Академический Документы
Профессиональный Документы
Культура Документы
1 Gobierno de TI
Preparado por: MBA Juan de Dios Bel, CISA, CISM M. Sc Xiomar Delgado, CISA, CRISC PC-0423 AUDITORA INFORMTICA I
Pregunta
Pregunta
Qu es COBIT?
A. Un libro de Tecnologa de de Informacin Informacin (TI) (TI) de de JRR Tolkien B. Un estndar internacional para el gobierno, el control y la auditora de la Tecnologa de Informacin. C. Un manual de Normas, Polticas y Procedimientos del ambiente TI.
3
Pregunta
Cul es la Misin de COBIT ?
A. B. C.
Brindar un instrumento de soporte a la Gerencia de TI y a los Auditores de TI para ordenar la crisis . Vender 2.000.000 de volmenes en el mundo. Investigar, Investigar, desarrollar, desarrollar,publicar publicary ypromover promoveruna unaserie serie internacional, autorizada y actualizada de objetivos de control de tecnologa de informacin generalmente aceptados para su uso diario por parte de auditores y gerentes de negocio.
Pregunta
Quin desarroll COBIT ?
A. ISACA con el IT Governance Institute
Pregunta
Cul es el enfoque de COBIT ?
A. Lograr los objetivos de negocio de ISACA B. Lograr los objetivos de negocio personales C. Lograr los objetivos de negocio de una organizacin
Pregunta
A. El pblico en general.
B. Los Gerentes, los Usuarios y los Auditores. C. Los Gerentes, los Auditores Financieros y los Auditores de Sistemas de Informacin.
Pregunta
Pregunta
Pregunta
Para qu necesitan COBIT los Auditores? A. Para aportar valor agregado en la planificacin de los trabajos de Auditora. B. Para respaldar sus opiniones y/o aconsejar a la Direccin con respecto a los controles internos. C. Para tener tema de conversacin con sus pares en las reuniones de ISACA.
10
Preguntas
10
B.
C.
11
Introduccin a COBIT
Por qu necesitan las TI un marco de control? Quin necesita un marco de control de TI? Por qu y cundo se usa COBIT?
12
Las organizaciones exitosas comprenden y gestionan los riesgos asociados con la implementacin de las nuevas tecnologas.
14
Gerencia
Para tomar las decisiones de inversin en TI Para balancear los riesgos y controlar las inversiones Para comparar (benchmark) entornos de TI actuales y futuros
Usuarios
Para obtener garantas sobre la seguridad y control de los productos y servicios que adquieren interna o externamente
Auditores
Para sustanciar sus opiniones sobre controles internos ante la direccin Para aconsejar sobre los controles mnimos necesarios
16
Se ha transformado en el
estndar de facto para el control total sobre las TI
Procesos de TI
IT Processes
Ayuda sustancialmente a incrementar la aceptacin y reducir Provee una gua para auditoras/revisiones formales Ayuda a utilizar los resultados de las auditoras como una
oportunidad para planificar mejoras
18
Ayuda a los gerentes de operaciones de TI con su habilidad Es ideal para que la direccin de negocios comunique sus
requerimientos y preocupaciones
Para mejorar el enfoque y los programas de auditora Para dar soporte al trabajo de auditora con directrices (guidelines) detalladas de auditora Para proveer orientacin para el gobierno de las TI Como un valioso benchmark para el control de SI/TI Par mejorar los controles de SI/TI Para estandarizar el enfoque y programas de auditora
20
21
de la premisa que las TI deben entregar la informacin que la empresa necesita para alcanzar sus objetivos Promueve el enfoque de procesos y la propiedad de los procesos Divide las Ti en 34 procesos pertenecientes a 4 dominios y provee un objetivo de control de alto nivel para cada uno de ellos
Considera
Monitoreo y Evaluacin
las necesidades financieras, de calidad y seguridad de las empresas, proveyendo 7 criterios de informacin que pueden ser utilizados para definir genricamente lo que los negocios esperan de las TI soportado por un conjunto de ms de 200 objetivos detallados de control
Est
22
A fin de proveer la informacin que la organizacin necesita para alcanzar sus objetivos, los recursos de TI deben ser administrados mediante un conjunto de procesos naturalmente agrupados.
Negocios Procesos
Est referido a requerimientos de negocios (expresados como criterios de informacin) Se vincula con los procesos de negocios
RECURSOS DE TI
A fin de proveer la informacin que la organizacin necesita para alcanzar sus objetivos, los recursos de TI deben ser administrados mediante un conjunto de procesos naturalmente agrupados.
Por Qu?
La orientacin a procesos es un enfoque de gestin probado para ejercer responsabilidades eficientemente, alcanzar los objetivos establecidos y gestionar razonablemente los riesgos.
