Repblica Bolivariana de Venezuela

Ministerio del Poder Popular para la Defensa

Universidad Nacional Experimental Politcnica de la Fuerza Armada
UNEFA-Chuao
Ing. Sistemas-8vo Semestre
Auditoria de Sistemas

ITIL, COBIT y NAGAS

Integrantes:
Aranguren Katherine C.I: 19.341.524
Valls Luis C.I:20.364.323
Castellano Leonel C.I: 21.414.490
Caracas, Noviembre 2016

Introduccin
A continuacin en el siguiente trabajo de investigacin donde se tratan
diferentes tpicos entre ellos ITIL, que es considerada una biblioteca de
infraestructura de TI, es el marco de referencia que describe un conjunto de
mejores prcticas y recomendaciones para la administracin de servicios, con un
enfoque de administracin de procesos. . ITIL se construye en torno a una vista
basada en proceso-modelo del control y gestin de las operaciones a menudo
atribuida a W. Edwards Deming.
Por otra parte, se puede estudiar el concepto de COBIT, pudiendo aplicarse
a todos los sistemas de informacin de una empresa, que tiene como meta el
desarrollo de polticas y prcticas adecuadas para la seguridad y el control de los
Sistemas de Informacin y como su misin el investigar, desarrollar, publicar y
promover un conjunto internacional y actualizado de objetivos de control para la
tecnologa de la informacin.
Para finalizar, cabe destacar que al referirse a las normas de auditoria
generalmente aceptadas o NAGAS se expresan los principios en donde estas
normas por su carcter general se aplican a todo el proceso del examen y se
relacionan bsicamente con la conducta funcional del auditor como persona
humana y regula los requisitos y aptitudes que debe reunir para actuar como
Auditor.

Qu es ITIL?
ITIL es la biblioteca de Infraestructura de Tecnologas de Informacin,
frecuentemente abreviada ITIL, es un conjunto de conceptos y buenas prcticas
para la gestin de servicios de tecnologas de la informacin, el desarrollo de
tecnologas de la informacin y las operaciones relacionadas con la misma en
general. ITIL da descripciones detalladas de un extenso conjunto de
procedimientos de gestin ideados para ayudar a las organizaciones a lograr
calidad y eficiencia en las operaciones de TI. Estos procedimientos son
independientes del proveedor y han sido desarrollados para servir como gua que
abarque toda infraestructura, desarrollo y operaciones de TI.
Certificacin ITIL.
Los particulares pueden conseguir varias certificaciones oficiales ITIL. Los
estndares de calificacin ITIL son gestionados por la ITIL ICMB que agrupa a la
OGC, a itSMF International y a los dos Institutos Examinadores existentes: EXIN
(con sede en los Pases Bajos) e ISEB (con sede en el Reino Unido).
Existen tres niveles de certificacin ITIL para profesionales:
1. Foundation Certificate: acredita un conocimiento bsico de ITIL en gestin
de servicios de tecnologas de la informacin y la comprensin de la
terminologa propia de ITIL. Est destinado a aquellas personas que
deseen conocer las buenas prcticas especificadas en ITIL.
2. Practitioner's Certificate destinado a quienes tienen responsabilidad en el
diseo de procesos de administracin de departamentos de tecnologas de
la informacin y en la planificacin de las actividades asociadas a los
procesos.
3. Manager's Certificate: garantiza que quien lo posee dispone de profundos
conocimientos en todas las materias relacionadas con la administracin de
departamentos de tecnologas de la informacin, y lo habilita para dirigir la
implantacin de soluciones basadas en ITIL.
No es posible certificar una organizacin o sistema de gestin como
conforme a ITIL, pero una organizacin que haya implementado las guas de
ITIL sobre Gestin de los Servicios de TI puede lograr certificarse bajo la ISO/IEC
20000.
La versin 3 de ITIL, que apareci en junio de 2007, cambi ligeramente el
esquema de Certificaciones, existiendo certificaciones puentes, se definen 3
niveles:

