CPC. Eduardo Miranda Valdivia
CONCEPTO BÁSICOS <ul><li>Es el resultado de una investigación con expertos de varios paises, desarrollada por la “Informat...
CONCEPTO BÁSICOS Modelo CobiT Origen LEGISLADORES / REGULADORES  USUARIOS PRESTADORES DE SERVICIOS <ul><li>MARCO UNICO </l...
CONCEPTO BÁSICOS <ul><li>Proveer un marco único reconocido a nivel mundial de las “mejores prácticas” de control y segurid...
CONCEPTO BÁSICOS <ul><li>COSO  (Committe Of Sponsoring Org. of the Treadway Commission) </li></ul><ul><li>OECD  (Organizar...
CONCEPTO BÁSICOS <ul><li>Para satisfacer los objetivos del negocio la información debe cumplir con criterios que COBIT ext...
CONCEPTO BÁSICOS Requerimientos fiduciarios (informe COSO) <ul><li>Eficacia y eficiencia </li></ul><ul><li>Confiabilidad d...
REGLA DE ORO DEL COBIT <ul><li>A fin, de proveer la  información  que la organización requiere para lograr sus  objetivos,...
¿ POR QUÉ COBIT ? <ul><li>La Tecnología se ve como un costo, no hay una terminología común con el negocio, y se recorta el...
¿POR QUÉ COBIT? <ul><li>La Dirección, a través de su Gobierno Corporativo debe garantizar la debida diligencia por parte d...
QUIÉNES NECESITAN REGLAS DE JUEGO DEFINIDAS <ul><li>Los  Mandos Gerenciales  para saber que deben exigir, como medir los r...
ADEMÁS ... <ul><li>El  Area usuaria  para saber que puede pedir a tecnología y que se le va a exigir sobre el control de l...
ORIENTACIÓN DE COBIT <ul><li>Su orientación hacia el negocio consiste en vincular objetivos de negocio con objetivos de TI...
DEFINICIONES CPC. Eduardo Miranda Valdivia Las  Pólíticas ,  Procedimientos ,  Prácticas  y  Estructuras Organizacionales ...
PRINCIPIOS CPC. Eduardo Miranda Valdivia Se refiere a la información que es relevante para el negocio y que debe ser entre...
PRINCIPIOS CPC. Eduardo Miranda Valdivia Se refiere a la que la información debe estar  disponible  cuando es requerida po...
NECESIDAD DE RESPUESTA A LOS RETOS DE TI <ul><li>Qué no se interrumpa el servicio </li></ul><ul><li>Qué aporte valor </li>...
BUEN GOBIERNO DE TI <ul><li>Dirigir y controlar </li></ul><ul><li>Con responsabilidad </li></ul><ul><li>Con imputabilidad ...
NECESIDAD DE RESPUESTA A LOS RETOS DE TI <ul><li>Principios,  participantes,  ámbito, ventajas … </li></ul><ul><li>Los par...
BUEN GOBIERNO DE TI <ul><li>Principios, participantes,  ámbito,  ventajas … </li></ul><ul><li>Las 5 áreas: </li></ul><ul><...
BUEN GOBIERNO DE TI <ul><li>Principios, participantes, ámbito,  ventajas … </li></ul><ul><li>Las 5 ventajas: </li></ul><ul...
MARCOS DE BUEN GOBIERNO Y DE TI <ul><li>Las 5 características generales de un buen marco: </li></ul><ul><li>Enfocado al Ne...
Propuesta de solución <ul><li>Expectativas sobre COBIT (1) </li></ul><ul><li>Alta Gerencia: </li></ul><ul><li>Utilizar los...
Propuesta de solución <ul><li>Expectativas sobre COBIT (2) </li></ul><ul><li>Auditoría Interna: </li></ul><ul><li>Utilizar...
Fase 1 <ul><li>Levantamiento de procesos actuales </li></ul>Procesos de trabajo Recursos  de TI Criterios de Información <...
Fase 1 <ul><li>Levantamiento de procesos actuales </li></ul>Procesos de trabajo Recursos  de TI Criterios de Información <...
