Cobit1

1. CPC. Eduardo Miranda Valdivia

2. CONCEPTO BSICOS

Es el resultado de una investigacin con expertos de varios paises, desarrollada por la Information, Systems Audit and Control AssociationISACA.

Esta asociacin se ha constituido en elorganismo normalizador y orientador en el control y la auditora de los sistemas de Informacin y Tecnologa (IT).

El modelo CobIT ha sido aceptado y adoptado por organizaciones en el mbito mundial.

Modelo para evaluar y/o auditar la gestin y control de los de Sistemas de Informacin y Tecnologa relacionada (IT): MODELO COBIT (Control Objectives for Information Systems and related Technology) CPC. Eduardo Miranda Valdivia 3. CONCEPTO BSICOS Modelo CobiT Origen LEGISLADORES / REGULADORESUSUARIOS PRESTADORES DE SERVICIOS

MARCO UNICO

REFERENCIA

PRACTICAS

SEGURIDAD

Y CONTROL

ALTAGERENCIA

INVERSION CONTROL TI

BALANCE RIESGO/CONTROL

BASE BENCHMARKING

USUARIOS DETI

ACREDITACON CONTROL /SEGURIDADPOR AUDITORES O TERCEROS

CONFUSIN ESTANDARES

AUDITORES

DESGASTE

OPINION V.S.

ALTA GCIA.

CONSULTORES EN CONTROL/SEG.

CPC. Eduardo Miranda Valdivia 4. CONCEPTO BSICOS

Proveer un marco nico reconocido a nivel mundial de las mejores prcticas de control y seguridad de TI

Consolidar y armonizar estndares originados en diferentes paises desarrollados.

Concientizar a la comunidad sobre importancia del control y la auditora de TI.

Enlaza los objetivos y estrategias de los negocios con la estructura de control de la TI, como factor crtico de xito

Aplica a todo tipo de organizaciones independiente de sus plataformas de TI

Ratifica la importancia de la informacin, como uno de los recursos ms valiosos de toda organizacin exitosa

O b j e t i v o sy B e n e f i c i o s CPC. Eduardo Miranda Valdivia 5. CONCEPTO BSICOS

COSO(Committe Of Sponsoring Org. of the Treadway Commission)

OECD(Organizarion for Economic Cooperation and Development)

ISO 9003 (International Standars Organization)

NIST (National Institute of Standars and Technology)

DTI(Departament of Trade and Industry of the U.K)

ITSEC(Information Technology Security Evaluation Criteria - Europa)

TCSEC (Trusted Computer Evaluacin Criteria - Orange Book- E.U)

IIA SAC (Institute of Internal Auditors - Systems Auditability and Control)

IS Auditing Standars Japn

COBIT Representatividad ISACA- 95 paises20.000 miembros Investigacin: E.U-Europa-Australia-Japn Consolidacin y armonizacin 18 estndares CPC. Eduardo Miranda Valdivia 6. CONCEPTO BSICOS

Para satisfacer los objetivos del negocio la informacin debe cumplir con criterios que COBIT extrae de los ms reconocidos modelos:

CPC. Eduardo Miranda Valdivia Requerimientos de calidad (ISO 9000-3)

Calidad

Entrega

7. CONCEPTO BSICOS Requerimientos fiduciarios (informe COSO)

Eficacia y eficiencia

Confiabilidad de la informacin

Cumplimiento con leyes y reglamentaciones

Requerimientos de seguridad (libro rojo, naranja, ISO 17799 y otros)

Disponibilidad

Integridad

Confidencialidad

CPC. Eduardo Miranda Valdivia 8. REGLA DE ORO DEL COBIT

A fin, de proveer lainformacinque la organizacin requiere para lograr susobjetivos, losrecursos de ITdeben ser administrados por un conjunto deprocesos , agrupados de forma adecuada y normalmente aceptada.

CPC. Eduardo Miranda Valdivia 9. POR QU COBIT ?

La Tecnologa se ve como un costo, no hay una terminologa comn con el negocio, y se recorta el presupuesto en la seguridad, ya que la falta de difusion de normas y buenas prcticas que ayuden a generar conciencia de los riesgos mantiene la quimera del :

A mi no me vapasar..

CPC. Eduardo Miranda Valdivia 10. POR QU COBIT?

La Direccin, a travs de su Gobierno Corporativo debe garantizar la debida diligencia por parte de todos los individuos involucrados en la administracin, uso, diseo, desarrollo, mantenimiento u operacin de los sistemas de informacin.

Gobierno de Tecnologa de Informacin El rol de la Direccin CPC. Eduardo Miranda Valdivia 11. QUINES NECESITAN REGLAS DE JUEGO DEFINIDAS

LosMandos Gerencialespara saber que deben exigir, como medir los resultados y cuales son sus responsabilidades en esos temas.Balancear el riesgo y la inversin en control de un ambiente a menudo impredecible

ElAuditorpara sustentar sus opiniones sobre los riesgos y la adecuacin de la tecnologa a las mejores prcticas. Ser asesores proactivos del negocio

CPC. Eduardo Miranda Valdivia 12. ADEMS ...

ElArea usuariapara saber que puede pedir a tecnologa y que se le va a exigir sobre el control de los procesos del negocio.Son los interesados en saber si los recursos de Tecnologa de Informacin se utilizan adecuadamente y les ayudan a alcanzar sus objetivos

ElGerente de Tecnologapara definir un acuerdo de servicios y justificar su inversin

LosOrganismos estatalesde control, para saber que es lo mnimo que pueden exigir.

CPC. Eduardo Miranda Valdivia 13. ORIENTACIN DE COBIT

Su orientacin hacia el negocio consiste en vincular objetivos de negocio con objetivos de TI, facilitar mtricas y modelos de madurez para medir su xito, e identificar las responsabilidades asociadas del negocio y los propietarios de los procesos de TI.

ENFOCADO EN EL NEGOCIO, ORIENTADO A PROCESO, BASADO EN CONTROLES Y DIRIGIDO POR MEDIDAS. CPC. Eduardo Miranda Valdivia 14. DEFINICIONES CPC. Eduardo Miranda Valdivia LasPlticas ,Procedimientos ,PrcticasyEstructuras Organizacionales , diseadas para asegurarrazonablementeel logro de losobjetivos del negocioy que los eventos indeseables sern prevenidos o detectados o corregidos. CONTROL Son declaraciones delresultado esperadoo del prposito a lograr mediante la implementacin de los controles en una actividad de IT especfica. Objetivos de Control de IT 15. PRINCIPIOS CPC. Eduardo Miranda Valdivia Se refiere a la informacin que es relevante para el negocio y que debe ser entregada de maneracorrecta, oportuna, consistente y usable. Efectividad Se refiere a la provisin de informacin a travs delptimo(ms productivo y econmico) uso de los recursos. Eficiencia Relativa a la proteccin de la informacin sensitiva de surevelacin no autorizada. Confidencialidad Se refiere a laexactitud y completitudde la informacin, as como suvalidez , en concordancia con los valores y expectativas del negocio. Integridad 16. PRINCIPIOS CPC. Eduardo Miranda Valdivia Se refiere a la que la informacin debe estardisponiblecuando es requerida por los procesos del negocio ahora y en el futuro. Involucra lasalvaguardade los recursos y sus capacidades asociadas. Disponibilidad Se refiere acumplircon aquellas leyes, regulaciones y acuerdos contractuales, a los que estn sujetos los procesos del negocio.Cumplimiento Se refiere a laprovisinde la informacinapropiada a la alta gerencia , para operar la entidad y para ejercer sus responsabilidades finacieras y de cumplir con los reportes de su gestin. Confiabilidad 17. NECESIDAD DE RESPUESTA A LOS RETOS DE TI

Qu no se interrumpa el servicio

Qu aporte valor

Administrar los costos

Dominar la complejidad

Alineacin con el Negocio

Cumplimiento de Regulaciones

Seguridad.