24
Requerimientos de Negocio
Requerimientos de Calidad: Calidad Entrega Costo Requerimientos de Seguridad Confidencialidad Integridad Disponibilidad Requerimientos Financieros
(Informe COSO) Efectividad y Eficiencia de las operaciones Cumplimiento con leyes y regulaciones Confiabilidad de los informes financieros
Confiabilidad de la
informacin
25
Requerimientos de Negocio
Efectividad Se refiere a que la informacin sea relevante y pertinente
para el proceso del negocio, as como a que sea entregada de manera oportuna, correcta, consistente y utilizable.
Disponibilidad Se refiere a la disponibilidad de la informacin cuando Cumplimiento Se refiere al cumplimiento de aquellas leyes,
sta es requerida por el proceso de negocio y por lo tanto tambin se refiere a la salvaguarda de los recursos necesarios y capacidades asociadas. regulaciones y acuerdos contractuales a los que el proceso de negocios est sujeto, por ejemplo, criterios de negocio impuestos externamente.
informacin apropiada a la administracin para que sta la use en la operacin de la entidad, en la provisin de informes financieros a los usuarios de la informacin financiera y para que informe a los organismos regulatorios con relacin al cumplimiento de las leyes y las regulaciones vigentes.
26
Dominios
Procesos
Actividades o tareas
Procesos de TI
Estrategia de TI Operaciones de
Actividades
computacin Gestin de incidentes Aceptacin de testing Administracin de cambios Planes de contingencia Gestin de problemas
Registrar nuevos
problemas Analizar Proponer solucin Monitorear solucin Registrar problemas conocidos Etc.
Acciones requeridas para alcanzar un resultado mensurable. Las actividades poseen un ciclo de vida, mientras que las tareas son discretas.
28
Dominios
Este dominio cubre las estrategias y tcticas, y se refiere a la identificacin de la forma en que la TI puede contribuir mejor al logro de los objetivos del negocio. Adems, la realizacin de la visin estratgica necesita ser planeada, comunicada y gestionada desde diferentes perspectivas. Finalmente, deber establecerse una organizacin y una infraestructura tecnolgica apropiadas.
Tpicos
Preguntas
Estn la TI y la estrategia de negocio alineadas? Est la empresa haciendo un uso ptimo de sus recursos? Comprenden todos en la organizacin los objetivos de TI? Son comprendidos los riesgos de TI y estn siendo gestionados? Es la calidad de los sistemas de TI adecuada para las necesidades del negocio?
29
Definir un plan estratgico de TI PO2 Definir la arquitectura de informacin PO3 Determinar la direccin tecnolgica PO4 Definir la organizacin y las relaciones de TI PO5 Gestionar la inversin en TI PO6 Comunicar los objetivos y la direccin de la gerencia PO7 Administrar recursos humanos PO8 Asegurar el cumplimiento de requerimientos externos PO9 Analizar y evaluar riesgos PO10 Gestionar proyectos PO11 Gestionar la calidad
.
30
Dominios
Tpicos
Soluciones de TI Cambios y mantenimiento
Preguntas
Es probable que los nuevos proyectos entreguen soluciones que satisfagan las necesidades de negocio? Es probable que los nuevos proyectos entreguen en tiempo y dentro de presupuesto? Trabajarn los nuevos sistemas correctamente una vez implementados? Sern los cambios realizados sin perturbar las operaciones actuales de negocio?
31
32
Este dominio se refiere a la entrega o distribucin efectiva de los servicios requeridos, que abarca desde las operaciones tradicionales hasta el entrenamiento, pasando por la seguridad en los sistemas y la continuidad de las operaciones. Con el fin de proveer servicios, debern establecerse los procesos de soporte necesarios. Este dominio incluye el procesamiento
Dominios
efectivo de los datos por [parte de] los sistemas de informacin, frecuentemente clasificados como controles de aplicacin.
Tpicos
Entrega de servicios requeridos Establecimiento de procesos de soporte Procesamiento por [parte de] los sistemas de aplicacin
Preguntas
Estn los servicios de TI siendo entregados en lnea con las prioridades de negocio? Estn los costos de TI optimizados? La fuerza de trabajo es capaz de usar los sistemas de TI en forma productiva y segura? Estn la seguridad, integridad y disponibilidad adecuadas en su lugar apropiado?
33
ES1 ES2 ES3 ES4 ES5 ES6 ES7 ES8 ES9 ES10 ES11 ES12 ES13
Definir y gestionar niveles de servicio Gestionar servicios prestados por terceros Gestionar desempeo y capacidad Asegurar el servicio continuo Garantizar la seguridad de sistemas Identificar y asignar costos Educar y entrenar a usuarios Asistir y asesorar a los clientes Gestionar la configuracin Gestionar problemas e incidentes Gestionar datos Gestionar instalaciones Gestionar operaciones
34
Dominios
Todos los procesos de TI necesitan ser evaluados regularmente a travs del tiempo para verificar su calidad y suficiencia en cuanto a los requerimientos de control. Este dominio consecuentemente hace referencia a la supervisin de los procesos de control de la organizacin por [parte de] la Administracin y al aseguramiento independiente provisto por la auditora interna y la externa u obtenido de fuentes alternativas.