EL MODELO DEL MARCO DE TRABAJO DE COBIT El marco de trabajo COBIT, relaciona los requerimientos de información y de gobier...
ALINEANDO CRITERIOS, PROCESOS, RECURSOS Y OBJETIVOS DE CONTROL Dominios Procesos Actividades Efectividad Procesos y Objeti...
CLASIFICACIÓN <ul><li>Agrupamiento lógico de procesos, a menudo se concibe como dominios de responsabilidad dentro de una ...
COBIT Estructura del Modelo CPC. Eduardo Miranda Valdivia Dominios de  Control en   Tecnología de  Información
CPC. Eduardo Miranda Valdivia <ul><li>Resumen Ejecutivo  </li></ul><ul><li>Casos de Estudio  </li></ul><ul><li>Preguntas F...
Dominios TI  (4) Objetivos de control  (318) Guías Auditoria De TI (34) GERENCIA - UNIDADES DE NEGOCIO - IT PERSONALIZACIÓ...
DOMINIOS DEL COBIT <ul><li>Abarca  aspectos estratégicos y tácticos  </li></ul><ul><li>Se vincula con la identificación de...
DOMINIO Planificación y Organizaión Proceso: PO1 Definición de un plan estratégico de TI Proceso: PO2 Definición de la arq...
DOMINIOS DE COBIT <ul><li>Identificación, desarrollo o adquisición de soluciones de Ti  </li></ul><ul><li>Implantación e i...
DOMINIO Adquisición e Implementación Proceso: AI12 Identificación de soluciones Proceso: AI13 Adquisición y mantenimiento ...
DOMINIOS DE COBIT <ul><li>Prestación efectiva de los servicios requeridos, que comprenden desde las operaciones tradiciona...
DOMINIO Entrega y Soporte Proceso: DS18 Definición de los niveles del servicio Proceso: DS19 Administración de los servici...
DOMINIO Entrega y Soporte Proceso: DS24 Educación y capacitación de los usuarios Proceso: DS25 Asistencia y asesoramiento ...
DOMINIOS DE COBIT <ul><li>Evaluar regularmente todos los  procesos de TI para determinar su calidad  y el cumplimiento de ...
DOMINIO Monitoreo Proceso: ME31 Monitoreo de los procesos Proceso: ME32 Evaluación de la adecuación del control interno Pr...
PROCESOS AI1 Identificar soluciones  de IT Administrar los cambios  Adquirir y mantener  software aplicativo Adquirir y ma...
DEFINICIÓN DE PROCESOS DE TI   <ul><li>PO1: Definir el Plan estratégico de IT </li></ul><ul><li>La función de servicios de...
OBJETIVOS DE CONTROL DE TI - DETALLADOS 1 La TI como parte de los planes a corto/largo  plazo de la empresa 2 Plan a largo...
PRODUCTOS DE COBIT PRODUCTOS DE COBIT CPC. Eduardo Miranda Valdivia
INTERRELACIÓN DE LOS COMPONENTES DE COBIT Negocio Procesos de TI Requerimientos Información  Objetivos de Control Practica...
CONTROLES GENERALES Controles Generales sobre procesos de TI Controles sobre  procesos de negocio que utilizan TI Desarrol...
CONTROLES DE APLICACIÓN - ORIGEN Autorización de Datos ORIGEN Ingreso de Datos INPUT Procesamiento de Datos Salida de Dato...
CONTROLES DE APLICACIÓN - INPUT Autorización de Datos ORIGEN Ingreso de Datos INPUT Procesamiento de Datos Salida de Datos...
CONTROLES DE APLICACIÓN - PROCESAMIENTO Autorización de Datos ORIGEN Ingreso de Datos INPUT Procesamiento de Datos Salida ...
CONTROLES DE APLICACIÓN - OUTPUT Autorización de Datos ORIGEN Ingreso de Datos INPUT Procesamiento de Datos Salida de Dato...
CONTROLES DE APLICACIÓN – ENTORNO CON TERCEROS Autorización de Datos ORIGEN Ingreso de Datos INPUT Procesamiento de Datos ...