Los 7 retos: CPC. Eduardo Miranda Valdivia 18. BUEN GOBIERNO DE TI

Dirigir y controlar

Con responsabilidad

Con imputabilidad (Accountability)

Mediante actividades (Procesos)

Principios,participantes, mbito, ventajas Los 4 principios: CPC. Eduardo Miranda Valdivia 19. NECESIDAD DE RESPUESTA A LOS RETOS DE TI

Principios,participantes,mbito, ventajas

Los participantes ( stakeholders ):

Internos

Externos

CPC. Eduardo Miranda Valdivia 20. BUEN GOBIERNO DE TI

Principios, participantes,mbito,ventajas

Las 5 reas:

Alineacin estratgica

Aportacin de Valor

Gestin de Riesgos

Gestin de Recursos

Medidas de Rendimiento

CPC. Eduardo Miranda Valdivia 21. BUEN GOBIERNO DE TI

Principios, participantes, mbito,ventajas

Las 5 ventajas:

Confianza de la Alta Direccin

TI es co-responsable al negocio

Retorno de Inversin Superior

Servicios ms confiables

Mayor transparencia

CPC. Eduardo Miranda Valdivia 22. MARCOS DE BUEN GOBIERNO Y DE TI

Las 5 caractersticas generales de un buen marco:

Enfocado al Negocio

Orientado a Procesos

Generalmente aceptado

Utilice un lenguaje comn

Cumpla con los requisitos regulatorios

CPC. Eduardo Miranda Valdivia 23. Propuesta de solucin

Expectativas sobre COBIT (1)

Alta Gerencia:

Utilizar los procesos de COBIT para lograr un lenguaje comn entre el negocio y TI y asignar responsabilidades claras

Gerencias Usuarias:

Utilizar los objetivos de control de COBIT para determinar las necesidades que sern cubiertas por los Acuerdos de Niveles de Servicio

CPC. Eduardo Miranda Valdivia 24. Propuesta de solucin

Expectativas sobre COBIT (2)

Auditora Interna:

Utilizar los objetivos de control de COBIT como un criterio para evaluar y definir el alcance a revisar

Gerente TI:

Utilizar los objetivos de control de COBIT para:

estructurar los procesos

establecer objetivos de los procesos

medir el desempeo de los procesos / gestin

generar polticas y procedimientos

CPC. Eduardo Miranda Valdivia 25. Fase 1

Levantamiento de procesos actuales

Procesos de trabajo Recursosde TI Criterios de Informacin

Sistemas de Aplicacin

Infraestructura

Tecnolgica

Instalaciones Fsicas

Recursos humanos

Planeacin y organizacin

Adquisicin e implantacin de soluciones

Entrega de servicio y soporte

Monitoreo

Efectividad

Eficiencia

Confidencialidad

Integridad

Disponibilidad

Cumplimiento

Confiabilidad

CPC. Eduardo Miranda Valdivia 26. Fase 1

Levantamiento de procesos actuales

Procesos de trabajo Recursosde TI Criterios de Informacin

Objetivos de Control

Factores Crticos de xito

Indicadores de Resultados

Indicadores de Desempeo

CPC. Eduardo Miranda Valdivia Recursosde TI 27. EL MODELO DEL MARCO DE TRABAJO DE COBIT El marco de trabajo COBIT, relaciona los requerimientos de informacin y de gobierno a los objetivos de la funcin de servicio de TI. El modelo de procesos COBIT permite que las actividades de TI y los recursos que los soportan sean administrados y controlados basados en los objetivos de control de COBIT, y alineados y monitoreados usando las mtricas KGI y KPI de COBIT Administracin, Control, Alineacin y Monitoreo de Cobit. OBJETIVOS DE NEGOCIO Aplicaciones Informacin Infraestructura Gente Criterios de Informacin Recursosde TI Procesos de TI Objetivos de Control de Alto Nivel Indicadores clave de Objetivos Indicadores clave de Rendiemiento Resultados de Negocio Drivers de Gobernabilidad Procesos de TI Objetivos de TI 28. ALINEANDO CRITERIOS, PROCESOS, RECURSOS Y OBJETIVOS DE CONTROL Dominios Procesos Actividades Efectividad Procesos y Objetivos de Control de TI Recursos TI Personas Aplicaciones Infraestructura Dominios Procesos Actividades Informacin Eficiencia Integridad Disponibilidad Confidencialidad Confiabilidad Cumplimiento Criterios de Informacin CPC. Eduardo Miranda Valdivia 29. CLASIFICACIN

Agrupamiento lgico de procesos, a menudo se concibe como dominios de responsabilidad dentro de una estructura y se relaciona con el ciclo de vida aplicable a los procesos de Tecnologa de Informacin.

Una serie de actividades o tareas vinculadas con cortes (de control) naturales.

Son necesarias para lograr un resultado mensurable. Las actividades tienen un ciclo de vida mientras que las tareas son discretas.

Procesos Actividadeso tareas Dominios CPC. Eduardo Miranda Valdivia 30. COBIT Estructura del Modelo CPC. Eduardo Miranda Valdivia Dominios deControl en Tecnologa deInformacin 31. CPC. Eduardo Miranda Valdivia

Resumen Ejecutivo

Casos de Estudio

Preguntas Frecuentes

Presentaciones Power Point

Guas de Implementacin

Diagnstico Conciencia Administrativa

Diagnstico Control de TI

Resumen Ejecutivo Marco Referencial-Esquema Objetivos de Alto Nivel Lineamientos Gerenciales Objetivos de Control Detallados Guas de Auditora Modelos de Madurez Factores Crticos de Exito Indicadores Clave de Rendimiento Indicadores Clave de Logros Herramientas de implementacin CobiT: enfoque e implementacin Prcticas de Control 32. Dominios TI(4) Objetivos de control(318) Guas Auditoria De TI (34) GERENCIA - UNIDADES DE NEGOCIO - IT PERSONALIZACIN DE LAS GUIAS EJECUCIN DE LA AUDITORIA EVALUACION ADMINISTRATIVA EVALUACION AUDITORIA 2 1 :Nivel Control General2 :Nivel Detallado Control3 :Nivel Detallado Auditora 2 1 1 2 2 Procesos/ Actividades(34) 3 COBIT Aplicacin del modelo CPC. Eduardo Miranda Valdivia 33. DOMINIOS DEL COBIT

Abarcaaspectos estratgicos y tcticos

Se vincula con la identificacin de la forma en que la tecnologa de informacin puede contribuir ms adecuadamente con el logro de los objetivos del negocio.

Incluye las actividades de planificar, comunicar y administrar la realizacin de la visin estratgica desde distintas perspectivas.