Tpicos
Evaluacin a lo largo del tiempo, garanta de entrega [delivering assurance] Supervisin del sistema de control por [parte de] la Administracin Medicin de desempeo
Preguntas
Puede medirse el desempeo de la TI y pueden detectarse los problemas antes de que sea demasiado tarde? Se necesita aseguramiento independiente para garantizar que las reas crticas estn operando como es debido?
35
36
Recursos de TI
Clasificacin
DATOS APLICACIONES TECNOLOGIA
Los objetos de datos en su sentido ms amplio, es decir: externos e internos, estructurados y no estructurados, grficos, sonido, etc. Entendido como la suma de procedimientos manuales y programados Hardware, sistemas operativos, administracin de bases de datos, redes, multimedia, etc. Ambientes que albergan y dan soporte a los sistemas de informacin Habilidades, conocimientos y productividad del personal para planificar, organizar, adquirir, entregar y dar soporte y monitorear servicios y sistemas de informacin
INSTALACIONES
PERSONAL
37
Cmo se relacionan?
Recursos de TI
Procesos de TI
Datos
Sistemas de Aplicacin
Tecnologa Instalaciones
Gente
Procesos de TI Planificacin & Organizacin Adquisicin & Implementacin Entrega & Soporte
Requerimientos del Negocio Efectividad Eficiencia Confidencialidad Integridad Disponibilidad Cumplimiento Confiabilidad de la informacin
39
PO1
Criterios
Efectividad Eficiencia Confidencialidad Integridad Disponibilidad Cumplimiento Confiabilidad
Definir un plan estratgico de tecnologa de informacin PO2 Definir la arquitectura de informacin PO3 Determinar la direccin tecnolgica PO4 Definir la organizacin y las relaciones de TI PO5 Gestionar la inversin en tecnologa de informacin PO6 Comunicar los objetivos y la direccin de la gerencia PO7 Administrar recursos humanos PO8 Asegurar el cumplimiento de requerimientos externos PO9 Analizar y evaluar riesgos PO10 Gestionar proyectos PO11 Gestionar la calidad
RECURSOS DE TI
Datos Sistemas de Aplicacin Tecnologa Instalaciones Gente
PLANIFICAION Y ORGANIZACIN
ENTREGA Y SOPORTE
Identificar soluciones automticas Adquirir y mantener de software de aplicacin Adquirir y mantener infraestructura tecnolgica Desarrollar y mantener procedimientos de TI Instalar y acreditar sistemas Gestionar cambios
40
OBJETIVOS DE NEGOCIO
GOBIERNO DE TI
COBIT
INFORMACION
eficacia
eficiencia confidencialidad integridad disponibilidad cumplimiento confiabilidad
COBIT
Regla de oro
Es preciso administrar los recursos de TI por medio de una serie de procesos agrupados naturalmente, a fin de proveer la informacin que la organizacin necesita para lograr sus objetivos 41
TM
PLANIFICACION Y ORGANIZACION
MONITOREO
RECURSOS DE TI
datos
sistemas de aplicacin tecnologa instalaciones personal
ENTREGA Y SOPORTE
ADQUISICION E IMPLEMENTACION
criterios de informacin. La TI es por lo general organizada en un conjunto de procesos. La TI necesita un conjunto de recursos.
A fin de proporcionar la informacin que la organizacin necesita para alcanzar sus objetivos, los recursos de TI deben ser administrados por un conjunto de procesos agrupados en forma natural.
42
El Cubo COBIT
Vista de la Junta Directiva
43
Criterios de Informacin
Cubo COBIT
Dominios de TI
Monitoreo y Evaluacin
44
45
COBIT
AI6
Dominio
Adquisicin & Implementacin
Proceso
AI1 AI2 AI3 AI4 AI5 AI6
Identificar soluciones automatizadas P P P P P P P S P P P S S S S P S P S S S S S
46
Asignacin
Por qu?
47
34 15
PO1 PO3 PO5 PO9 PO10 AI1 AI2 AI5 AI6 ES1 ES4 ES5 ES10 ES11 M1
Definicin de un plan estratgico de TI Determinacin de la direccin tecnolgica Administracin de las inversiones Evaluacin de riesgo Administracin de proyectos Identificacin de soluciones Adquirir y mantener aplicaciones de software Instalar y acreditar sistemas Administracin de cambios Definir niveles de servicio Garanta de continuidad de servicio Garanta de seguridad de los sistemas Administracin de problemas e incidentes Administracin de datos Monitoreo de procesos
Objetivos de Control
Los controles mnimos son...
