y a los planes de TI la evidencia de la funcin de auditora apoya las conclusiones y recomendaciones los hallazgos de la auditora estn siendo comunicados y se est tomando ventaja de los mismos o se estn reduciendo riesgos las recomendaciones de la auditora estn siendo implantadas de manera consciente respecto al beneficio que representan Identificando: El costo/beneficio de las recomendaciones de la auditora El desempeo real contra lo planeado con relacin al plan y presupuesto de auditora El grado de integracin entre la auditora externa y la interna

216

IT GOVERNANCE INSTITUTE

DIRECTRICES DE AUDITORIA
DIRECTRICES GERENCIALES DEL GOBIERNO DE TI
Las siguientes Directrices Gerenciales y el Modelo de Madurez identifican Factores Crticos de xito (CSFs Critical Success factors), Indicadores claves de Resultados/Objetivos (KGIsKey Goal Indicators), Indicadores Claves de Desempeo (KPIsKey Performance Indicators) y el Modelo de Madurez para el Gobierno de TI. Primero, el Gobierno de TI es definido articulando las necesidades del negocio. A continuacin, los criterios de informacin relacionados con el Gobierno de TI son identificados. El negocio necesita ser medido por las KGIs y estructurado por una declaracin de control, que es considerada como una ventaja para todos los recursos de TI. El resultado de estructurar la declaracin de control es medido por los KGIs, considerando los KSFs. El modelo de madurez es utilizado para evaluar el nivel de cumplimiento del gobierno de TI de una organizacindesde un nivel No existente (el mas bajo nivel) a un nivel Inicial/Ad Hoc, a un nivel Repetible pero Intuitivo, a un nivel donde los Procesos estn Definidos, a un nivel Administrado y Medido llegando a un nivel Optimizado (el mas alto nivel). Para lograr el modelo de madurez optimizado para el gobierno de TI una organizacin debe estar por lo menos en el nivel Optimizado por el Dominio de Monitoreo y al menos en el nivel administrado y medido por los dems dominios. (Ver las Directrices gerenciales de COBIT para una mas completa discusin sobre el uso de estas herramientas.)

IT GOVERNANCE INSTITUTE

217

DIRECTRICES DE AUDITORIA

PAGINA INTENCIONALMENTE EN BLANCO

218

IT GOVERNANCE INSTITUTE

DIRECTRICES DE AUDITORIA

APNDICE

IT GOVERNANCE INSTITUTE

219

DIRECTRICES DE AUDITORIA
APNDICE I DIRECTRICES GERENCIALES DEL GOBIERNO DE IT
DIRECTRIZ GERENCIAL DEL GOBIERNO DE TI
Gobierno o Gobernabilidad sobre la tecnologa de informacin y sus procesos con el objetivo de negocio de proveer valor agregado mientras balancea los riesgos versus el retorno Asegura la entrega/distribucin de informacin al negocio, satisfaciendo los Criterios de informacin requeridos y siendo medido por Indicadores Clave de Resultados/Objetivos. . Es obtenido mediante la creacin y mantenimiento de un sistema de procesos y por controles de excelencia apropiados para el negocio que direccionan y monitorean el valor que proporciona TI para el negocio Considerando Factores crticos de xito que dan ventaja competitiva a todos los Recursos de TI y que es medido por Indicadores Clave de desempeo

FACTORES CRITICOS DE XITO


Las actividades del Gobierno de TI estn integradas dentro del proceso de Gobierno de la empresa y dentro de comportamientos o conductas de liderazgo El Gobierno de TI se enfoca sobre los objetivos o metas de la empresa, sus iniciativas estratgicas, el uso de la tecnologa para incrementar el negocio y, sobre la disponibilidad de suficientes recursos y capacidades para soportar las demandas del negocio. Las actividades del Gobierno de TI estn definidas con un claro propsito, e cual esta documentado e implementado y que est basado en las necesidades de la empresa sin considerar registros/contabilizaciones ambiguas. Las prcticas gerenciales estn implementadas para incrementar el uso eficiente y ptimo de los recursos y para incrementar la eficacia de los procesos de TI Las practicas organizacionales se establecen para ensamblar algo que parece descuidado, como por ejemplo un control cultural/ambiental; el anlisis de riesgos como una practica estndar; el grado de adherencia con los estndares establecidos; el monitoreo y seguimiento a las deficiencias de control y a los riesgos. Las practicas de control se establecen para evitar rompimientos entre los controles internos y los posibles riesgos. Hay integracin e interoperabilidad de los ms complejos procesos de TI como son los problemas, cambios y administracin de la configuracin. Se establece un comit de auditoria para apuntar y enfocar al auditor independiente sobre TI cuando esta ejecutando su plan de auditoria y revisa los resultados de la auditora y revisiones a terceras partes.