Planeacin y Organizacin CPC. Eduardo Miranda Valdivia 34. DOMINIO Planificacin y Organizain Proceso: PO1 Definicin de un plan estratgico de TI Proceso: PO2 Definicin de la arquitectura de la informacin Proceso: PO3 Determinacin de la direccin tecnolgica Proceso: PO4 Definicin de la organizacin y el relacionamiento en TI Proceso: PO5 Administracin de la inversin en TI Proceso: PO6 Comunicacin de los objetivos y directivas de la gerencia Proceso: PO7 Administracin de los recursos humanos Proceso: PO8 Aseguramiento del cumplimiento de los requerimientos externos Proceso: PO9 Evaluacin de riesgos Proceso: PO10 Administracin de proyectos Proceso: PO11 Administracin de la calidad CPC. Eduardo Miranda Valdivia 35. DOMINIOS DE COBIT

Identificacin, desarrollo o adquisicin de soluciones de Ti

Implantacin e integracin en el proceso de negocio.

Cambios y mantenimiento de los sistemas existentes para garantizar la natural continuidad del ciclo de vida para estos sistemas.

Adquisicin e Implementacin CPC. Eduardo Miranda Valdivia 36. DOMINIO Adquisicin e Implementacin Proceso: AI12 Identificacin de soluciones Proceso: AI13 Adquisicin y mantenimiento de software de aplicacin Proceso: AI14 Adquisicin y mantenimiento de la infraestructura tecnolgica Proceso: AI15 Desarrollo y mantenimiento de procedimientos de TI Proceso: AI16 Instalacin y certificacin de sistemas Proceso: AI17 Administracin de cambios CPC. Eduardo Miranda Valdivia 37. DOMINIOS DE COBIT

Prestacin efectiva de los servicios requeridos, que comprenden desde las operaciones tradicionales sobre aspectos de seguridad y continuidad hasta la capacitacin.

Procesos de soporte necesarios.

Procesamiento real de los datos por los sistemas de aplicacin.

Entrega y Soporte CPC. Eduardo Miranda Valdivia 38. DOMINIO Entrega y Soporte Proceso: DS18 Definicin de los niveles del servicio Proceso: DS19 Administracin de los servicios prestados terceros Proceso: DS20 Administracin de la capacidad y del desempeo del sistema Proceso: DS21 Aseguramiento de la continuidad del servicio Proceso: DS22 Establecimiento de pautas para la seguridad de los sistemas Proceso: DS23 Identificacin e imputacin de costos CPC. Eduardo Miranda Valdivia 39. DOMINIO Entrega y Soporte Proceso: DS24 Educacin y capacitacin de los usuarios Proceso: DS25 Asistencia y asesoramiento a los clientes de TI Proceso: DS26 Administracin de la configuracin Proceso: DS27 Administracin de problemas e incidentes Proceso: DS28 Administracin de datos Proceso: DS29 Administracin de instalaciones Proceso: DS30 Administracin de las operaciones CPC. Eduardo Miranda Valdivia 40. DOMINIOS DE COBIT

Evaluar regularmente todos losprocesos de TI para determinar su calidady el cumplimiento de los requerimientos de control.

Seguimientode la gerencia sobre los procesos de control de la organizacin

Garanta independiente provista por la auditoria interna y externa u obtenida de fuentes alternativas.

Monitoreo CPC. Eduardo Miranda Valdivia 41. DOMINIO Monitoreo Proceso: ME31 Monitoreo de los procesos Proceso: ME32 Evaluacin de la adecuacin del control interno Proceso: ME33 Obtencin de aseguramiento independiente Proceso: ME34 Provisin de auditoria independiente CPC. Eduardo Miranda Valdivia 42. PROCESOS AI1 Identificar solucionesde IT Administrar los cambiosAdquirir y mantenersoftware aplicativo Adquirir y mantenerarquitectura tecnolgica Desarrollar y mantenerprocedimientos de IT Instalar y acreditarsistemas AI2 AI3 AI4 AI5 AI6 P S P P S S P P S S P P S S S P S S P P P S P CRITERIOSRECURSOS EFECTIVIDAD EFICIENCIA CONFIDENCIALIDAD INTEGRIDAD DISPONIBILIDAD CUMPLIMIENTO CONFIABILIDAD APLICACIONES TECNOCLOGA FACILIDADES DATOS PERSONAS DOMINIO AI : Adquisicin e ImplementacinCOBIT Navegacin (Matriz) CPC. Eduardo Miranda Valdivia 43. DEFINICIN DE PROCESOS DE TI

PO1: Definir el Plan estratgico de IT

La funcin de servicios de informacin debera asegurar que hay planes a corto y largo plazo para administrar y orientar todos losrecursos de ITde la organizacin.Estos planes deben ser actualizados de manera correcta y oportuna para adecuarlos a los cambios de las condiciones de laIT .La evaluacin de los sistemas existentes debe realizarseantesde desarrollar o modificar el plan estratgico deIT .As mismo, lafuncin de administracin de los servicios de informacindebe asegurar que el plan estratgico deITesconsistentecon los objetivos del negocio, y los planes a corto y largo plazo de la organizacin.

CPC. Eduardo Miranda Valdivia 44. OBJETIVOS DE CONTROL DE TI - DETALLADOS 1 La TI como parte de los planes a corto/largoplazo de la empresa 2 Plan a largo plazo de la TI 3 Enfoque y estructura del Plan a largo plazo de la TI 4 Cambiosal Plan a largoplazode la TI Plan corto plazo de la funcin deserviciosde TI 5 PROCESO: PO1: Definir el Plan Estratgico de TI DOMINIO PO : Planeaciny Organizacin Objetivos de Control - Detallados Y tiene enconsideracin: Evaluacin objetivos de control detallados CPC. Eduardo Miranda Valdivia 45. PRODUCTOS DE COBIT PRODUCTOS DE COBIT CPC. Eduardo Miranda Valdivia 46. INTERRELACIN DE LOS COMPONENTES DE COBIT Negocio Procesos de TI Requerimientos InformacinObjetivos de Control Practicas de Control Guas de Auditora Metas de las Actividades Modelo de Madurez Indicadores Clave deMetas Indicadores Clave deDesempeo Auditado por Medida para Implementado con Transformado en Para desempeo Para Madurez Controlado por LograndoEfectividad y Eficiencia con Para resultados CPC. Eduardo Miranda Valdivia 47. CONTROLES GENERALES Controles Generales sobre procesos de TI Controles sobreprocesos de negocio que utilizan TI Desarrollo de soluciones Administracin de Cambios Seguridad Operacin del Computador Integridad (completitud) Precisin Validez Autorizacin Segregacin de Funciones CPC. Eduardo Miranda Valdivia 48. CONTROLES DE APLICACIN - ORIGEN Autorizacin de Datos ORIGEN Ingreso de Datos INPUT Procesamiento de Datos Salida de Datos OUTPUT ENTORNO CON TERCEROS

Preparacin de Datos(AC1)

Autorizacin de documentos fuente(AC2)

Recoleccin de datos fuente(AC3)

Manejo de errores en documentos fuente(AC4)

Retencin de documentos fuente(AC5)

Los departamentos usuarios implementan y dan seguimiento a los procedimientos de preparacin de datos. En este contexto, el diseo de los formatos de entrada asegura que los errores y las omisiones se minimicen. Los procedimientos de manejo de errores durante la generacin de los datos aseguran de forma razonable que los errores y las irregularidades son detectadas, reportadas y corregidas El personal autorizado, actuando dentro de su autoridad, prepara los documentos fuente de forma adecuada y existe una segregacin de funciones apropiada con respecto a la generacin y aprobacin de los documentos fuente. Los procedimientos garantizan que todos los documentos fuente autorizados son completos y precisos, debidamente justificados y transmitidos de manera oportuna para su captura. Los procedimientos de manejo de errores durante la generacin de los datos aseguran de forma razonable la deteccin, el reporte y la correccin de errores e irregularidades. Existen procedimientos para garantizar que los documentos fuente originales son retenidos o pueden ser reproducidos por la organizacin durante un lapso adecuado de tiempo para facilitar el acceso o reconstruccin de datos as como para satisfacer los requerimientos legales. CPC. Eduardo Miranda Valdivia 49. CONTROLES DE APLICACIN - INPUT Autorizacin de Datos ORIGEN Ingreso de Datos INPUT Procesamiento de Datos Salida de Datos OUTPUT ENTORNO CON TERCEROS