<ul><li>Resumen de  C OBI T </li></ul><ul><li>Marco para revisar TI </li></ul><ul><li>4 dominios </li></ul><ul><li>Cada do...
ÁREAS DE REVISIÓN AUDITORÍA DE SISTEMAS DE INFORMACIÓN <ul><li>Control sobre el proceso de TI de: </li></ul><ul><li>Defini...
ÁREAS DE REVISIÓN AUDITORÍA DE SISTEMAS DE INFORMACIÓN <ul><li>DEFINICIÓN DE UN PLAN ESTRATÉGICO DE TI </li></ul><ul><li>1...
ÁREAS DE REVISIÓN AUDITORÍA DE SISTEMAS DE INFORMACIÓN <ul><li>1.2 Plan a largo plazo de TI </li></ul><ul><ul><li>OBJETIVO...
ÁREAS DE REVISIÓN AUDITORÍA DE SISTEMAS DE INFORMACIÓN 1.3 Plan a largo plazo de TI - Enfoque y Estructura OBJETIVO DE CON...
ÁREAS DE REVISIÓN AUDITORÍA DE SISTEMAS DE INFORMACIÓN <ul><li>1.4 Cambios al Plan a largo plazo de TI </li></ul><ul><li>O...
ÁREAS DE REVISIÓN AUDITORÍA DE SISTEMAS DE INFORMACIÓN <ul><li>1.5 Planeación a corto plazo para la Función de TI </li></u...
ÁREAS DE REVISIÓN AUDITORÍA DE SISTEMAS DE INFORMACIÓN <ul><li>1.6 Comunicación de los Planes de TI </li></ul><ul><li>OBJE...
ÁREAS DE REVISIÓN AUDITORÍA DE SISTEMAS DE INFORMACIÓN <ul><li>1.8 Evaluación de los Sistemas Existentes </li></ul><ul><li...
ÁREAS DE REVISIÓN AUDITORÍA DE SISTEMAS DE INFORMACIÓN <ul><li>Control sobre el proceso de TI de: </li></ul><ul><li>Defini...
ÁREAS DE REVISIÓN AUDITORÍA DE SISTEMAS DE INFORMACIÓN <ul><li>Control sobre el proceso de TI de: </li></ul><ul><li>determ...
ÁREAS DE REVISIÓN AUDITORÍA DE SISTEMAS DE INFORMACIÓN <ul><li>Control sobre el proceso de TI de: </li></ul><ul><li>defini...
ÁREAS DE REVISIÓN AUDITORÍA DE SISTEMAS DE INFORMACIÓN <ul><li>Control sobre el proceso de TI de: </li></ul><ul><li>Manejo...
ÁREAS DE REVISIÓN AUDITORÍA DE SISTEMAS DE INFORMACIÓN <ul><li>Control sobre el proceso de TI de: </li></ul><ul><li>comuni...
ÁREAS DE REVISIÓN AUDITORÍA DE SISTEMAS DE INFORMACIÓN <ul><li>Control sobre el proceso de TI de: </li></ul><ul><li>admini...
ÁREAS DE REVISIÓN AUDITORÍA DE SISTEMAS DE INFORMACIÓN <ul><li>Control sobre el proceso de TI de: </li></ul><ul><li>asegur...
ÁREAS DE REVISIÓN AUDITORÍA DE SISTEMAS DE INFORMACIÓN <ul><li>Control sobre el proceso de TI de: </li></ul><ul><li>anális...
ÁREAS DE REVISIÓN AUDITORÍA DE SISTEMAS DE INFORMACIÓN <ul><li>Control sobre el proceso de TI de: </li></ul><ul><li>admini...
ÁREAS DE REVISIÓN AUDITORÍA DE SISTEMAS DE INFORMACIÓN <ul><li>Control sobre el proceso de TI de: </li></ul><ul><li>Admini...
ÁREAS DE REVISIÓN AUDITORÍA DE SISTEMAS DE INFORMACIÓN <ul><li>Control sobre el proceso de TI de: </li></ul><ul><li>Identi...
ÁREAS DE REVISIÓN AUDITORÍA DE SISTEMAS DE INFORMACIÓN <ul><li>Control sobre el proceso de TI de: </li></ul><ul><li>Identi...