Directrices Gerenciales
Directrices de Auditora
49
Definicin de Una sentencia del resultado esperado o del propsito que se desea alcanzar implementando procedimientos Objetivo de (prcticas) de control en una actividad particular de TI. Control de TI
50
Modelo en cascada
El control de
Procesos de TI
que satisface
Declaracin de Control
considerando
Prcticas de Control
4 Dominios - 34 Procesos -
52
53
AI6
Objetivos de Control de Alto Nivel
54
56
COBIT
AI6
Objetivos de Control Detallados
57
Prcticas de Control
Traducen los objetivos de control de COBIT en prcticas detalladas, implementables y proveen la argumentacin de negocio para la implementacin, desde una perspectiva de valor y riesgo
58
Prcticas de control
AI6 Administracin del Cambio
AI6.4 Cambios de Emergencia
La gerencia de TI debe establecer parmetros definiendo cambios de emergencia y procedimientos para controlar estos cambios cuando ellos obvian el proceso normal de evaluacin tcnica, operacional y gerencial previo a su implementacin. Los cambios de emergencia deben ser registrados y autorizados por la gerencia de TI antes de su implementacin.
1. La Administracin define los parmetros, caractersticas y procedimientos que identifican y declaran las emergencias. Todos los cambios de emergencia son documentados, si no antes, despus de la implementacin. Todos los cambios de emergencia son probados, si no antes, despus de la implementacin. Todos los cambios de emergencia son formalmente autorizados por el dueo del sistema y la Administracin antes de su implementacin. Las imgenes previas y posteriores as como los logs de intervencin son retenidos para posterior revision. El control de los cambios de emergencia mediante la implementacin de las prcticas de control:
2. 3. 4.
Garantizar que los procedimientos de emergencia sean usados solamente en emergencias declaradas
Garantizar que los cambios urgentes puedan ser implementados sin comprometer la integridad, disponibilidad, confiabilidad, seguridad, confidencialidad o exactitud
5.
Prcticas de Control
Por qu adoptarlas?
59
Objetivos de Control
60
IT Governance Model
Requerimientos
Objetivos
Objetivos de Control
Responsabilidades
Negocio
Informacin que el Negocio Necesita para Alcanzar sus Objetivos
TI
Gobierno
Los Ejecutivos de Informacin y el Directorio Necesitan Ejercer sus Responsabilidades
62
Requerimientos
Direccin
Objetivos
Objetivos de Control
TI IT
Informacin que el Negocio Necesita para Alcanzar sus Objetivos
Responsabilidades
Negocio
Gobierno
Informacin (Control, Riesgo y Aseguramiento de TI)
Gobierno de TI
63
Directrices Gerenciales
Sin embargo, la Administracin tiene preguntas que van ms all del marco referencial de control :
Cmo hacen los administradores responsables para mantener la nave en su curso? DASHBOARD
(Tablero de Instrumentos)
Indicadores?
Cmo se logran resultados satisfactorios para el mayor segmento posible de nuestros inversionistas? Cmo adaptar oportunamente la organizacin a las tendencias y desarrollos en el entorno de la empresa?
SCORECARDS
(Tarjetas de Puntuacin)
Medidas?
BENCHMARKING
(Referencias)
Escalas?
64
Descripcin de proceso
El control de
Procesos de TI
que satisface
es habilitado por
Declaracin de Control
considerando
Prcticas de Control
Modelo de Madurez
0 - Los procesos de administracin no se aplican en absoluto. 1 - Los procesos son ad hoc y desorganizados. 2 - Los procesos siguen un patrn regular. 3 - Los procesos son documentados y comunicados. 4 - Los procesos son monitoreados y medidos. 5 - Las mejores prcticas son seguidas y automatizadas.
65
Describen el resultado del proceso (i.e., medible despus del hecho); son medidas del qu, y pueden describir el impacto de no alcanzar el objetivo del proceso Son indicadores del xito del proceso y de su contribucin al negocio Se enfocan en las dimensiones de cliente y financiera del balanced scorecard
El control de
Procesos de TI
que satisface
Requerimientos del Negocio
es habilitado por
Declaracin de Control
considerando
Prcticas de Control
66
Mayor nivel de entrega de servicio Nmero de clientes y costo por cliente servido Disponibilidad de sistemas y servicios Ausencia de riesgos de integridad y confidencialidad Costo-eficiencia de procesos y operaciones Confirmacin de confiabilidad y efectividad Adherencia a costos y plazos de desarrollo Costo-eficiencia del proceso Productividad y moral del personal Nmero de cambios oportunos a procesos y sistemas Mejora de productividad (e.g., entrega de valor por empleado)
67
que satisface
Requerimientos del Negocio
es habilitado por
Declaracin de Control
considerando
Prcticas de Control
68
Nmero de clientes de
TI Costo por cliente de TI Costo-eficiencia de procesos de TI Entrega de valor de TI por empleado
Cliente
Proceso
existentes
Productividad y tiempo de
respuesta Cantidad de errores y retrabajos
Aprendizaje
Productividad y moral
del personal Nmero de personas entrenadas en nuevos tecno/servicios Entrega de valor por empleado Mayor disponibilidad de sistemas de conocimiento
69
Son las cosas ms importantes que hay que hacer para incrementar la probabilidad de xito del proceso Son caractersticas observables usualmente mensurables de la organizacin y del proceso Enfocadas a obtener, mantener y respaldar la capacidad, las habilidades y el comportamiento
El control de
Procesos de TI
que satisface
Requerimientos del Negocio
es habilitado por
Declaracin de Control
considerando
Prcticas de Control
70
El plan estratgico de TI expresa claramente una posicin de riesgo tal como de vanguardia o probado, innovador o seguidor, y el balance requerido entre tiempo-a-mercado, costo de propiedad y calidad de servicio. Si usted no est preparado para forzar la poltica, no emita la poltica. Un programa de permiso de construccin para construir sistemas de TI y un programa de licencia de conductor para aqullos que llevan a cabo la construccin. Un buen plan de seguridad toma tiempo para evolucionar.