Procedimientos de autorizacin de captura de datos(AC6)

Verificacin de precisin, integridad y autorizacin(AC7)

Manejo de errores en la entrada de datos(AC8)

Los procedimientos aseguran que solo el personal autorizado capture los datos de entrada. Los datos de transacciones, ingresados para ser procesados (generados por personas, por sistemas o entradas de interfases) estn sujetos a una variedad de controles para verificar su precisin, integridad y validez. Los procedimientos tambin garantizan que los datos de entrada son validados y editados tan cerca del punto de origen como sea posible. Existen y se siguen procedimientos para la correccin y re-captura de datos que fueron ingresados de manera incorrecta. CPC. Eduardo Miranda Valdivia 50. CONTROLES DE APLICACIN - PROCESAMIENTO Autorizacin de Datos ORIGEN Ingreso de Datos INPUT Procesamiento de Datos Salida de Datos OUTPUT ENTORNO CON TERCEROS

Integridad en el procesamiento de datos(AC9)

Validacin y edicin del procesamiento de datos(AC10)

Manejo de errores en el procesamiento de datos(AC11)

Los procedimientos para el procesamiento de datos aseguran que la separacin de funciones se mantiene y que el trabajo realizado de forma rutinaria se verifica. Los procedimientos garantizan que existen controles de actualizacin adecuados, tales como totales de control de corrida-a-corrida, y controles de actualizacin de archivos maestros Los procedimientos garantizan que la validacin, la autenticacin y la edicin del procesamiento de datos se realizan tan cerca como sea posible del punto de generacin. Los individuos aprueban decisiones vitales que se basan en sistemas de inteligencia artificial. Los procedimientos de manejo de errores en el procesamiento de datos permiten que las transacciones errneas sean identificadas sin ser procesadas y sin una indebida interrupcin del procesamiento de otras transacciones vlidas. Fernando Rada Barona - Consultor 51. CONTROLES DE APLICACIN - OUTPUT Autorizacin de Datos ORIGEN Ingreso de Datos INPUT Procesamiento de Datos Salida de Datos OUTPUT ENTORNO CON TERCEROS

Manejo y retencin de salidas(AC12)

Distribucin de Salidas(AC13)

Cuadre y conciliacin de salidas(AC14)

Revisin de Salidas y Manejo de errores(AC13)

Provisin de seguridad para reportes de salida(AC14)

El manejo y la retencin de salidas provenientes de aplicaciones de TI siguen procedimientos definidos y tienen en cuenta los requerimientos de privacidad y de seguridad. Los procedimientos para la distribucin de las salidas de TI se definen, se comunican y se les da seguimiento. Las salidas cuadran rutinariamente con los totales de control relevantes. Las pistas de auditora facilitan el rastreo del procesamiento de las transacciones y la conciliacin de datos alterados. Los procedimientos garantizan que tanto el proveedor como los usuarios relevantes revisan la precisin de los reportes de salida. Tambin existen procedimientos para la identificacin y el manejo de errores contenidos en las salidas. Existen procedimientos para garantizar que se mantiene la seguridad de los reportes de salida, tanto para aquellos que esperan ser distribuidos como para aquellos que ya estn entregados a los usuarios. CPC. Eduardo Miranda Valdivia 52. CONTROLES DE APLICACIN ENTORNO CON TERCEROS Autorizacin de Datos ORIGEN Ingreso de Datos INPUT Procesamiento de Datos Salida de Datos OUTPUT ENTORNO CON TERCEROS

Autenticidad e Integridad(AC15)

Proteccin de informacin sensitiva durante su transmisin y transporte(AC16)

Se verifica de forma apropiada la autenticidad e integridad de la informacin generada fuera de la organizacin, ya sea que haya sido recibida por telfono, por correo de voz, como documento en papel, fax o correo electrnico, antes de que se tomen medidas potencialmente crticas. Se proporciona una proteccin adecuada contra accesos no autorizados, modificaciones y envos incorrectos de informacin sensitiva durante la transmisin y el transporte. CPC. Eduardo Miranda Valdivia 53.

Resumen deC OBI T

Marco para revisar TI

4 dominios

Cada dominio con procesos -- 34 en total

Cada proceso con objetivos de control de alto nivel

De 3 a 30 objetivos de control detallados

Estos objetivos provienen de 41 fuentes

Herramientas navegacionales cascada/cubo

Un mtodo lgico y sistemtico para definir y comunicar los objetivos de control

REAS DE REVISIN AUDITORA DE SISTEMAS DE INFORMACIN CPC. Eduardo Miranda Valdivia 54. REAS DE REVISIN AUDITORA DE SISTEMAS DE INFORMACIN

Control sobre el proceso de TI de:

Definicin de un plan Estratgico de TI

que satisface los requerimientos del negocio de:

Lograr un balance ptimo entre las oportunidades de tecnologa de informacin y los requerimientos del negocio para TI, as como para asegurar sus logros futuros.

se hace posible a travs de:

un proceso de planeacin estratgica emprendido en intervalos regulares dando lugar a planes a largo plazo. Los planes a largo plazo debern ser traducidos peridicamente en planes operacionales estableciendo metas claras y concretas a corto plazo:

y toma en consideracin:

Estrategia del negocio de la empresa

Definicin de cmo TI soporta los objetivos de negocio

inventario de soluciones tecnolgicas e infraestructura actual

Monitoreo del mercado de tecnologa

Estudios de factibilidad oportunos y chequeos con la realidad

Anlisis de los sistemas existentes

Posicin de la empresa sobre riesgos, en el proceso de compra

Necesidades de la Admn. senior en el proceso decompra

PO1 55. REAS DE REVISIN AUDITORA DE SISTEMAS DE INFORMACIN

DEFINICIN DE UN PLAN ESTRATGICO DE TI

1.1 Tecnologa de Informacin como parte del Plan de la

Organizacin a corto y largo plazo.

OBJETIVO DE CONTROL

La alta gerencia ser la responsable de desarrollar e implementarplanes a largo y corto plazoque satisfagan la misin y las metas de la organizacin. A este respecto, la alta gerencia deber asegurar que los problemas de TI, as como las oportunidades , sean evaluados adecuadamente y reflejados en los planes a largo y corto plazo de la organizacin.Se deben desarrollar planes de TI a largo y corto plazo para ayudar a asegurar que el uso de la TI est acorde con la misin y las estrategias de negocio de la organizacin.

56. REAS DE REVISIN AUDITORA DE SISTEMAS DE INFORMACIN

1.2 Plan a largo plazo de TI

OBJETIVO DE CONTROL

La Gerencia de TI y los dueos del proceso de negocio

sern responsables de desarrollar regularmente planes

de TI a largo plazo , queapoyen el logro de la misin y

las metas generales de la organizacin .El mtodo de

planeacin deber incluir mecanismos para solicitar

informacin a los interesados internos y externos ms

importantes, que se ven afectados por los planes

estratgicos de TI.De la misma manera, la Gerencia

deber implementar un proceso de planeacin a largo

plazo, adoptar un enfoque estructurado y determinar la

estructura para el plan.