220

IT GOVERNANCE INSTITUTE

DIRECTRICES DE AUDITORIA
CRITERIOS DE INFORMACION Eficacia Eficiencia Confidencialidad Integridad Disponibilidad Cumplimiento confiabilidad RECURSOS DE TI Gente Aplicaciones Tecnologa Instalaciones Datos

INDICADORES CLAVES DE RESULTADO/OBJETIVOS / LOGROS

Incremento del desempeo y la administracin de costos Mejora el retorno sobre las inversiones mayores de TI Mejora el tiempo del mercado Incrementa la calidad, la innovacin y la administracin de riesgos Apropiadamente integrado y estandarizado con los procesos del negocio Cubre clientes nuevos y clientes satisfechos Disponibilidad de apropiado ancho de banda, poder de computo y mecanismos de entrega de TI Satisface los requerimientos y expectativas de los clientes del proceso considerando el presupuesto y el tiempo Cumplimiento de leyes, regulaciones, estndares de la industria y compromisos contractuales Transparencia sobre el riesgo aceptado y adherencia al perfil de riesgo organizacional acordado. Comparaciones de Benchmarking enfocadas a la madurez del gobierno de TI Creacin de nuevos canales de distribucin de servicios

INDICADORES CLAVES DE DESEMPEO

Incrementa el costo/eficiencia de los procesos de TI (Costo Vs Entregables) incrementa el nmero de planes de accin de TI para las iniciativas de mejoramiento de los procesos Incrementa la utilizacin de la infraestructura de TI Incrementa la satisfaccin de los accionistas (encuestas y nmero de quejas) Incrementa la productividad del personal de apoyo (nmero de entregables) y la moral (encuestas) Incrementa la disponibilidad del conocimiento y la informacin para administrar la empresa Incrementa la comunicacin entre el gobierno de TI y el gobierno del empresa Incrementa el desempeo de acuerdo con mediciones realizadas por balanced scorecards de TI

IT GOVERNANCE INSTITUTE

221

DIRECTRICES DE AUDITORIA
MODELO DE MADUREZ DEL GOBIERNO DE TI El gobierno sobre la tecnologa de informacin y sus procesos con el objetivo del negocio de proveer valor agregado mientras se balancea el riesgo versus el retorno 0 No existente. Hay una completa falta de cualquier proceso de TI reconocible. La organizacin no ha reconocido que hay problemas que deberan ser considerados y por consiguiente no hay comunicacin acerca de estos problemas
Inicial/Ad Hoc. Hay evidencia de que la organizacin ha reconocido que existen problemas del gobierno de TI que necesitan ser reenfocados. Hay, sin embargo, procesos no estandarizados; pero en su lugar hay enfoques aplicados sobre bases individuales o caso por caso. El enfoque de la administracin es catico y solo hay espordicamente comunicacin inconsistente sobre los problemas y los enfoques que los deben consideran stos problemas. Puede haber algn conocimiento para obtener el valor de TI en el desempeo orientado al resultado de los procesos relacionados de la empresa. No hay procesos de evaluacin estndar. El monitoreo sobre TI est implementado nicamente de una forma reactiva sobre incidentes que han causado alguna prdida o vergenza a la organizacin. Repetible pero intuitiva. Hay una conciencia global sobre los problemas de gobierno de TI. Las actividades del gobierno de TI y los indicadores de desempeo estn bajo desarrollo incluyendo los procesos de planeacin de TI, distribucin/entrega y monitoreo. Como parte de este esfuerzo las actividades del gobierno de TI son formalmente establecidas dentro de un proceso de administracin de cambios de la organizacin, con un involucramiento descuidado de la gerencia senior. Los procesos de TI seleccionados son identificados con base en el involucramiento y/o el control sobre los procesos fundamentales de la empresa y son efectivamente planeados y monitoreados como inversiones y se derivan del contexto del marco referencial de la arquitectura de TI definida. La gerencia ha identificado mtodos y tcnicas bsica de evaluacin y medicin del gobierno de TI, sin embargo, el proceso no ha sido adoptado a travs de toda la organizacin. No hay entrenamiento y comunicacin formal sobre los estndares de gobierno y las responsabilidades se dejan en manos de los individuos. Los individuos manejan los procesos de gobierno por medio de varios procesos y proyectos de TI. Las herramientas establecidas para limitar el gobierno, son escogidas e implementadas a travs de mtricas de gobierno agrupadas, pero pueden no ser utilizadas a toda su capacidad debido a la falta de experiencia en su funcionalidad. 3 Procesos Definidos. La necesidad de actuar con respecto al gobierno de TI es entendida y aceptada. Se desarrolla una lnea base de indicadores para el gobierno de TI donde se crea un enlace entre las actividades de desempeo que han sido definidas, documentadas e integradas dentro de un plan operacional y estratgico y dentro de los proceso de monitoreo. Los procedimientos han sido estandarizados, documentados e implementados. La gerencia ha comunicado los procedimientos estandarizados y se ha establecido un entrenamiento informal. Los indicadores de desempeo sobre todo las actividades sobre el gobierno de TI han sido registradas y se les hace seguimiento motivando el mejoramiento a todo lo ancho de la empresa. Aunque medibles los procedimientos no son sofisticados pero son la formalizacin de las prcticas existentes. Las herramientas son estandarizadas utilizando tcnicas disponibles actualmente. Ideas sobre el balanced scorecards del negocio de TI son adoptadas por la organizacin. Esto, sin embargo, no le ayuda al individuo a obtener entrenamiento, seguir estndares y aplicarlos. El anlisis sobre las causas originales se lleva a cabo solo ocasionalmente. La mayora de los procesos son