1. Basic Level.
2. Management and Capability Level.
3. Advanced Level.
En ITIL v3 reestructura el manejo de los temas para consolidar el modelo de
"ciclo de vida del servicio" separando y ampliando algunos subprocesos hasta
convertirlos en procesos especializados. Esta modificacin responde a un enfoque
empresarial para grandes corporaciones que utilizan ampliamente ITIL en sus
operaciones y aspira a consolidar el modelo para conseguir an mejores
resultados. Es por ello que los especialistas recomiendan que empresas
emergentes o medianas no utilicen ITIL v3 si no cuentan con un modelo ITIL
consolidado y aspiran a una expansin a muy largo plazo. ITIL v3 consta de 5
libros basados en el ciclo de vida del servicio:

Estrategia del Servicio.

Diseo del Servicio.
Transicin del Servicio.
Operacin del Servicio.
Mejora Continua del Servicio.
Estrategia del Servicio.

Se enfoca en el estudio de mercado y posibilidades mediante la bsqueda

de servicios innovadores que satisfagan al cliente tomando en cuenta la real
factibilidad de su puesta en marcha. As mismo se analizan posibles mejoras para
servicios ya existentes. Se verifican los contratos con base en las nuevas ofertas
de proveedores antiguos y posibles nuevos proveedores, lo que incluye la
renovacin o revocacin de los contratos vigentes.
Los Procesos de ITIL

Gestin Financiera
Gestin del Portafolio
Gestin de la Demanda
Cambios en la versin 2011

Financial Management for IT services: La gestin financiera de TI ha ampliado

para incluir algunos de los elementos clave de la ITIL publicaciones anteriores que
haban sido excluidos en la edicin 2007 de la Estrategia del Servicio tales como
contabilidad, elaboracin de presupuestos y de cargos.
Business Relationship Management: Este es un nuevo proceso que se asemeja al
existente en la ISO 20.000. Se hace una diferenciacin para los distintos
proveedores de servicio: tipo I, II y III. Se brinda una explicacin diferente para
cada tipo de proveedor.

Governance: Ahora hay ms detalles sobre el concepto de Gobierno, incluida una

definicin ms completa de su significado, la diferencia entre el gobierno y gestin,
un marco de gobierno, y cmo la gestin del servicio se relaciona con el gobierno.
Cloud Computing: Se ha incluido en qu forma la gestin de servicios se ve
afectada por la aparicin de la computacin en la nube. Se agreg un nuevo
apndice que cubre especficamente la estrategia de servicio y la nube:
caractersticas, tipos, tipos de servicio, y los componentes de la arquitectura de
nube.
Ciclo de vida de los Servicios de ITIL
Una vez identificado un posible servicio el siguiente paso consiste en
analizar su viabilidad. Para ello se toman factores tales como infraestructura
disponible, capacitacin del personal y se planifican aspectos como seguridad y
prevencin ante desastres. Para la puesta en marcha se toman en consideracin
la reasignacin de cargos (contratacin, despidos, ascensos, jubilaciones, etc), la
infraestructura y software a implementar.
Procesos de los servicios

Gestin del Catlogo de Servicios

Gestin de Niveles de Servicios
Gestin de la Disponibilidad
Gestin de la Capacidad
Gestin de la Continuidad de los Servicios de TI
Gestin de Proveedores
Gestin de la Seguridad de Informacin
Coordinacin del Diseo (nuevo en la versin 2011)

Cambios en la versin 2011

Las principales modificaciones del libro de ITIL V3 Diseo del Servicio en su
versin 2011 incluye: un cambio a los denominados 5 aspectos del diseo y
primordialmente la inclusin de un nuevo proceso de Coordinacin del Diseo. De
esta manera esta fase incluye ahora 8 procesos, en lugar de 7.