CPC. Eduardo Miranda Valdivia 57. REAS DE REVISIN AUDITORA DE SISTEMAS DE INFORMACIN 1.3 Plan a largo plazo de TI - Enfoque y Estructura OBJETIVO DE CONTROL La Gerencia de TI y los dueos del proceso de negocio debern establecer y aplicar un enfoque estructurado al proceso de planeacin a largo plazo.Esto deber traer como resultado un plan de alta calidad que cubra las preguntas bsicas de qu, quin, cmo, cundo y por qu el proceso de planeacin de TI debe tomar en cuenta los resultados del anlisis del riesgo, incluyendo los riesgos del negocio, entorno, tecnologa y recursos humanos .Los aspectos que necesitan ser tomados en cuenta y ser cubiertos adecuadamente durante el proceso de planeacin incluyen el modelo de organizacin y sus cambios, la distribucin geogrfica,la evolucin tecnolgica , los costos, los requerimientos legales y regulatorios, requerimientos de terceras partes o del mercado, el horizonte de planeacin, reingeniera de procesos del negocio, la asignacin de personal, outsourcing, datos, sistemas de aplicacin y arquitecturas de la tecnologa. Los planes de TI, de largo y corto alcance debern incorporar indicadores y objetivos de desempeo. El plan mismo deber hacer referencia a otros planes tales como el plan de calidad de la organizacin y el plan de manejo de riesgos de informacin. 58. REAS DE REVISIN AUDITORA DE SISTEMAS DE INFORMACIN

1.4 Cambios al Plan a largo plazo de TI

OBJETIVO DE CONTROL

La gerencia de TI y los dueos del proceso del negocio

debern asegurar que se establezca un proceso con el fin

de adaptar los cambios al plan a largo plazo de la

organizacin y los cambios en las condiciones de la TI.

La gerencia Senior deber establecer una poltica que

requiera que se desarrollen y se mantengan planes de

largo y corto plazo de TI.

1.5 Planeacin a corto plazo para la Funcin de TI

OBJETIVO DE CONTROL

La Gerencia de TI y los dueos del proceso del negocio

debern asegurar que el plan a largo plazo de TI se

traduzca regularmente en planes a corto plazo de TI.

Estos planes a corto plazo debern asegurar que se

asignen losrecursos apropiados de la funcin de

servicios de T I con una base consistente con el plan a

largo plazo de TI .Los planes a corto plazo debern ser reevaluados y modificados peridicamentesegn reconsidere necesario respondiendo a las condiciones de cambios en el negocio y en TI. La realizacin oportunade estudios de factibilidad deber asegurar que la

ejecucin de los planes a corto plazo sea iniciada

adecuadamente.

1.6 Comunicacin de los Planes de TI

OBJETIVO DE CONTROL

La gerencia debe asegurar que los planes de largo y

de corto plazo de tecnologa de la informacin sean

comunicados a los dueos del proceso del negocio y

a otras partes relevantes en toda la organizacin.

1.7 Monitoreo y Evaluacin de los Planes de

Tecnologa de la Informacin

OBJETIVO DE CONTROL

La gerencia debe establecer procesos para captar y

reportar la retroalimentacin de los dueos y usuarios del proceso del negocio respecto a la calidad y utilidad de los planes de largo y de corto plazo. La retroalimentacin obtenida debe ser evaluada y considerada en la planeacin futura de la tecnologa de la informacin.

1.8 Evaluacin de los Sistemas Existentes

OBJETIVO DE CONTROL

Previo al desarrollo o modificacin del Plan

Estratgico o plan a largo plazo de TI, la Gerencia de

TI debe evaluar los sistemas existentes en trminos

de: nivel de automatizacin de negocio,

funcionalidad, estabilidad, complejidad, costo y

fortalezas y debilidades, con el propsito de

determinar el nivel de soporte que ofrecen los

sistemas existentes a los requerimientos del negocio.

CPC. Eduardo Miranda Valdivia 62. REAS DE REVISIN AUDITORA DE SISTEMAS DE INFORMACIN

Definicin de la Arquitectura de Informacin

que satisface los requerimientos de negocio de:

organizar de la mejor manera los sistemas de informacin

la creacin y mantenimiento de un modelo de

informacin de negocios y asegurando que se definan

sistemas apropiados para optimizar la utilizacin de

esta informacin

Repositorio automatizado de datos y diccionario

reglas de sintaxis de datos

propiedad de la informacin y clasificacin con base en criticidad /seguridad

un modelo de informacin que represente el negocio

Normas de arquitectura de informacin de la empresa

PO2 CPC. Eduardo Miranda Valdivia 63. REAS DE REVISIN AUDITORA DE SISTEMAS DE INFORMACIN

determinacin de la direccin tecnolgica

aprovechar la tecnologa disponible y las que van apareciendo en

el mercado para impulsar y posibilitar la estrategia del negocio.

la creacin y mantenimiento de un plan de infraestructura tecnolgica que establece y administra expectativas claras y realistas de lo que puede brindar la tecnologa en trminos de productos, servicios y mecanismos de entrega

capacidad de la infraestructura actual

monitoreo de desarrollos tecnolgicos por la va de fuentes confiables

realizacin de prueba de conceptos

riesgos, restricciones y oportunidades

planes de adquisicin

estrategia de migracin y mapas alternativos (roadmaps)

relaciones con los vendedores

reevaluacin independiente de la tecnologa

Cambios de precio /desempeo de hardware y de software

definicin de la organizacin y de las relaciones de TI

prestacin de los servicios correctos de TI

una organizacin conveniente en nmero y habilidades, con

tareas y responsabilidades definidas y comunicadas, acordes con el negocio y que facilita la estrategia y provee una direccin efectiva y un control adecuado.

responsabilidades del nivel directivo sobre TI

direccin de la gerencia y supervisin de TI

Alineacin de TI con el negocio

participacin de TI en los procesos clave de decisin

flexibilidad organizacional

roles y responsabilidades claras

equilibrio entre supervisin y delegacin de autoridad

descripciones de puestos de trabajo

Niveles de asignacin de personal y personal clave

Ubicacin organizacional de las funciones de seguridad, calidad y control interno

Segregacin de funciones

Manejo o administracin de la inversin de TI

asegurar el financiamiento y el control de desembolsos de

recursos financieros

Inversin peridica y presupuestos operacionales

establecidos y aprobados por el negocio

alternativas de financiamiento

Claros responsables del presupuesto

Control sobre los gastos actuales

justificacin de costos y concienciacin sobre el costo total de la propiedad

j u s ti f icacin del beneficio y contabilizacin de todos los beneficios

obtenidos

Ciclo de vida del software de aplicacin y de la tecnologa

Alineacin con las estrategias del negocio de la empresa

Anlisis de impacto

Administracin de los activos

comunicacin de los objetivos y aspiraciones de la gerenciaque satisface los requerimientos de negocio de:

asegurar que el usuario sea consiente y comprenda dichas aspiraciones

polticas establecidas y transmitidas a la comunidad de usuarios; adems, se necesitan estndares para traducirlas opciones estratgicas en reglas de usuario prcticas y utilizables