222

IT GOVERNANCE INSTITUTE

DIRECTRICES DE AUDITORIA
monitoreados contra algunas (lnea base) mtricas, pero cualquier desviacin que se presente sobre las acciones llevadas a cabo por iniciativas individuales podran no ser probablemente detectadas por la gerencia . Sin embargo, la contabilidad/registro de todos los procesos claves de desempeo son claros y la administracin es recompensada con base en mediciones claves de desempeo. 4 Manejado/administrado y medible. Hay un completo entendimiento sobre los problemas del gobierno de TI a todos los niveles y hay soporte de entrenamiento formal. Hay un claro entendimiento de quien es el cliente y sus responsabilidades estn definidas y monitoreadas a travs de acuerdos de niveles de servicio. Las responsabilidades son claras y se establece la propiedad sobre los procesos. Los procesos de TI estn alineados son los procesos del negocio y con la estrategia de TI. El mejoramiento en los procesos de TI se basa inicialmente sobre un entendimiento cuantitativo y esto es posible para monitorear y medir el cumplimiento con procedimientos y mtricas sobre los procesos. Todos los integrantes de los procesos son concientes de los riesgos, la importancia de TI y las oportunidades que TI puede ofrecer. La gerencia a definido el nivel de tolerancia sobre la cual el proceso debe funcionar. Se toman acciones en muchos pero no en todos los casos donde parece que los procesos no trabajan eficientemente. Los procesos son mejorados ocasionalmente y las mejores prcticas internas son reforzadas. El anlisis sobre las causas de los problemas est siendo estandarizado. El mejoramiento contnuo est siendo implementado. Hay un limitado y primariamente tctico uso de la tecnologa sobre bases de tcnicas de madurez y las herramientas estndar son reforzadas. Hay un involucramiento de todos los expertos que se requieren para el dominio de los procesos internos. El gobierno de TI est involucrado dentro de los procesos en todo lo ancho de la empresa. Las actividades del gobierno de TI estn siendo integradas con los procesos del gobierno de la empresa. 5 Optimizado. Hay una base en la bsqueda del entendimiento de los problemas y soluciones del gobierno de TI. El entrenamiento y la comunicacin estn soportados por conceptos y tcnicas de mando/direccin. Los procesos han sido refinados a un nivel de mejores prcticas externas basados sobre el resultado del mejoramiento contnuo y del modelamiento de madurez con otras organizaciones. La implementacin de esas polticas han permitido a la organizacin, a la gente y a los procesos adaptarse rpidamente y obtener un soporte completo a los requerimientos de gobierno de TI. Todos los problemas y desviaciones son analizadas buscando sus causas desde el origen y se identifican e inician inmediatamente acciones eficientes. TI es utilizado de una completa integrada y optimizada manera para automatizar el flujo de trabajo y proporcionar herramientas para mejorar la calidad y la eficacia. Los riegos y el retorno de los procesos de TI estn definidos, balanceados y comunicados a travs de toda la empresa. Expertos externos son considerados y los Benchmarks son utilizados como guas. El monitoreo, auto evaluacin y la comunicacin acerca de las expectativas del gobierno son difundidas en la organizacin y hay un uso ptimo de la tecnologa para soportar las mediciones, el anlisis, la comunicacin y el entrenamiento. El gobierno de la empresa y el gobierno de TI son encadenados estratgicamente utilizando recursos financieros, humanos y tecnolgicos para incrementar la ventaja competitiva de la empresa.

IT GOVERNANCE INSTITUTE

223

DIRECTRICES DE AUDITORIA
APNDICE II DESCRIPCIN DEL PROYECTO COBIT
El proyecto COBIT contina siendo supervisado por un Comit Directivo del proyecto conformado por representantes internacionales de la industria, la academia, el gobierno y profesionales en seguridad y el control. El Comit Directivo del proyecto ha sido un instrumento en el desarrollo del Marco Referencial del COBIT y en la aplicacin de los resultados obtenidos. Los grupos internacionales de trabajo fueron establecidos con el propsito de asegurar la calidad y la revisin experta de los investigadores interinos del proyecto y el desarrollo de entregables. La gua general del proyecto es proporcionada por el IT Governance Institute. INVESTIGACION Y ENFOQUE DEL DESARROLLO INICIAL Iniciando con el Marco Referencial del COBIT definido en la primera edicin, la aplicacin de guas y estndares internacionales y la bsqueda de las mejores prcticas han permitido el desarrollo de los objetivos de control. Las directrices de auditoria fueron desarrolladas posteriormente para evaluar si esos objetivos de control se implementan adecuadamente. La investigacin para la primera y segunda edicin incluy la recoleccin y anlisis de fuentes internacionales identificadas y fue sostenida por equipos en Europa (Free University Of Amsterdam), Los Estados Unidos (California Polytechnic University) y Australia (University Of New South Wales). Los investigadores estuvieron encargados de la compilacin, revisin, evaluacin y de la incorporacin apropiada de los estndares tcnicos internacionales, del cdigo de conducta, estndares de Calidad, estndares profesionales en Auditora y prcticas y requerimientos de la industria, como se puede ver en el Marco Referencial y en los objetivos de control individuales. Despus de la recoleccin y anlisis, los investigadores tuvieron el reto de examinar cada dominio y cada proceso con profundidad y sugerir nuevos o modificados objetivos de control aplicables a procesos de TI particulares. La consolidacin de los resultados fue llevada a cabo por el Comit Directivo del COBIT y el director de Investigaciones de ISACF. INVESTIGACION Y ENFOQUE PARA LA 3a EDICION El proyecto de la tercera edicin del COBIT consisti en el desarrollo de las Directrices Gerenciales y la actualizacin de la segunda divisin del COBIT basado en nuevas y revisadas referencias internacionales. A continuacin el Marco Referencial de COBIT fue revisado y mejorado con el fin de soportar el incremento de los controles gerenciales, introducir el gerenciamiento del desempeo y promover el desarrollo del gobierno de TI. Con el fin de proporcionarle a la gerencia una aplicacin del Marco Referencial para que ella pueda analizar y tomar decisiones en la implementacin de los controles y mejoramiento de la informacin y las tecnologas relacionadas as como medir el desempeo, las Directrices Gerenciales incluyen Modelos de Madurez, Factores Crticos de xito, Indicadores Claves de Resultado y Indicadores Claves de desempeo relacionados con los Objetivos de Control. Las Directrices Gerenciales fueron desarrolladas por un panel internacional de 40 expertos de la industria, la academia, el gobierno y la profesin de seguridad y control en TI. Estos expertos participaron en un taller residencial guiado por facilitadores profesionales y utilizando guas de desarrollo definidas por el Comit Directivo del COBIT. El taller estuvo fuertemente soportado por la Gartner Gruop y PricewaterhouseCoopers, quienes no solo proporcionaron un constante liderazgo sino que tambin enviaron varios de sus experto en control, Gerenciamiento del desempeo y Seguridad de