ÁREAS DE REVISIÓN AUDITORÍA DE SISTEMAS DE INFORMACIÓN <ul><li>Control sobre el proceso de TI de: </li></ul><ul><li>Defini...
ÁREAS DE REVISIÓN AUDITORÍA DE SISTEMAS DE INFORMACIÓN <ul><li>Control sobre el proceso de TI de: </li></ul><ul><li>admini...
ÁREAS DE REVISIÓN AUDITORÍA DE SISTEMAS DE INFORMACIÓN <ul><li>Control sobre el proceso de TI de: </li></ul><ul><li>admini...
ÁREAS DE REVISIÓN AUDITORÍA DE SISTEMAS DE INFORMACIÓN <ul><li>Control sobre el proceso de TI de: </li></ul><ul><li>asegur...
ÁREAS DE REVISIÓN AUDITORÍA DE SISTEMAS DE INFORMACIÓN <ul><li>Control sobre el proceso de TI de: </li></ul><ul><li>garant...
ÁREAS DE REVISIÓN AUDITORÍA DE SISTEMAS DE INFORMACIÓN <ul><li>Control sobre el proceso de TI de: </li></ul><ul><li>identi...
ÁREAS DE REVISIÓN AUDITORÍA DE SISTEMAS DE INFORMACIÓN <ul><li>Control sobre el proceso de TI de: </li></ul><ul><li>educac...
ÁREAS DE REVISIÓN AUDITORÍA DE SISTEMAS DE INFORMACIÓN <ul><li>Control sobre el proceso de TI de: </li></ul><ul><li>Apoyo ...
ÁREAS DE REVISIÓN AUDITORÍA DE SISTEMAS DE INFORMACIÓN <ul><li>Control sobre el proceso de TI de: </li></ul><ul><li>Admini...
ÁREAS DE REVISIÓN AUDITORÍA DE SISTEMAS DE INFORMACIÓN <ul><li>Control sobre el proceso de TI de: </li></ul><ul><li>admini...
ÁREAS DE REVISIÓN AUDITORÍA DE SISTEMAS DE INFORMACIÓN <ul><li>Control sobre el proceso de TI de: </li></ul><ul><li>Admini...
ÁREAS DE REVISIÓN AUDITORÍA DE SISTEMAS DE INFORMACIÓN <ul><li>Control sobre el proceso de TI de: </li></ul><ul><li>Admini...
ÁREAS DE REVISIÓN AUDITORÍA DE SISTEMAS DE INFORMACIÓN <ul><li>Control sobre el proceso de TI de: </li></ul><ul><li>admini...
ÁREAS DE REVISIÓN AUDITORÍA DE SISTEMAS DE INFORMACIÓN <ul><li>Control sobre el proceso de TI de: </li></ul><ul><li>monito...
ÁREAS DE REVISIÓN AUDITORÍA DE SISTEMAS DE INFORMACIÓN <ul><li>Control sobre el proceso de TI: </li></ul><ul><li>Evaluar l...
ÁREAS DE REVISIÓN AUDITORÍA DE SISTEMAS DE INFORMACIÓN <ul><li>Control sobre el proceso de TI de: </li></ul><ul><li>obtenc...
ÁREAS DE REVISIÓN AUDITORÍA DE SISTEMAS DE INFORMACIÓN <ul><li>Control sobre el proceso de TI de: </li></ul><ul><li>provee...
ÁREAS DE REVISIÓN AUDITORÍA DE SISTEMAS DE INFORMACIÓN CPC. Eduardo Miranda Valdivia
<ul><ul><ul><ul><ul><li>INDICE </li></ul></ul></ul></ul></ul><ul><ul><ul><li>Introducción  </li></ul></ul></ul><ul><ul><ul...
<ul><ul><ul><ul><ul><li>INDICE </li></ul></ul></ul></ul></ul><ul><ul><ul><li>Introducción  </li></ul></ul></ul><ul><ul><ul...
Directrices de Auditoría 1 Directriz genérica  34 Directrices orientadas a procesos ÁREAS DE REVISIÓN AUDITORÍA DE SISTEMA...