Nuevo Proceso ITIL V3 2011: Coordinacin del Diseo

Se adicion este proceso para hacer ms claro el flujo de actividades en el

ciclo de vida del diseo. El propsito del proceso de Coordinacin del Diseo es
garantizar que las metas y los objetivos de la etapa de diseo del servicio
entregando y manteniendo un punto nico de coordinacin y control de todas las
actividades y procesos dentro de esta etapa del ciclo de vida de servicio. Las
salidas del proceso de coordinacin del diseo son potencialmente:

Diseo de servicios integrado y consistente a travs del SDP (paquete

de diseo del servicio)
Revisin de la arquitectura empresarial
Revisin del sistema de gestin
Revisin de las mtricas y mtodos de medicin
Revisin de procesos
Actualizacin del Portafolio de Servicios
Actualizacin de los registros de cambios

Porque implementar ITIL.

Gracias a la mejora continua del servicio, se utilizan herramientas de medicin y
feedback para documentar la informacin referente al funcionamiento del servicio,
los resultados obtenidos, problemas ocasionados, soluciones implementadas, etc.
Para ello se debe verificar el nivel de conocimiento de los usuarios respecto al
nuevo servicio, fomentar el registro e investigacin referentes al servicio y
disponer de la informacin al resto de los usuarios, y nada ms.

Qu es COBIT?

Es una gua de mejores prcticas presentado como framework, dirigida al

control y supervisin de tecnologa de la informacin. Mantenido por ISACA y el IT
GI, tiene una serie de recursos que pueden servir de modelo de referencia para la
gestin de TI, incluyendo un resumen ejecutivo, un framework, objetivos de
control, mapas de auditora, herramientas para su implementacin y
principalmente, una gua de tcnicas de gestin.
La primera edicin fue publicada en 1996; la segunda edicin en 1998; la
tercera edicin en 2000 (la edicin on-line estuvo disponible en 2003); y la cuarta
edicin en diciembre de 2005, y la versin 4.1 est disponible desde mayo de
2007.
Niveles de COBIT.
COBIT 4.1
En su cuarta edicin, COBIT tiene 34 procesos que cubren 210 objetivos de
control (especficos o detallados) clasificados en cuatro dominios:

Planificacin y Organizacin (Plan and Organize))

Adquisicin e Implantacion (Acquire and Implement)

Entrega y Soporte (Deliver and Support)

Supervisin y Evaluacin (Monitor and Evaluate)

COBIT 5
Isaca lanz el 10 de abril del 2012 la nueva edicin de este marco de
referencia. COBIT 5 es la ltima edicin del framework mundialmente aceptado, el
cual proporciona una visin empresarial del Gobierno de TI que tiene a la
tecnologa y a la informacin como protagonistas en la creacin de valor para las
empresas.
COBIT 5 se basa en COBIT 4.1, y a su vez lo ampla mediante la
integracin de otros importantes marcos y normas como Val IT y Risk IT,
Information Technology Infrastructure Library (ITIL ) y las normas ISO
relacionadas en esta norma.

Beneficios.

COBIT 5 ayuda a empresas de todos los tamaos a:

Optimizar los servicios el coste de las TI y la tecnologa

Apoyar el cumplimiento de las leyes, reglamentos,
contractuales y las polticas
Gestin de nuevas tecnologas de informacin

acuerdos

Seguridad de la informacin en COBIT

En el mes de junio del 2012, ISACA lanz "COBIT 5 para la seguridad de la
informacin", actualizando la ltima versin de su marco a fin de proporcionar una
gua prctica en la seguridad de la empresa, en todos sus niveles prcticos.
COBIT 5 para seguridad de la informacin puede ayudar a las empresas a
reducir sus perfiles de riesgo a travs de la adecuada administracin de la
seguridad. La informacin especfica y las tecnologas relacionadas son cada vez
ms esenciales para las organizaciones, pero la seguridad de la informacin es
esencial para la confianza de los accionistas.