224

IT GOVERNANCE INSTITUTE

DIRECTRICES DE AUDITORIA
DESCRIPCION DEL PROYECTO COBIT
Informacin. como resultado del taller se produjo un documento inicial (Draft) de los Modelos de Madurez, Factores Crticos de xito, Indicadores Claves de Resultados y Indicadores Claves de Desempeo para cada uno de los 34 objetivos de control de alto nivel. El aseguramiento de calidad de los entregables iniciales fue llevado a cabo por el Comit Directivo del COBIT y los resultados fueron puestos a disposicin de quien quisiera hacer comentarios sobre el tema en la Web Site de ISACA. El documento de Directrices Gerenciales fue finalmente preparado para ofrecer un nuevo paquete de herramientas orientadas a la gerencia, obteniendo la integracin y consistencia con el Marco Referencial del COBIT. La actualizacin de los Objetivos de Control, basados sobre nuevas y revisadas referencias internacionales fue realizado por miembros de los captulos de ISACA bajo la direccin de miembros del Comit Directivo del COBIT. El resultado del desarrollo de las Directrices Gerenciales se utilizaron para revisar el Marco Referencial, especialmente las consideraciones, metas y sentencias habilitadoras de los objetivos de control de alto nivel.

IT GOVERNANCE INSTITUTE

225

DIRECTRICES DE AUDITORIA
APNDICE III MATERIAL DE REFERENCIA PRIMARIA DE COBIT
COSO: Comit de las organizaciones patrocinadoras de la Comisin Treadway. Control Interno Marco de Referencia Integrado. 2 vols. Instituto Americano de Contadores Certificados, Nueva Jersy, 1994. OECD Guidelines: Organizacin para la Cooperacin Econmica y el Desarrollo. Directrices para la Seguridad de la Informacin, Pars, 1992. DTI Code of Practice for Information Security Management: Departamento de Comercio e Industria y el Instituto Britnico de Estndares. Un Cdigo de prcticas para el Manejo de la Seguridad de la Informacin, Londres, 1993, 1995. IS0-9000-3: Organizacin Internacional de Estandarizacin. Estndares de la Administracin de Calidad y Aseguramiento de Calidad Parte 3: Directrices para la aplicacin del IS0-9001 para el desarrollo, abastecimiento y mantenimiento del software, Suiza 1991. An Introduction to Computer Security: The NIST Handbook: Publicacin especial 800-12 del NIST. Instituto Nacional de Estndares y Tecnologa, Departamento de Comercio de E.U.A, Washington DC, 1995. ITIL IT Management Practices: Biblioteca de la Infraestructura de la Tecnologa de la Informacin. Prcticas y Directrices desarrollados por la Agencia Central de Computacin y Telecomunicaciones (CCTA), Londres, 1989. IBAG Framework: Marco de Referencia Preliminar del Grupo de Consultora de Negocios para SOGIS (Grupo de Directores Ejecutivas de la Seguridad de Informacin, Recomendando a la Comisin Europea) Bruselas, Blgica, 1994. NSW Premiers Office Statement of Best Practices and Planning Information Management and Techniques: Declaracin de la Mejores Prcticas #1 a la #6. Departamento del Primer Ministro de New South Wales, Gobierno de New South Wales, Australia, de 1990 a 1994. Memorandum Dutch Central Bank: Memorandum sobre la Confiabilidad y Continuidad del Procesamiento electrnico de Datos en la Banca. Banco de Nederlandsche, Reimpreso de Boletn Trimestral #3, Pases Bajos, 1998. EDPAF Monograph #7, EDI: An Audit Aproach: Jamison, Rodger. EDI. Un Enfoque de Auditora, Serie Monogrfica #7, Fundacin de Auditora y Control de los Sistemas de Informacin; INC, Rolling Meadows, IL, Abril 1994. PCIE (Presidents Council on Integrity and Efficiency) Model Framework: Un Marco de Referencia Modelo para la Administracin sobre los Sistemas de Informacin Autorizados. Elaborado conjuntamente por el Consejo Presidencial para el Mejoramiento de la Administracin y el Consejo Presidencial sobre Integridad y Eficiencia, Washington, DC, 1987. Japan Information Systems Auditing Standards: Estndares de Auditora para los Sistemas de Informacin de Japn. Proporcionado por la cooperacin de Auditora Chuo, Tokio, Agosto 1994. CONTROL OBJECTIVES Controls in an Information Systems Environment: Control Guidelines and Audit Procedures: Fundacin de Auditores EDP (ahora la Fundacin de Control y Auditora de los Sistemas de Informacin), cuarta Edicin, Rolling Meadows, IL, 1992. CISA Job Analysis: Consejo de Certificacin de la Asociacin de Control y Auditora de Sistema de Informacin. Estudio de Anlisis del Puesto de Trabajo del Auditor de Sistemas de Informacin Certificado, Rolling Meadows, IL 1994. IFAC International Information Technology GuidelinesManaging Security of Information: Federacin Internacional de Contadores, Nueva York, NY, 1998. IFAC International Guidelines on Information Technology Managementmanaging Information Technology Planning for Business Impact: Federacin Internacional de Contadores, Nueva York, NY, 1999. Guide for Auditing for Controls and Security, A System Development Life Cycle Approach: Publicacin Especial NIST, 500-153: Instituto Nacional de Estndares y Tecnologa, Departamento de Comercio de E.U.A., Washington, DC, 1998.