Poltica
Cumplimiento Seguridad
71
Modelos de Madurez
Definiciones
Se refieren a los requerimientos de negocio (ICOs) y a los aspectos
gobierno y control de TI
be) relativas a la madurez del gobierno y control de TI y a analizar la brecha naturaleza del negocio determina cul es un nivel apropiado.
72
Administrado
4
Optimizado
SIMBOLOS UTILIZADOS
Estado Actual de la Empresa Estndares Internacionales Mejores Prcticas de la Industria Estrategia corporativa
CLASIFICACIONES UTILIZADAS
0 Inexistente 1 Inicial No se aplica ningn proceso de gestin Los procesos se aplican segn la ocasin y de manera desorganizada
2 Repetible
3 Definido 4 Administrado 5 Optimizado
Mtodo a utilizar
Automatizacin
Productividad y Calidad
Administrado
Definido
Repetible
Inicial
(Ad Hoc/Catico)
Riesgo
74
Anlisis de brecha
Evaluaciones
75
AI6
Directriz Gerencial
76
AI6
Directriz Gerencial
77
El control sobre el proceso de TI Administrar Cambios de TI con el objetivo del negocio de minimizar la probabilidad de interrupcin, alteraciones no autorizadas y errores 0 Inexistente. No hay un proceso definido de administracin de cambios y se pueden hacer cambios prcticamente sin control alguno. No hay conciencia de que los cambios pueden causar interrupciones tanto para TI como para las operaciones de negocios, y ninguna conciencia de los beneficios de una buena administracin de cambios. 1 Inicial /Ad hoc Se reconoce que los cambios deben ser administrados y controlados, pero no hay un proceso consistente para seguimiento. Las prcticas varan y es probable que ocurran cambios no autorizados. Hay documentacin insuficiente o inexistente de cambios, y la documentacin de configuracin est incompleta y no es confiable. Es probable que ocurran errores junto con interrupciones en el entorno de produccin causados por una administracin deficiente del cambio.
AI6
Directriz Gerencial
2 Repetible pero Intuitiva Hay un proceso informal de administracin de cambios y la mayora de los cambios siguen este mtodo; sin embargo, el mismo no est estructurado, es rudimentario y est propenso a error. La precisin de la documentacin de configuracin es inconsistente y slo tiene lugar una planeacin y un estudio de impacto limitados antes de un cambio. Hay considerable ineficiencia y repeticin de trabajo.
3 Proceso Definido Est establecido un proceso formal de administracin de cambios, que incluye procedimientos de categorizacin, priorizacin, emergencia, autorizacin y administracin de cambios, pero no se impone su cumplimiento. El proceso definido no siempre es visto como adecuado o prctico y, en consecuencia, ocurren trabajos paralelos y los procesos son desviados. Es probable que ocurran errores y los cambios no autorizados ocurrirn ocasionalmente. El anlisis de impacto a los cambios de TI sobre las operaciones del negocio se estn volviendo formales para soportar la ejecucin de los planes para nuevas aplicaciones y tecnologas. 4 Administrado y Medible El proceso de administracin de cambios est bien desarrollado y es seguido de manera consistente para todos los cambios, y la administracin confa en que no hay excepciones. El proceso es eficiente y efectivo, pero se basa en considerables procedimientos y controles manuales para asegurar que se logre la calidad. Todos los cambios estn sujetos a una planeacin y estudio de impacto exhaustivos para minimizar la probabilidad de problemas posteriores a la produccin. Est establecido un proceso de aprobacin para los cambios. La documentacin de administracin de cambios est al da y es correcta, y los cambios son rastreados formalmente. La documentacin de la configuracin est generalmente actualizada. La planeacin e implementacin de la administracin de cambios de TI se est volviendo ms integrada con cambios en los procesos de negocios, para asegurar ese entrenamiento, se resuelven cambios organizativos y problemas de continuidad de negocio. Hay mayor coordinacin entre la administracin de cambios de TI y el rediseo del proceso de negocios.
78
Objetivos de Control
Directrices Gerenciales
Directrices de Auditora
79
Objetivos de la Auditora de TI
Suministrar a la Junta Directiva y a los gerentes responsables de procesos: una garanta razonable respecto de que se logran los objetivos de control la identificacin de las deficiencias significativas la justificacin del riesgo asociado a las deficiencias el asesoramiento sobre las acciones correctivas a adoptar
Estoy en lo cierto?