Misin claramente articulada

Directivas tecnolgicas vinculadas con aspiraciones de negocios

Cdigo de tica / conducta

Compromiso con la calidad

Polticas de seguridad y control interno

Practicas de seguridad y control interno

Ejemplos de liderazgo

Programacin continua de comunicaciones

Proveer guas y verificar su cumplimiento

administracin de recursos humanos

Adquirir y mantener una fuerza de trabajo motivada y

competente y maximizar las contribuciones del personal a los

procesos de TI

prcticas de administracin de personal, sensatas,justas y transparentes para reclutar, alinear, pensionar, compensar, entrenar, promover y despedir

reclutamiento y promocin

Entrenamiento y requerimientos de calificaciones

desarrollo de conciencia

entrenamiento cruzado y rotacin de puestos

Procedimientos para contratacin, veto y despidos

evaluacin objetiva y medible del desempeo

responsabilidades sobre los cambios tcnicos y de mercado

Balance apropiado de recursos internos y externos

Plan de sucesin para posiciones clave

aseguramiento del cumplimiento de requerimientos externos

cumplir con obligaciones legales, regulatorias y contractuales

la identificacin y anlisis de los requerimientos

externos en cuanto a su impacto en TI, y realizando las

medidas apropiadas para cumplir con ellos

leyes, regulaciones y contratos

monitoreo de desarrollos legales y regulatorios

Monitoreo regular sobre cumplimiento

seguridad y ergonoma

privacidad

propiedad intelectual

anlisis de riesgos

Soportar las decisiones de la gerencia a travs del logro de los

objetivos de TI y responder a las amenazas reduciendo su

complejidad e incrementando objetivamente e identificando factores importantes de decisin.

la participacin de la propia organizacin en la identificacin de riesgos de TI y en el anlisis de impacto, involucrando funcionesmultidisciplinarias y tomando medidas efectivas en coste para mitigar los riesgos

Administracin de riesgos de la propiedad y del registro de las operaciones

diferentes tipos de riesgos de TI (por ejemplo: tecnolgicos, de seguridad, de continuidad, regulatorios, etc.)

Definir y comunicar un perfil tolerable de riesgos

Anlisis de las causas y sesiones de tormenta de ideas sobre riesgos

Medicin cuantitativa y/o cualitativa de los riesgos

metodologa de anlisis de riesgos

Plan de accin contra los riesgos

Volver a realiza anlisis oportunos

administracin de proyectosque satisface los

requerimientos de negocio de:

establecer prioridades y entregar servicios oportunamente y de

acuerdo al presupuesto de inversin

La organizacin identificando y priorizando proyectos en lnea con el plan operacional y la adopcin y aplicacin de tcnicas de administracin de proyectos para cada proyecto emprendido

El patrocinio que la gerencia de negocios debe dar a los proyectos

Administracin de programas

Capacidad para el manejo de proyectos

Involucramiento del usuario

Divisin de tareas, puntos de control y aprobacin de fases

Distribucin de responsabilidades

Rastreo riguroso de puntos de control y entregables

Costos y presupuestos de mano de obra, balance de recursos internos y externos

Planes y mtodos de aseguramiento de calidad

Programa y anlisis de riesgos del proyecto

Transicin de desarrollo a operacin

Administracin de la calidad

satisfacer los requerimientos del cliente de TI

la planeacin, implementacin y mantenimiento de estndares de administracin de calidad y sistemas provistos para las distintas fases de desarrollo, claros entregables y responsabilidades explcitas

Establecimiento de una cultura de calidad

Planes de calidad

responsabilidades de aseguramiento de la calidad

Practicas de control de calidad

metodologa del ciclo de vida de desarrollo de sistemas

pruebas y documentacin de sistemas y programas

revisiones y reporte de aseguramiento de calidad

Entrenamiento e involucramiento del usuario final y del personal de aseguramiento de calidad

Desarrollo de una base de conocimiento de aseguramiento de calidad

Benchmarking contra las normas de la industria

Identificacin de soluciones automatizadas

asegurar un efectivo y eficiente enfoque para satisfacer los requerimientos del usuario

Una objetiva y clara identificacin y anlisis de oportunidades alternativas comparadas contra los requerimientos de los usuarios

Conocimientos de soluciones disponibles en el mercado

Metodologas de Adquisicin e implementacin

Involucramiento del usuario en el proceso de compra

Alineamiento con las estrategias de la empresa y de TI

definicin de requerimientos de informacin

estudios de factibilidad ( de costo-beneficio, alternativas, etc)

Requerimientos de funcionalidad, operatividad, aceptacin y sostenimiento

Cumplimiento con la arquitectura de informacin

Costo - efectividad de la seguridad y los controles

Responsabilidades de los proveedores

AI1 73. REAS DE REVISIN AUDITORA DE SISTEMAS DE INFORMACIN

Identificacin de soluciones automatizadas

asegurar un efectivo y eficiente enfoque para satisfacer los requerimientos del usuario

Una objetiva y clara identificacin y anlisis de oportunidades alternativas comparadas contra los requerimientos de los usuarios

Conocimientos de soluciones disponibles en el mercado

Metodologas de Adquisicin e implementacin

Involucramiento del usuario en el proceso de compra

Alineamiento con las estrategias de la empresa y de TI

definicin de requerimientos de informacin

estudios de factibilidad ( de costo-beneficio, alternativas, etc)

Requerimientos de funcionalidad, operatividad, aceptacin y sostenimiento

Cumplimiento con la arquitectura de informacin

Costo - efectividad de la seguridad y los controles

Responsabilidades de los proveedores

AI2 74. REAS DE REVISIN AUDITORA DE SISTEMAS DE INFORMACIN

Definicin y administracin de niveles de servicio

establecer un entendimiento comn del nivel de servicio

requerido

el establecimiento de acuerdos de niveles de servicio

que formalicen los criterios de desempeo contra los

cuales se medir la cantidad y la calidad del servicio

Acuerdos o convenios formales

definicin de responsabilidades

tiempos y volmenes de respuesta

cargos

garantas de integridad

Acuerdos de confidencialidad

Criterio de satisfaccin del cliente

Anlisis costo-beneficio de los niveles de servicio requerido

Monitoreo y reporte

DS1 75. REAS DE REVISIN AUDITORA DE SISTEMAS DE INFORMACIN

administracin de servicios prestados por terceros

asegurar que los roles y responsabilidades de las terceras partes estn claramente definidas y que cumplan y continen satisfaciendo los requerimientos

medidas de control dirigidas a la revisin y monitoreo de acuerdos/ contratos y procedimientos existentes, en cuanto a su efectividad y cumplimiento, con respecto a las polticas de la organizacin

Acuerdos de servicio con terceras partes

Administracin de contrato

Acuerdos de confidencialidad

Requerimientos legales y regulatorios

Monitoreo y reporte de la entrega de servicio

Anlisis de riesgos de la empresa y de TI

Ejecucin de recompensas y sanciones

Contabilidad organizacional interna y externa

Anlisis de costos y variaciones en los niveles de servicio

administracin de desempeo y capacidad

asegurar que la capacidad adecuada est disponible y que se est haciendo el mejor uso de ella para alcanzar el desempeo deseado

Recoleccin de datos, anlisis y reporte del

rendimiento de los recursos, aplicacin de mediciones

y demanda de cargas de trabajo

requerimientos de disponibilidad y desempeo

monitoreo y reporte automatizado

herramientas de modelado

administracin de capacidad

disponibilidad de recursos

Cambios en precio-rendimiento del hardware y software

asegurar el servicio continuo

Asegurar que los servicios de TI estn disponibles cuando se

requieran y asegurar el impacto mnimo en el negocio en el

evento que se presente una interrupcin mayor

tener un plan de continuidad de TI probado y funcional, que est alineado con el plan de continuidad del negocio y relacionado con los requerimientos de negocio

clasificacin de criticidad (severidad)