226

IT GOVERNANCE INSTITUTE

DIRECTRICES DE AUDITORIA
Government Auditing Standards: Oficina General de Contabilidad de EUA, Washington, DC, 1999. Denmark Generally Accepted Management Practices: El Instituto de Contadores Autorizados por el Estado, Dinamarca, 1994. SPICE: Mejoras al Proceso del Software y Determinacin de la capacidad. Un estndar sobre el mejoramiento del proceso del software, institucin de Estndares Britnico, Londres, 1995. DRI International, Professional Practices for Business Continuity Planners: Instituto Internacional para la Recuperacin en casos de Desastre, Gua para los planeadores de la Continuidad del Negocio, San Luis, MO, 1997. IIA, SAC Systems Auditability and Control: Instituto de la Fundacin de Investigacin de Auditores Internos, Reporte de Control y Auditabilidad de los Sistemas, Altamonte Springs, FL, 1991, 1994. IIA, Professional Practices Pamphlet 97-1, Electronic Commerce: Instituto de la Fundacin de Investigacin de Auditores Internos, Altamonte Springs, FL, 1997. E &Y Technical Reference Series: Ernst & Young, Gua de Auditora, SAP R/3, Cleveland, OH 1996. C&L Audit Guide SAP R/3: Coopers & Lybrand, SAP R/3: Su Uso Control y Auditora, Nueva York, NY, 1997 IS0 IEC JTC1/SC27 Information Technology Security: Organizacin Internacional de Estandarizacin, ComitTcnico para la Seguridad de la Tecnologa de Informacin, Suiza, 1998. IS0 IEC JTC1/SC7 Software Engineering: Organizacin Internacional de Estandarizacin, ComitTcnico para la evaluacin de los procesos del Software. Un Modelo de Evaluacin e Indicadores Gua, Suiza, 1992. IS0 TC68/SC2/WG4, Information Security Guidelines for Banking and Related Financial Services: Organizacin Internacional de Estandarizacin (ISO) Comit Tcnico para la Banca y Servicios Financieros, Borrador, Suiza, 1997. Common Criteria and Methodology for Information Technology Security Evaluation: CSE (Canada), SCSSI (Francia) BSI (Alemania), NLNCSA (Holanda), CESG (Reino Unido) NIST (Estados Unidos) y NSA (Estados Unidos), 1999. Recommended Practice for EDI: EDIFACT (EDI para la Administracin de Comercio e Industria), Pars, 1987. TICKIT: Gua para la Construccin y Certificacin de software por Sistemas de Manejo de la Calidad, Departamento de Comercio e Industria Britnico (DTI), Londres, 1994. ESF Baseline Control Communications: Foro de Seguridad Europeo, Londres, Seguridad de Redes de Comunicaciones, Septiembre 1991, Controles Base para Redes de rea Local, Septiembre 1994. ESF Baseline Control Microcomputers: Foro de Seguridad Europeo, Londres, Controles de Base para Microcomputadoras Conectadas a la Red, Junio 1990. Computerized Information Systems (CIS) Audit Manual: Fundacin de Auditores EDP (ahora la Fundacin de Control y Auditora de Sistema de Informacin), Rolling Meadows, IL, 1992. Standards for Internal Control in the Federal Government (GAO/AIMD-00-21.3.1): Oficina de Contabilidad General de los Estado Unidos, Washington DC 1999. Guide for Developing Security Plans for Information Technology: NIST Publicacin Especial 800-18, Instituo Nacional para Estndares y Tecnologa, Departamento de Comercio de los Estado Unidos, Washington DC, 1998. Financial Information Systems Control Audit Manual (FISCAM): Oficina de Contabilidad General de los Estado Unidos, Washington de los Estado Unidos, 1999. BS7799 Information Security Management: Instituto de Estndares Britnico, Londres, 1999. CICA Information Technology Control Guidelines, 3rd Edition: Insituto Canadiense de Contadores Estatutarios, Toronto, 1998

IT GOVERNANCE INSTITUTE

227

DIRECTRICES DE AUDITORIA
ISO/IEC TR 1335-n Guideliness For the Management of IT Security (GMITS), partes 1-5: Organizacin Internacional de Estandarizacin, Suiza, 1998. AICPA/CICA SysTrustTM Principles and Criteria for Systems Reliability, Versin 1.0: Instituto Americano de Contadores Pblicos Certificados, New York, e Instituto Canadiense de Contadores Estatutarios, Toronto, 1999.