Identificacin y Documentacin
Pruebas de Cumplimiento
Pruebas Sustantivas
81
La evaluacin de la
del cumplimiento probando si los controles establecidos estn funcionando como se espera, de manera consistente y continua
La valoracin
control no se estn cumpliendo mediante el uso de tcnicas analticas y/o consultando fuentes alternativas.
82
83
Evaluar cumplimiento
Verificando
Sustentar el riesgo
Llevando a cabo Identificando
84
Documentar el proceso relacionado con los recursos de TI que se ven especialmente afectados por el proceso bajo revisin. Confirmar el entendimiento del proceso bajo revisin, los Indicadores Clave de Desempeo (KPI) del proceso, las implicaciones de control, por ejemplo, mediante una revisin paso a paso del proceso.
85
Los pasos de auditora a realizar para asegurar que las medidas de control establecidas estn funcionando como es debido, de manera consistente y continua, y concluir sobre la conveniencia del ambiente de control.
Obtener evidencia directa o indirecta de puntos/perodos seleccionados para asegurarse que se ha cumplido con los procedimientos durante el perodo de revisin, utilizando evidencia tanto directa como indirecta. Realizar una revisin limitada de la suficiencia de los resultados del proceso.
Determinar el nivel de pruebas sustantivas y trabajo adicional necesarios para asegurar que el proceso de TI es adecuado.
87
Los pasos de auditora a realizar para justificar el riesgo de que no se cumpla el objetivo de control mediante el uso de tcnicas analticas y/o consultas a fuentes alternativas. El objetivo es respaldar la opinin e impresionar a la administracin para que tome accin. Los auditores tienen que ser creativos para encontrar y presentar esta informacin que con frecuencia es sensitiva y confidencial.
Documentar las debilidades de control y las amenazas y vulnerabilidades resultantes. Identificar y documentar el impacto real y potencial; por ejemplo, mediante el anlisis de causa-efecto. Brindar informacin comparativa; por ejemplo, mediante benchmarks.
88
AI6
Directriz Gerencial
89
Considerando s, continuacin
AI6
Directriz Gerencial
90
AI6
Directriz Gerencial
91
Valorando el cumplimiento
Objetivos de control traducidos para probar y/o medir si los
controles para soportar los objetivos de control estn presentes como se declara y si ellos operan satisfactoriamente
Justificando el riesgo
Ilustrar objetivos de negocio no alcanzados, prdidas, etc., debido a la ausencia de controles adecuados.
92
Guas de Auditora
Prcticas de Control
Modelos de Madurez
= toma en consideracin
93
94
Estndares Profesionales
Estructura
Normas:
Definen los requisitos obligatorios para la realizacin de las tareas y presentacin de informes de auditora de sistemas de informacin
Directrices:
Manual de Preparacin al Examen CISA 2003, Captulo 1 Pgina 30
Brindan la orientacin correcta para la correcta aplicacin de las normas. Si bien no est obligado a seguir sus pautas, un auditor de sistemas de informacin debera estar preparado para justificar el no cumplimiento de los mismos
Procedimientos:
Proporcionan informacin sobre la manera de cumplir con las normas al realizar tareas de auditora de sistemas de informacin, pero no establecen requisitos
95
Estndares profesionales
Normas Generales de Negocio
- Balanced Scorecard - ISO 9000 - Six Sigma
SIAS
GAAP
GAAS
SISA
AU/NZ 4360
Los Criterios de Informacin ms relevantes para una auditora de Internet Banking son: Primarios: confidencialidad, integridad, disponibilidad, cumplimiento y confiabilidad Secundarios: eficacia y eficiencia
97
98
La TI ha formado un Abismo
Pioneros
Innovadores
Mayora
99
Auditora de TI
Hay Que Cruzar el Abismo
100
101
102
Anlisis
Directamente en los Equipos de Administracin de Proyectos y/o Indirectamente en el Comit de Direccin de Proyectos Costo Retorno Implicancias financieras potenciales Trminos contractuales (i.e. SLA) Establecer objetivos de seguridad Identificacin de amenazas Suministrar recomendaciones sobre soluciones factibles Desarrollar la capacidad de respuesta a incidentes & BCP Requerimientos de usuarios Seguridad y Controles Comprobaciones Documentacin Nuevos drivers de los negocios Riesgo y oportunidades con el comercio mvil Impacto de nuevas tecnologas
Monitoreo
Visin proactiva
103
Consultas
Xiomar Delgado
104
105
COBIT Quickstart
COBIT Security Baseline IT Control Practices COBIT: Mapping Information Security Hamonization IT Governance Global Status Report InfoSecurity Governance IT Governance: BoardBriefing Aligning COBIT, ITIL & ISO 17799
107
Entender el enfoque general; Ver las relaciones con el esquema de gobierno de TI; Recorrer la implementacin a travs del mapa; Ver los pasos involucrados; Revisar las herramientas de apoyo
108
Antecedentes de la Gua
Un recurso educativo para Juntas Directivas, alta gerencia y profesionales de control de tecnologa de informacin. La gua presenta una metodologa genrica que trata:
Por qu el gobierno de TI es importante; Cmo COBIT se relaciona con el gobierno de TI; Implementar el gobierno de TI usando COBIT
109
Gobierno de TI
Proposiciones de valor
Cundo usted es...