Qu es NAGAS?
Las Normas de Auditora Generalmente Aceptadas (NAGAS) son los
principios fundamentales de auditora a los que deben enmarcarse su desempeo
los auditores durante el proceso de la auditoria. El cumplimiento de estas normas
garantiza la calidad del trabajo profesional del auditor.
Quin las cre?
Las NAGAS, tiene su origen en los Boletines (Statement on Auditing
Estndar, SAS) emitidos por el Comit de Auditora del Instituto Americano de
Contadores. En 1939 fue creado el Committee on Auditing Procedu-res. En 1972
fue creado el Auditing Stan-dards Committee, cuyos pronunciamientos se
denominan Statements on Auditing Standards, de los cuales el nmero 1,
publicado en noviembre de 1973, bajo el ttulo Codification of Auditing Standards
and Procedures, es considerado a modo de cdigo para los profesionales de la
auditora. El ejemplo de los Estados Unidos fue seguido por otros muchos pases.
Normas de Auditora Generalmente Aceptadas. Las normas tienen que ver
con la calidad de la auditora realizada por el auditor independiente. Los socios del
AICPA han aprobado y adoptado diez normas de auditora generalmente
aceptadas (NAGA), que se dividen en tres grupos: (1) normas generales, (2)
normas de la ejecucin del trabajo y (3) normas de informar.
[Bailey, 1998]
Clasificacin De Las NAGAS.
En la actualidad las NAGAS, vigentes son 10, las mismas que constituyen
los (10) diez mandamientos para el auditor y son:
Normas Generales o Personales:
1. Entrenamiento y capacidad profesional. "La Auditoria debe ser efectuada
por personal que tiene el entrenamiento tcnico y pericia como Auditor".
2. Independencia. "En todos los asuntos relacionados con la Auditora, el
auditor debe mantener independencia de criterio".
3. Cuidado o esmero profesional. "Debe ejercerse el esmero profesional en
la ejecucin de la auditora y en la preparacin del dictamen".

Normas de Ejecucin del Trabajo:

4. Planeamiento y Supervisin. "La auditora debe ser planificada
apropiadamente y el trabajo de los asistentes del auditor, si los hay,
debe ser debidamente supervisado".
5. Estudio y Evaluacin del Control Interno. "Debe estudiarse y evaluarse
apropiadamente la estructura del control interno (de la empresa cuyos
estados financieros se encuentra sujetos a auditora o como base para
establecer el grado de confianza que merece, y consecuentemente, para
determinar la naturaleza, el alcance y la oportunidad de los
procedimientos de auditora".
6. Evidencia Suficiente y Competente. "Debe obtenerse evidencia
competente y suficiente, mediante la inspeccin, observacin,
indagacin y confirmacin para proveer una base razonable que permita
la expresin de una opinin sobre los estados financieros sujetos a la
auditora.
Normas de Preparacin del Informe:
7. Aplicacin de los Principios de Contabilidad Generalmente Aceptados.
"El dictamen debe expresar si los estados financieros estn presentados
de acuerdo a principios de contabilidad generalmente aceptados".
8. Consistencia. "El dictamen debe contener la expresin de una opinin
sobre los estados financieros tomados en su integridad, o la aseveracin
de que no puede expresarse una opinin. En este ltimo caso, deben
indicarse las razones que lo impiden. En todos los casos, en que el
nombre de un auditor est asociado con estados financieros el dictamen
debe contener una indicacin clara de la naturaleza de la auditora, y el
grado de responsabilidad que est tomando".
9. Revelacin Suficiente. Las revelaciones informativas en los estados
financieros deben considerarse razonablemente adecuadas a menos
que se especifique de otro modo en el informe.
10. Opinin del Auditor. "El dictamen debe contener la expresin de una
opinin sobre los estados financieros tomados en su integridad, o la
aseveracin de que no puede expresarse una opinin. En este ltimo
caso, deben indicarse las razones que lo impiden. En todos los casos,