Procedimientos alternativos

respaldo y recuperacin

pruebas y entrenamiento sistemticos y regulares

Monitoreo y procesos de escalamiento

Responsabilidades organizacionales internas y externas

Activacin de la continuidad del negocio, vuelta atrs (fallback) y plan de reactivacin

Actividades de administracin de riesgos

Anlisis de puntos nicos de falla

Administracin de problemas

garantizar la seguridad de los sistemas

salvaguardar la informacin contra uso no autorizado, divulgacin o revelacin, modificacin, dao o prdida

controles de acceso lgico que aseguren que el acceso a sistemas, datos y programas est restringido a usuarios autorizados

Requerimientos de privacidad y confidencialidad

Autorizacin, autenticacin y control de acceso

identificacin de usuarios y perfiles de autorizacin

Necesidad de saber y necesidad de tener

administracin de llaves criptogrficas

manejo, reporte y seguimiento de incidentes

Prevencin y deteccin de virus

Firewalls

Administracin centralizada de seguridad

Entrenamiento a los usuarios

Herramientas para monitoreo del cumplimiento, pruebas de intrusin y reportes

identificacin y asignacin de costos

asegurar un conocimiento correcto de los costos atribuibles a los servicios de TI

un sistema de contabilidad de costos que asegure que stos sean registrados, calculados y asignados a los niveles de detalle requeridos y al apropiado servicio ofrecido

Recursos identificables y medibles

Procedimientos y polticas de cargo

Tarifas de cargo y procesos de reversin de

cargos.

Conexin a acuerdo de niveles de servicio

Reporte automatizado

Verificacin de comprensin de beneficios

Benchmarking externo

educacin y entrenamiento de usuarios

asegurar que los usuarios estn haciendo un uso efectivo de la tecnologa y sean conscientes de los riesgos y

responsabilidades involucrados

un plan completo de entrenamiento y desarrollo

Plan de entrenamiento

Inventario de habilidades

Campaas de concientizacin

Tcnicas de concientizacin

Uso de nuevas tecnologas y mtodos de

entrenamiento

Productividad del personal

Desarrollo de una base de conocimientos

Apoyo y asistencia a los clientes de TI

asegurar que cualquier problema experimentado por los

usuarios sea atendido apropiadamente

un help desk, o mesa de control y ayuda, que

proporcione soporte y asesora de primera lnea

consultas de los clientes y respuesta a

problemas

monitoreo de consultas y respuestas

anlisis y reporte de tendencias

Desarrollo de una base de conocimientos

Anlisis de las causas

Escalamiento y seguimiento de problemas

DS8 CPC. Eduardo Miranda Valdivia 82. REAS DE REVISIN AUDITORA DE SISTEMAS DE INFORMACIN

Administracin de la configuracin

dar cuenta de todos los componentes de TI, prevenir

alteraciones no autorizadas, verificar la existencia fsica y

proporcionar una base para la sana administracin del cambio

controles que identifiquen y registren todos los activos de TI as como su localizacin fsica y un programa regular de verificacin que confirme su existencia

registro de activos

administracin de cambios en la configuracin

chequeo de software no autorizado

controles de almacenamiento de software

Integracin e interrelacin de hardware y

software

Uso de herramientas automatizadas

administracin de problemas e incidentes

asegurar que los problemas e incidentes sean resueltos y que sus causas sean investigadas para prevenir cualquier

recurrencia

un sistema de administracin de problemas que

registre y d seguimiento a todos los incidentes

pistas de auditora de problemas y soluciones

resolucin oportuna de problemas reportados

procedimientos de escalamiento

reportes de incidentes

accesibilidad a la informacin de la configuracin

responsabilidades del proveedor

coordinacin con la administracin de cambios

DS10 CPC. Eduardo Miranda Valdivia 84. REAS DE REVISIN AUDITORA DE SISTEMAS DE INFORMACIN

Administracin de datos

asegurar que los datos permanezcan completos, precisos y vlidos durante su entrada, actualizacin y almacenamiento

una combinacin efectiva de controles generales y de

aplicacin sobre las operaciones de TI

diseo de formatos

controles sobre documentos fuente

controles de entrada, procesamiento y salida

identificacin, movimiento y administracin de la librera de medios

Recuperacin y almacenamiento de datos

autenticacin e integridad

propiedad de datos

polticas de administracin de datos

modelos de datos y estndares de representacin de datos

integracin y consistencia en todas las plataformas

requisitos legales y regulatorios

Administracin de instalaciones (sitios donde se procesa informacin)

proporcionar un ambiente fsico conveniente que proteja los equipos y al personal de TI contra peligros naturales o fallas humanas

la instalacin de controles fsicos y ambientales adecuados que sean revisados regularmente para garantizar su adecuado funcionamiento

acceso a instalaciones

identificacin del sitio (instalacin)

seguridad fsica

Polticas de inspeccin y escalamiento

Plan de continuidad de negocios y administracin de crisis

salud y seguridad del personal

Polticas de mantenimiento preventivo

proteccin contra amenazas ambientales

Monitoreo automatizado

administracin de operaciones

asegurar que las funciones importantes de soporte de TI estn

siendo llevadas a cabo regularmente y de una manera ordenada

una programacin o planeacin de las actividades que sea

registrada y diligenciada con base en el cumplimiento de

todas las actividades

manual de procedimiento de operaciones

documentacin para el inicio de procesos

administracin de servicios de red

Programacin del personal y cargas de trabajo

proceso de cambio de turno

registro de eventos del sistema

Coordinacin con las reas de administracin de cambios, disponibilidad y manejo continuo de negocios

Mantenimiento preventivo

Acuerdos de niveles de servicio

Operaciones automatizadas

Registro, rastreo y escalamiento de incidentes

monitoreo del proceso

asegurar el logro de los objetivos establecidos para los procesos de TI

la definicin de indicadores de desempeo

gerenciales, el reporte oportuno y sistemtico del

desempeo y la oportuna accin sobre las

desviaciones

Tarjetas de decisin (scorecards) con indicadores de desempeo y medicin de resultados

evaluacin de la satisfaccin de clientes

reportes gerenciales

Base de conocimientos del desempeo histrico

Benchmarking externo

M1 88. REAS DE REVISIN AUDITORA DE SISTEMAS DE INFORMACIN

Control sobre el proceso de TI:

Evaluar lo adecuado del control interno

asegurar el logro de los objetivos de control interno

establecidos para los procesos de TI

el compromiso de la Gerencia de monitorear los

controles internos, evaluar su efectividad y emitir

reportes sobre ellos en forma regular

Responsabilidades para el control interno

Monitoreo del control interno en proceso

benchmarks

reportes de errores y excepciones

autoevaluaciones

reportes gerenciales

Cumplimiento con los requerimientos legales y regulatorios

M2 CPC. Eduardo Miranda Valdivia 89. REAS DE REVISIN AUDITORA DE SISTEMAS DE INFORMACIN

obtencin de aseguramiento independiente

incrementar los niveles de confianza entre la organizacin,

clientes y proveedores externos

revisiones de aseguramiento independientes llevadas a

cabo en intervalos regulares

certificaciones / acreditaciones independientes

evaluaciones independientes de efectividad

aseguramiento independiente sobre cumplimiento de requerimientos legales y regulatorios

aseguramiento independiente del cumplimiento de compromisos contractuales

revisiones y benchmarking a proveedores externos de servicios

Revisin por personal calificado del aseguramiento de desempeo

involucramiento proactivo de la auditora

M3 CPC. Eduardo Miranda Valdivia 90. REAS DE REVISIN AUDITORA DE SISTEMAS DE INFORMACIN

proveer auditora independiente

incrementar los niveles de confianza y beneficiarse de

recomendaciones basadas en mejores prcticas

auditoras independientes desarrolladas a intervalos

regulares

independencia de auditora

involucramiento proactivo de la auditora

ejecucin de auditoras por parte de personal calificado

aclaracin de resultados y recomendaciones

actividades de seguimiento

Evaluacin del impacto de las recomendaciones de laauditoria (costos, beneficios, y riesgos)

M4 CPC. Eduardo Miranda Valdivia 91. REAS DE REVISIN AUDITORA DE SISTEMAS DE INFORMACIN CPC. Eduardo Miranda Valdivia 92.