Director y Junta Directiva
Establecer las directrices para TI, resultados del monitoreo e insistir en las medidas correctivas
Gerente de Negocio
Definir los requisitos de negocio para TI y asegurar que ese valor es entregado y los riesgos son administrados
Suministrar y mejorar el servicio de TI como es requerido por el negocio y por las directrices de la Junta Directiva Proporcionar un aseguramiento independiente que TI entrega lo que se necesita que entregue Medir si las polticas cumplen con y se enfocan en las alertas de nuevos riesgos
110
Gerente de TI
Auditor de TI
Riesgo
Costo
111
Objetivos
Objetivos de Control
TI IT
Informacin que el Negocio Necesita para Alcanzar sus Objetivos
Responsabilidades
Negocio
Gobierno
Informacin (Control, Riesgo y Aseguramiento de TI)
Gobierno de TI
112
Marco de Gobierno de TI
Proveer directivas
Establecer Objetivos
TI alineada con el negocio TI posibilita el negocio y maximiza los beneficios Recursos de TI utilizados responsablemente Manejo apropiado de los riesgos relacionado con TI
Actividades de TI
Aumentar la automatizacin
(hacer eficacia al negocio)
Comparar
Reducir costos
(hacer eficiente a la empresa)
Medir el Desempeo
113
REAS DE NEGOCIOS
USUARIOS
PERSONAL de TI
AUDITORES
114
Hoja de Ruta
de la Gua de Implementacin
Asiste a diversos interesados con una Hoja de Ruta detallada, que ayuda a la organizacin en la implementacin de sus necesidades de gobierno de TI. Asegura que el foco est en las necesidades del negocio cuando se mejora el control y el gobierno de los procesos de TI. Representa un proyecto que puede ser suficientemente grande, que requiere de estrictas prcticas de administracin de proyecto e involucramiento y vigilancia por parte de la gerencia. Un medio para el gobierno de TI, luego del cual, la empresa debera moverse a un ciclo continuo de gobierno de TI, reutilizando los elementos de esta hoja de ruta cuando sean necesarios.
115
Hoja de Ruta
de la Gua de Implementacin
La Hoja de Ruta provee la identificacin de los componentes de COBIT a aplicar durante la implementacin del plan de accin, desde la fase inicial de identificacin de necesidades hasta la implementacin de una solucin, pasando por las fases de visualizacin y planificacin.
116
Retroalimentacin
Concientizar y tomar la decisin Analizar valores y riegos Seleccionar procesos
- Medir el xito del proyecto de cambio - Retroalimentar dentro de otro proyecto de mejora
Visualizar la solucin
Definir proyectos Desarrollar e implementar el plan de cambios
Planificar la solucin
Solucin sustentable
Establecer polticas, objetivos y metas Implementar polticas, responsabilidades, procesos y procedimientos Tomar acciones preventivas y correctivas y mejora continua
Integrar la prcticas en el da a da Integrar las mediciones dentro del BSC de TI
Implementar la solucin
117
Guas de Implementacin
Pasos a seguir
Cada una de las cuatro fases del plan de accin son introducidos con los actividades a realizar, los roles sugeridos de los stakeholders de la organizacin y el soporte de COBIT disponible. Los 12 pasos son presentados en detalle, con:
Denominacin y referencia de las actividades del proceso; Objetivo del proceso; Proceso (descripcion); Tareas; Insumos; Uso de los componentes de COBIT; Resultados; Soporte del kit de herramientas
118
119
Analizar valores
Analizar riesgos
Seleccionar procesos
Visualizar la Solucin
Analizar brechas
Planificar la Solucin
Definir proyectos
Implementar de la Solucin
Integrar la prcticas en el da a da
120
Fase 1:
Identificar Necesidades
Identificar las Necesidades
Concienciar y tomar la decisin
Analizar valores
Analizar riesgos
Seleccionar procesos
Principales Objetivos:
1. Entender los antecedentes de la iniciativa y establecer objetivos mensurables para el proyecto de Gobierno de TI, concienciar y definir la organizacin del proyecto 2. Entender los objetivos del negocio y como ellos se trasladan a los objetivos de TI 3. Entender los principales efectos, por ejemplos riesgos, y como podran afectar las metas de TI 4. Decidir el alcance del Proyecto de mejora y los procesos a ser implementados o mejorados
121
Fase 2:
Visualizar la Solucin
Visualizar la Solucin
Definir dnde estamos ahora? Definir dnde queremos estar? Analizar brechas
Principales Objetivos:
1. Evaluar las capacidades actuales y el nivel de madurez de los procesos de TI seleccionados (as-is) 2. Establecer las capacidades y nivel de madurez deseado u objetivo para cada uno de los procesos (as-to-be) 3. Analizar las Brechas entre las posiciones y trasladarlas a oportunidades de mejoras