228

IT GOVERNANCE INSTITUTE

DIRECTRICES DE AUDITORIA
APNDICE IV GLOSARIO DE TRMINOS
AICPA CCEB CICA CISA Control COSO DRI DTI EDIFACT EDPAF ESF GAO I4 Instituto Americano de Contadores Pblicos Certificado. (American Institute of Certified Public Accountants) Criterios comunes para seguridad en tecnologa de informacin. (Common Criteria for Information Technology Security) Instituto Canadiense de Contadores Estatutarios. (Canadian Institute of Chartered Accountants) Auditor Certificado de Sistemas de Informacin. (Certified Information Systems Auditor) Polticas, procedimientos, prcticas y estructuras organizacionales, diseados para proporcionar una seguridad razonable de que los objetivos del negocio sern alcanzados y que eventos no deseados sern prevenidos o detectados y corregidos. Comit de Organizaciones Patrocinadoras de la Comisin de Intercambio. "Tradeway" (Committee of Sponsoring Organisations of the Tradeway Commission). Instituto Internacional de Recuperacin de Desastres. (Disaster Recovery Institute International) Departamento de Comercio e Industria del Reino Unido. (Department of Trade and Industry of the United Kingdom) Intercambio Electrnico de Datos para la Administracin, el Comercio y la Industria (Electronic Data Interchange for Administration, Commerce and Trade) Fundacin de Auditores de Procesamiento Electrnico de Datos (Electronic Data Processing Auditors Foundation), ahora ISACF. Foro Europeo de Seguridad (European Security Forum), cooperacin de 70+ multinacionales europeas principalmente con el propsito de investigar problemas de seguridad y control comunes de TI. Oficina General de Contabilidad de los EUA. (U.S. General Accounting Office) Instituto Internacional de Integridad de Informacin. (International Information Integrity Institute), asociacin similar a ESF, con metas similares, pero con base principalmente en los Estados Unidos y dirigida por el Instituto de Investigaciones de Stanford (Stanford Research Institute) Grupo Consultivo de Negocios Infosec (Infosec Business Advisory Group), representantes de la industria que asesoran al Comit Infosec. Este Comit est compuesto por funcionarios de los gobiernos de la Comunidad Europea y asesora a la Comisin Europea sobre cuestiones de seguridad de TI. Federacin Internacional de Contadores. (International Federation of Accountants) Instituto de Auditores Internos. (Institute of Internal Auditors) Comit Consultivo para la Comisin Europea en Materia de Seguridad TI. (Advisory Committee for IT Security Matters to the European Commission) Asociacin para la Auditora y Control de Sistemas de Informacin. (Information Systems Audit and Control Foundation) Fundacin para la Auditora y Control de Sistemas de Informacin. (Information Systems Audit and Control Foundation) Organizacin de Estndares Internacionales. (International Standards Organisation) (con oficinas en Gnova, Suiza) Estndares de manejo y aseguramiento de la calidad definidos por ISO. Biblioteca de Infraestructura de Tecnologa de Informacin. (Information Technology Infrastructure Library) Criterios de Evaluacin de Seguridad de Tecnologa de Informacin (Information Technology Security Evaluation Criteria). Combinacin de los criterios de Francia, Alemania, Holanda y Reino Unido, soportadas consecuentemente por la Comisin Europea (ver tambin TCSEC, el equivalente en los Estados Unidos).

IBAG

IFAC IIA INFOSEC ISACA ISACF ISO ISO9000 ITIL ITSEC

IT GOVERNANCE INSTITUTE

229

DIRECTRICES DE AUDITORIA
NBS NIST NSW Objetivo de Control de TI OECD OSF PCIE SPICE TCSEC Departamento Nacional de Estndares de los Estados Unidos (National Bureau of Standards of the U.S.) (antes NBS) Instituto Nacional de Estndares y Tecnologa. (National Institute of Standards and Technology), con base en Washington D.C. Nueva Gales del Sur, Australia. (New South Wales, Australia) Declaracin del resultado deseado o propsito a ser alcanzado al implementar procedimientos de control en una actividad particular de TI. Organizacin para la Cooperacin y el Desarrollo Econmico. (Organisation for Economic Cooperation and Development) Fundacin de Software Abierto (Open Software Foundation) Consejo Presidencial de Integridad y Eficiencia. (Presidents Council on Integrity and Efficiency) Mejoramiento del proceso de software y determinacin de la capacidad. Un estndar para el mejoramiento del proceso del software (Software Process Improvement and Capability Determination) Criterios de Evaluacin de Sistemas Computarizados Confiables. (Trusted Computer System Evaluation Criteria), conocido tambin como "The Orange Book". Criterios de evaluacin de seguridad para sistemas computarizados definidos originalmente por el Departamento de Defensa de los Estados Unidos. Ver tambin ITSEC, el equivalente europeo. Gua para la Construccin y Certificacin de Sistemas de Administracin de Calidad. (Guide to Software Quality Management System Construction and Certification)