INDICE

Introduccin

Marco de referencia

Directrices de auditora

Directrices gerenciales

Gua para la implementacin

REAS DE REVISIN AUDITORA DE SISTEMAS DE INFORMACIN CPC. Eduardo Miranda Valdivia 93.

INDICE

Introduccin

Marco de referencia

Directrices de auditora

Directrices gerenciales

Gua para la implementacin

REAS DE REVISIN AUDITORA DE SISTEMAS DE INFORMACIN CPC. Eduardo Miranda Valdivia 94. Directrices de Auditora 1 Directriz genrica34 Directrices orientadas a procesos REAS DE REVISIN AUDITORA DE SISTEMAS DE INFORMACIN CPC. Eduardo Miranda Valdivia 95. REAS DE REVISIN AUDITORA DE SISTEMAS DE INFORMACIN CPC. Eduardo Miranda Valdivia 96. REAS DE REVISIN AUDITORA DE SISTEMAS DE INFORMACIN CPC. Eduardo Miranda Valdivia 97. DirectrizGenricadeAuditora REAS DE REVISIN AUDITORA DE SISTEMAS DE INFORMACIN CPC. Eduardo Miranda Valdivia 98. REAS DE REVISIN AUDITORA DE SISTEMAS DE INFORMACIN

1) OBTENCIN DE UN ENTENDIMIENTO

Los pasos de auditora que se deben realizar para documentar las actividades que generan inconvenientes a los objetivos de control, as como tambin identificar las medidas/procedimientos de control establecidas.

Entrevistar al personal administrativo y de staff apropiado para lograr la comprensin de:

Los requerimientos del negocio y los riesgos asociados

La estructura organizacional

Los roles y responsabilidades

Polticas y procedimientos

Leyes y regulaciones

Las medidas de control establecidas

La actividad de reporte a la administracin (estatus,

desempeo, acciones)

Documentar el proceso relacionado con los recursos de TI que se ven especialmente afectados por el proceso bajo revisin. Confirmar el entendimiento del proceso bajo revisin, losIndicadores Clave de Desempeo (KPI) del proceso, las implicaciones de control, por ejemplo, mediante una revisin paso a paso del proceso.

2) EVALUACIN DE LOS CONTROLES

Los pasos de auditora a ejecutar en la evaluacin de la eficacia de las medidas de control establecidas o el grado en el que se logra el objetivo de control. Bsicamente, decidir qu se va a probar, si se va a probar y cmo se va a probar.

Evaluar la conveniencia de las medidas de control para el proceso bajo revisin mediante la consideracin de los criterios identificados

y las prcticas estndares de la industria, los Factores Crticos de xito (CSF) de las medidas de control y la aplicacin del juicio profesional de auditor.

Existen procesos documentados

Existen resultados apropiados

La responsabilidad y el registro de las operaciones son claros y efectivos

Existen controles compensatorios, en donde es necesario

Concluir el grado en que se cumple el objetivo de control.

100. REAS DE REVISIN AUDITORA DE SISTEMAS DE INFORMACIN 3) VALORACIN DEL CUMPLIMIENTO Los pasos de auditora a realizar para asegurar que las medidas de control establecidas estn funcionando como es debido, de manera consistente y continua, y concluir sobre la conveniencia del ambiente de control. Obtener evidencia directa o indirecta de puntos/perodos seleccionados para asegurarse que se ha cumplido con los procedimientos durante el perodo de revisin, utilizando evidencia tanto directa como indirecta. Realizar una revisin limitada de la suficiencia de los resultados del proceso. Determinar el nivel de pruebas sustantivas y trabajo adicional necesarios para asegurar que el proceso de TI es adecuado. 101. REAS DE REVISIN AUDITORA DE SISTEMAS DE INFORMACIN 4) JUSTIFICAR/COMPROBAR EL RIESGO Los pasos de auditora a realizar para justificar el riesgo de que no se cumpla el objetivo de control mediante el uso de tcnicas analticas y/o consultas a fuentes alternativas. El objetivo es respaldar la opinin e impresionar a la administracin para que tome accin. Los auditores tienen que ser creativos para encontrar y presentar esta informacin que con frecuencia es sensible y confidencial. Documentar las debilidades de control y las amenazas y vulnerabilidades resultantes. Identificar y documentar el impacto real y potencial; por ejemplo, mediante el anlisis de causa-efecto. Brindar informacin comparativa; por ejemplo, mediante benchmarks. 102. REAS DE REVISIN AUDITORA DE SISTEMAS DE INFORMACIN CPC. Eduardo Miranda Valdivia 103. REAS DE REVISIN AUDITORA DE SISTEMAS DE INFORMACIN CPC. Eduardo Miranda Valdivia 104. Directrices de auditora Son slo un punto de inicio para identificar tareas asociadas con determinados objetivos de control de proceso. REAS DE REVISIN AUDITORA DE SISTEMAS DE INFORMACIN CPC. Eduardo Miranda Valdivia 105. REAS DE REVISIN AUDITORA DE SISTEMAS DE INFORMACIN CPC. Eduardo Miranda Valdivia 106. REAS DE REVISIN AUDITORA DE SISTEMAS DE INFORMACIN PO 1 DEFINIR UN PLAN ESTRATGICO DE TI Objetivos de control 1.-TI como parte del Plan a largo y corto plazo 2.-Plan a largo plazo de TI 3.-Plan a largo plazo de TI - Enfoque y Estructura 4.-Cambios al Plan a largo plazo de TI 5.-Planeacin a corto plazo para la Funcin de Servicios de Informacin 6.-Comunicacin de los planes de TI 7.-Monitoreo y evaluacin de los planes de TI 8.-Evaluacin de los sistemas existentes CPC. Eduardo Miranda Valdivia 107. REAS DE REVISIN AUDITORA DE SISTEMAS DE INFORMACIN

Obtener un entendimiento a travs de:

Entrevistas :

Director General (Chief Executive Officer)

Director de Operaciones (Chief Operations Officer)

Director de Finanzas (Chief Financial Officer)

Director de TI (Chief Information Officer)

Miembros del comit de planeacin/direccin de la funcin de servicios de informacin.

Gerencia de TI y personal de apoyo de RRHH

Obteniendo :

Polticas y procedimientos inherentes al proceso de planeacin.

Roles y responsabilidades del equipo de Direccin

Objetivos de la Organizacin a largo y corto plazo

Objetivos de TI a largo y corto plazo

Reportes y minutas de seguimiento de las reuniones