122
Fase 3:
Plan de la Solucin
Planificar la Solucin
Definir proyectos Desarrollar e implementar el plan de cambios
Principales Objetivos
1. Identificar las principales y factibles iniciativas de mejora 2. Trasladar las iniciativas a Proyectos que cumplan con el valor para el negocio planteados 3. Integrar los proyectos individuales aprobados en una estrategia global de mejora y en un Plan detallado y prctico de implementacin de la solucin 4. Trasladar a mtricas las metas de mejora del negocio y de TI 123
Fase 4:
Implementar la Solucin
Implementar de la Solucin
Integrar la prcticas en el da a da Integrar las mediciones dentro del BSC de TI
Principales Objetivos:
1.Integrar las prcticas de mejora para alcanzar los beneficios para el negocio 2.Monitorear las mejoras de manera corporativa y en el BSC de TI 3.Garantizar el uso de la retroalimentacin y las lecciones aprendidas
124
125
Evaluador independiente -su rol primario Sobre el valor entregado por la TI y la mitigacin de sus riesgos, realizando:
Auditora del sistema de gestin del desempeo de la TI que es creado luego de la implementacin del Gobierno de TI Auditora del proceso de Implementacin del Gobierno de TI de acuerdo a la hoja de ruta Auditora de uno o mas de los proyectos de mejora identificados en el plan general de mejora Informe independiente al Directorio sobre la eficacia de los procesos de Gobierno de TI
126
127
COBIT Quickstart
Al examinar el contenido de esta publicacin, estaremos revisando:
el propsito y audiencia de Quickstart; las pruebas de conveniencia incluidas en Quickstart; los controles fundamentales de Quickstart; Tablas de diagnstico de
Quickstart
129
130
COBIT Quickstart
131
COBIT Quickstart
Cul es el enfoque?
COBIT QuickStart provee objetivos de control fundamentales. En organizaciones ms grandes, lo fundamental es una herramienta muy til para acelerar la adopcin de mejores practicas de gobierno. El resumen de lo fundamental (en comparacin a COBIT):
COBIT
Quickstart
Dominios
Procesos Objetivos de control
4 34
318
4 30
62
132
COBIT Quickstart
Quickstart provee dos comprobaciones para determinar la conveniencia de una empresa en implementar controles de TI basados en el conjunto de controles de Quickstart:
1 Comprobacin: Stay in the blue zone, ayuda a determinar la conveniencia de una empresa de usar
Quickstart
2 Comprobacin: Watch the heat, busca cualquier necesidad de ir ms all de Quickstart por razones especficas del negocio.
133
COBIT Quickstart
Tablas de Diagnstico
El apndice I de la publicacin provee dos tablas de diagnstico para ayudar a identificar rpidamente los controles que necesitan ser implementados
La primer tabla relaciona factores de riesgo para aspectos de gobierno de TI y problemas de tecnologa; La segunda tabla relaciona objetivos de control de Quickstart con los mismos aspectos de gobierno de TI y problemas de tecnologa
134
COBIT Quickstart
Lo ms importante...(80-20)
ITI
ITS
135
136
137
138
139
Diagnstico de Control de TI
5 4 3 2 1 0
PO1
Planes de accin
0 2 6 10 14 18 22
ES1
Desarrollo
Puntos de control Data implementation Testing / QA Final QA Initial Release
Cronograma en semanas
140
141
Resistencia al cambio
El cambio es vivido como una amenaza:
Autoestima Seguridad econmica Carrera laboral Relaciones interpersonales Conocimientos Habilidades Competencias Satisfaccin laboral
As que, implementar COBIT tiene que ser una iniciativa que se realiza para solucionar los problemas especficos de cada empresa.
143
Hay disponibles recursos de calidad para apoyar una implementacin de COBIT a medida La informacin de COBIT resumida en Quickstart, la hoja de ruta del plan de accin de TI en la Gua de Implementacin de Gobierno de TI y la accesibilidad y flexibilidad de COBIT Online son una combinacin poderosa.
144
Comunicar
Reunir
Educar
Motivar
Retroalimentar
145
Recomendaciones
Logar el compromiso de la alta direccin Involucrar a mandos medios Utilizar casos reales en la puesta en marcha Definir y establecer un mecanismo de seguimiento continuo Buscar pacto con experto Hacer documentos reales Implantar indicadores de calidad Usar registros de calidad
146
Beneficios
Disminucin de costos de la mala calidad (reprocesos, rechazos, reclamos, etc.) Libera tarea de crisis a los gerentes Mejora las relaciones internas Genera confianza en los usuarios Mejora el clima de trabajo Disminucin de costos de auditoras internas Mejora la imagen pblica
147
COBIT
TM
148