TickIT

230

IT GOVERNANCE INSTITUTE

DIRECTRICES DE AUDITORIA
APNDICE V PROCESO DE AUDITORA
(PREPARADO POR EL CAPTULO DE ISACA DEL REA DE LA CAPITAL NACIONAL)
Los diagramas de flujo que se muestran a continuacin tratan de cada uno de los pasos para la satisfaccin de un solo objetivo de control. Define el objetivo del paso y especifica lo que el auditor debe haber alcanzado antes de continuar con el siguiente paso. Finalmente, un diagrama de flujo es la representacin grfica del proceso de recoleccin de informacin y toma de decisiones que deben ocurrir en cada uno de los pasos. Dado que muchos de los objetivos son particulares, no sugerimos estos diagramas como una regla estricta. Resultan tiles como gua porque representan un marco de referencia conceptual preciso para cada una de las fases del trabajo de auditora. Se presenta un glosario consolidado de trminos despus de cada diagrama. Los trminos definidos se representan en cursiva a lo largo del texto. PASO DE AUDITORA DE IDENTIFICACIN/DOCUMENTACIN Objetivo del Paso El objetivo del paso de auditora de identificacin/documentacin es que el auditor se familiarice con la tarea cubierta por el objetivo de control y la manera en que la administracin de SI cree que estn siendo controlados. Esto incluye la identificacin de las personas, los procesos y la ubicacin donde se realiza esta tarea, y los procedimientos establecidos que los controlan. Resultados Deseados del Paso Al finalizar el paso de auditora de identificacin/documentacin, el auditor deber haber identificado, documentado y verificado: Quin realiza la tarea cubierta por el objetivo de control Dnde se realiza la tarea Cundo se realiza la tarea Sobre qu datos de entrada se realiza la tarea Qu datos de salida/resultados se esperan de la tarea, y Cules son los procedimientos establecidos para realizar la tarea. PASO DE AUDITORA DE EVALUACIN Objetivo del Paso El objetivo del paso de auditora de evaluacin es evaluar los procedimientos establecidos y determinar si los procedimientos brindan una estructura de control eficaz. Los procedimientos deben evaluarse contra los criterios identificados, las prcticas estndar de la industria y el criterio del auditor. Una estructura de control eficaz es eficiente en costos y proporciona aseguramiento razonable de que la tarea est siendo realizada y de que se estn cumpliendo el objetivo de control. Resultados Deseados del Paso Al finalizar el paso de auditora de evaluacin, el auditor debe haber: Evaluado las leyes, regulaciones y criterios organizacionales en cuanto a su aplicacin sobre los procedimientos Evaluado los procedimientos establecidos para determinar si son eficientes en costos y proporcionan aseguramiento razonable de que se est realizando la tarea y de que se est cumpliendo el objetivo de control Evaluado los controles compensatorios utilizados para apoyar procedimientos dbiles Concluido si los procedimientos establecidos y los controles compensatorios proporcionan conjuntamente una estructura de control eficaz Identificado si son apropiadas las pruebas de cumplimiento. PASO DE AUDITORA DE PRUEBAS DE CUMPLIMIENTO Objetivo del Paso El objetivo del paso de auditora de pruebas de cumplimiento es analizar la adherencia de una organizacin a los controles prescritos. Deber compararse los procedimientos reales y los controles compensatorios en relacin con los procedimientos establecidos, y deber realizarse entrevistas y revisin de documentos para determinar si los controles estn debida y consistentemente aplicados. Las pruebas de cumplimiento solamente se realizan sobre la base de los procedimientos que han sido

Identificacin/Documentacin
Inicio Identidad, Procesos, Locaciones, Individuos, y Procedimientos Entrevista a clientes Procedimientos Percibidos del cliente Procedimientos Definidos Para Evaluar

Procedimientos Escritos

Fusin

Figura 1. Diagrama de Flujo del Paso de Auditora


IT GOVERNANCE INSTITUTE

231

DIRECTRICES DE AUDITORIA
PROCESO DE AUDITORA
(PREPARADO POR EL CAPTULO DE ISACA DEL REA DE LA CAPITAL NACIONAL)
Resultados Esperados del Paso Al finalizar el paso de auditora de pruebas de cumplimiento, el auditor debe haber documentado la adherencia de la organizacin a los procedimientos identificados anteriormente y debe haber concluido si los procedimientos establecidos y los controles compensatorios estn debida y consistentemente aplicados. Basndose en el nivel de cumplimiento, el auditor debe determinar el nivel de pruebas sustantivas necesarias para brindar aseguramiento de que el proceso de control es adecuado. PASO DE AUDITORA DE PRUEBAS SUSTANTIVAS Objetivo del Paso El objetivo del paso de auditora de pruebas sustantivas es realizar las pruebas de datos necesarias para brindar aseguramiento o no-aseguramiento total a la administracin sobre la consecucin de un objetivo de negocios dado. Resultados Deseados del Paso Al finalizar el paso de auditora de pruebas sustantivas, el auditor deber haber realizado pruebas suficientes sobre los resultados de la tarea para concluir si se est alcanzando un objetivo de control dado. Debern realizarse pruebas sustantivas si: No existen medidas de control Las medidas de control han sido calificadas como no satisfactorias, o Las pruebas de cumplimiento indican que las medidas de control no han sido debida y consistentemente aplicadas.

Ident/Doc

Procedimientos Definidos

Evaluar los Procedimientos Definidos

Procedimiento NO Efectivo?

Identificar y Evaluar los Controles de Compensacin

Controles de Comp. Efectivo?

NO

Prueba Significativa y Sustantiva

SI

SI

Leyes, Requericiones, y Criterios de la Org.

Prueba de Cumplimiento

Figura 2. Diagrama de Flujo del Paso de Auditora de Evaluacin


Proced. Definido
Adecuar los Procedimientos de Control aplicados de manera apropiada y consistente

Pruebas Sustantivas Limitadas

Evaluacin

Revisar Muestra de resultados de Tareas para Determinar el cumplimiento de los Proced. Definidos

Cumple NO

SI

Muestreo de Resultados de las Tareas

Identificar Procedimientos Reales

Proced. Reales NO Adecuados

Adecuar los Procedimientos de control imprecisos y aplicados de manera inconsistente

Pruebas Significativas Sustantivas

Figura 3. Diagrama de Flujo del Paso de Auditora de Prueba del Cumplimiento


232
IT GOVERNANCE INSTITUTE

DIRECTRICES DE AUDITORIA
PROCESO DE AUDITORA
(PREPARADO POR EL CAPTULO DE ISACA DEL REA DE LA CAPITAL NACIONAL)
Pruebas Sustantivas