en que el nombre de un auditor est asociado con estados financieros el

dictamen debe contener una indicacin clara de la naturaleza de la
auditora, y el grado de responsabilidad que est tomando".
Generalidades de la Norma.
La ejecucin de un trabajo de auditora conforme a las directrices debe
organizarse y documentarse de forma apropiada con el fin de que pueda
delegarse entre los colaboradores del equipo, de forma que cada uno de ellos
conozca detalladamente que debe hacer y a qu objetivo final debe dirigir su
esfuerzo. Que el trabajo quede registrado de manera que permita su revisin,
evaluacin y obtencin de conclusiones en las que fundamentar una opinin sobre
la informacin contable sujeta a auditoria.
La necesidad de planificar, controlar y documentar el trabajo es
independiente del tamao del cliente. Los objetivos perseguidos con la
planificacin y control son; mejorar el nivel de eficiencia, con la consiguiente
reduccin de tiempo necesario, y mejora del servicio al cliente, garantizar que la
auditora se ejecutar adecuadamente, mejorar las relaciones con los clientes y
permitir al personal un mayor grado de satisfaccin en el trabajo.
Habitualmente es necesario preparar alguna forma de plan escrito antes de
iniciar cualquier trabajo de auditora. No obstante su grado de detalle y
formalizacin depender de muchos factores, por ejemplo, del nmero de
personas involucradas y de si estn o no ubicadas en la misma oficina o el mismo
pas. Las normas de auditora incluyen la estipulacin de que el trabajo ha de ser
adecuadamente planeado. Las normas de auditora controlan la naturaleza y
alcance de la evidencia que ha de obtenerse por medio de procedimientos de
auditora, una norma es un patrn de medida de los procedimientos aplicados con
aceptabilidad general en funcin de los resultados obtenidos.

A quines regula:

Conocidas por el anagrama NAGA. Son un conjunto de principios,

procedimientos, reglas y normas que regulan el ejercicio de la auditora
externa.

Las normas de auditora generalmente aceptadas, se relacionan con las

cualidades profesionales del Contador Pblico, con el empleo de su buen
juicio en la ejecucin de su examen y en su informe referente al mismo.

El revisor fiscal debe cumplir con las normas de auditora de general

aceptacin en Colombia ya que contienen las reglas bsicas que l debe
seguir en la realizacin de su trabajo.

Las normas tienen que ver con la calidad de la auditora realizada por el
auditor independiente.

Conclusin
En primer lugar, en el mbito de los Auditores, ellos actualmente han
tomado el liderazgo en los esfuerzos internacionales de estandarizacin, debido a
que enfrentan continuamente la necesidad de sustentar y apoyar frente a la
Gerencia su opinin acerca de los controles internos. Esto ha sido mostrado en
varios estudios recientes acerca de la manera en la que los auditores evalan
situaciones complejas de seguridad y control de TI. Incluso, la administracin

consulta cada vez ms a los auditores para contar con su asesora en forma
proactiva en lo referentes a asuntos de seguridad y control.
Dado que se debe hablar en primera instancia de ITIL que se cre como un
modelo para la administracin de servicios e incluye informacin sobre las metas,
las actividades generales, las entradas y las salidas de los procesos que se
pueden incorporar a las reas de TI.
Por otra parte COBIT, consolida y armoniza estndares de fuentes globales
prominentes en un recurso crtico para la gerencia, los profesionales de control y
los auditores. Es, por lo tanto, la herramienta innovadora para el gobierno de TI
que ayuda a la gerencia a comprender y administrar los riesgos asociados a TI.
En cuanto a las NAGAS, estas tienen que ver con la calidad de la auditora
realizada por el auditor independiente. Los socios del AICPA han aprobado y
adoptado diez normas (NAGA). El cumplimiento de estas normas garantiza la
calidad del trabajo profesional del auditor, estas se dividen en tres grupos por
mencionar algunas estn las normas generales, de la ejecucin del trabajo y de
informar.