IT GOVERNANCE INSTITUTE

233

DIRECTRICES DE AUDITORIA
GLOSARIO:
Archivos suspenso: Estado en que quedan algunas transacciones que han presentado algn tipo de error cuando el error no amerita rechazar todo el archivo o la transaccin, durante un proceso batch Aseguramiento Razonable Un estndar para la evaluacin de la suficiencia de los procedimientos establecidos para cumplir con un objetivo de control en particular. El aseguramiento razonable involucra la aplicacin del criterio, conocimiento y experiencia para desarrollar una opinin informada. El aseguramiento razonable requiere que un sistema de controles sea eficaz, pero no demasiado dispendioso. El estndar de aseguramiento razonable tambin requiere que un sistema de controles sea eficiente en costos. Cold Star: Arranque del sistema en frio. Trmino utilizado para cuando se enciende el sistema / computador Controles Compensatorios Son los pasos o procedimientos adicionales de control que no se relacionan directamente con el objetivo de control que se est probando, pero cuya presencia sirve para fortalecer los controles que s se relacionan directamente con el objetivo de control. Los controles compensatorios se identifican durante la fase de pruebas de cumplimiento del trabajo de auditora. Los controles compensatorios se procuran de manera activa solamente cuando la eficacia de los controles establecidos es cuestionable. Entradas y Resultados de la Tarea Productos, reportes o informacin requerida para, asociada con o resultado de la realizacin de una tarea. Objetivo de Control El resultado deseado de cualquier procedimiento establecido para una organizacin. Desde el punto de vista de Sistemas de Informacin, el objetivo de control se utiliza para catalogar y definir el alcance del trabajo de auditora que se est realizando. Off-site: Sitio de almacenamiento / back-up alterno Procedimientos Establecidos Controles que la organizacin cree establecidos y que se siguen para brindar aseguramiento de que se est cumpliendo el objetivo de control. Los procedimientos establecidos son lo que la administracin cree que est sucediendo. Incluyen tanto procedimientos escritos, como procedimientos informales identificados por la administracin. Los procedimientos establecidos se identifican en la fase de identificacin/documentacin del trabajo de auditora y se comparan en relacin con los procedimientos reales durante la fase de cumplimiento. Procedimientos Reales Son los procedimientos que estn siendo realizados por la organizacin para satisfacer el objetivo de auditora. Los procedimientos reales se identifican durante la fase de auditora de pruebas de cumplimiento. Shut Down: Instruccin o comando dado por el operador para tumbar el sistema cuando algn proceso se encuentra en loop o cuando se desea bajar el sistema. Tarea El resultado deseado de una serie de procedimientos cubiertos por un objetivo de control. La tarea es lo que el objetivo de control est diseado a asegurar.

234

IT GOVERNANCE INSTITUTE

DIRECTRICES DE AUDITORIA
DIRECTRIZ GENRICA PARA REALIZAR AUDITORAS
OBTENCIN DE UNA COMPRENSIN Los pasos de auditora a realizar para documentar las actividades subyacentes de los objetivos de control, as como tambin para identificar las medidas de control/procedimientos establecidos existentes. Entrevistar al personal y directivos para obtener una comprensin de: Los requerimientos del negocio y los riesgos asociados La estructura organizacional Las funciones y responsabilidades Las polticas y procedimientos Las leyes y regulaciones Las medidas de control existentes El reporte administrativo (estatus, desempeo, puntos de accin) Documentar los recursos de los procesos de TI relacionados que estn particularmente afectados por los procesos bajo revisin, confirmar el entendimiento del proceso bajo revisin, los Indicadores Clave de Desempeo (KPI) del proceso, las implicaciones del control, por ejemplo mediante una revisin paso a paso del proceso EVALUACIN DE LOS CONTROLES Los pasos de auditora a realizar para la evaluacin de la eficacia de las medidas de control existentes o el grado en que se logra un objetivo de control. Bsicamente, trata de decidir qu, si y cmo probarlo. Evaluar la suficiencia de las medidas de control para el proceso bajo revisin, por medio de considerar los criterios identificados y las prcticas estndar de la industria, los Factores Crticos de xito (CSF) de las medidas de control, y la aplicacin del criterio profesional del auditor. Existen procesos documentados Existen resultados apropiados La responsabilidad y el registro son claras y eficaces Existen controles compensatorios, donde es necesario Concluir el grado en el que se cumple el objetivo de control. EVALUACIN DEL CUMPLIMIENTO Los pasos de auditora a realizar para asegurar que las medidas de control establecidas estn funcionando como debiera, de manera consistente y continua, y concluir sobre la suficiencia del ambiente de control. Obtener evidencia directa o indirecta para puntos/perodos seleccionados para asegurar que los procedimientos cumplieron en el periodo bajo revisin, utilizando evidencia directa o indirecta. Realizar una revisin limitada de la suficiencia de los resultados del proceso. Determinar el nivel de pruebas sustantivas y el trabajo adicional necesarios para asegurar que el proceso de TI es adecuado. JUSTIFICACIN / COMPROBACIN DEL RIESGO Los pasos de auditora a realizar para justificar el riesgo de no cumplir con el objetivo de control mediante el uso de tcnicas analticas y/o consultando a fuentes alternativas. El objetivo es fundamentar la opinin e impresionar a la administracin para que tome accin. Los auditores deben ser creativos para encontrar y presentar esta informacin frecuentemente confidencial y sensitiva. Documentar las debilidades del control, y las amenazas y vulnerabilidades resultantes. Identificar y documentar el impacto real y potencial; por ejemplo, mediante el anlisis de causa-raz. Brindar informacin comparativa; por ejemplo, mediante benchmarks.

IT GOVERNANCE INSTITUTE

235