ÁREAS DE REVISIÓN AUDITORÍA DE SISTEMAS DE INFORMACIÓN CPC. Eduardo Miranda Valdivia
ÁREAS DE REVISIÓN AUDITORÍA DE SISTEMAS DE INFORMACIÓN CPC. Eduardo Miranda Valdivia
Directriz  Genérica  de  Auditoría ÁREAS DE REVISIÓN AUDITORÍA DE SISTEMAS DE INFORMACIÓN CPC. Eduardo Miranda Valdivia
ÁREAS DE REVISIÓN AUDITORÍA DE SISTEMAS DE INFORMACIÓN <ul><li>1) OBTENCIÓN DE UN ENTENDIMIENTO </li></ul><ul><li>Los paso...
ÁREAS DE REVISIÓN AUDITORÍA DE SISTEMAS DE INFORMACIÓN <ul><li>2) EVALUACIÓN DE LOS CONTROLES </li></ul><ul><li>Los pasos ...
ÁREAS DE REVISIÓN AUDITORÍA DE SISTEMAS DE INFORMACIÓN 3) VALORACIÓN DEL CUMPLIMIENTO Los pasos de auditoría a realizar pa...
ÁREAS DE REVISIÓN AUDITORÍA DE SISTEMAS DE INFORMACIÓN 4) JUSTIFICAR/COMPROBAR EL RIESGO Los pasos de auditoría a realizar...
ÁREAS DE REVISIÓN AUDITORÍA DE SISTEMAS DE INFORMACIÓN CPC. Eduardo Miranda Valdivia
ÁREAS DE REVISIÓN AUDITORÍA DE SISTEMAS DE INFORMACIÓN CPC. Eduardo Miranda Valdivia
Directrices de auditoría Son sólo un punto de inicio para identificar tareas asociadas con determinados objetivos de contr...
ÁREAS DE REVISIÓN AUDITORÍA DE SISTEMAS DE INFORMACIÓN CPC. Eduardo Miranda Valdivia
ÁREAS DE REVISIÓN AUDITORÍA DE SISTEMAS DE INFORMACIÓN PO 1 DEFINIR UN PLAN ESTRATÉGICO DE TI Objetivos de control 1.-  TI...
ÁREAS DE REVISIÓN AUDITORÍA DE SISTEMAS DE INFORMACIÓN <ul><li>Obtener un entendimiento a través de: </li></ul><ul><li>􀃖  ...
ÁREAS DE REVISIÓN AUDITORÍA DE SISTEMAS DE INFORMACIÓN <ul><li>Evaluar los controles: </li></ul><ul><li>􀃖  Considerando si...
ÁREAS DE REVISIÓN AUDITORÍA DE SISTEMAS DE INFORMACIÓN Los cambios organizacionales, la evolución tecnológica, los requeri...
ÁREAS DE REVISIÓN AUDITORÍA DE SISTEMAS DE INFORMACIÓN Los propietarios de procesos y la Gerencia llevan a cabo revisiones...
ÁREAS DE REVISIÓN AUDITORÍA DE SISTEMAS DE INFORMACIÓN Evaluar la suficiencia: Probando que: Las minutas de las reuniones ...
ÁREAS DE REVISIÓN AUDITORÍA DE SISTEMAS DE INFORMACIÓN Evaluar la suficiencia: Probando que: Se han identificado las impli...
ÁREAS DE REVISIÓN AUDITORÍA DE SISTEMAS DE INFORMACIÓN Comprobar el riesgo de los objetivos de control no cumplidos: Lleva...
ÁREAS DE REVISIÓN AUDITORÍA DE SISTEMAS DE INFORMACIÓN Comprobar el riesgo de los objetivos de control no cumplidos: Ident...
<ul><ul><ul><ul><ul><li>INDICE </li></ul></ul></ul></ul></ul><ul><ul><ul><li>Introducción  </li></ul></ul></ul><ul><ul><ul...
ÁREAS DE REVISIÓN AUDITORÍA DE SISTEMAS DE INFORMACIÓN CPC. Eduardo Miranda Valdivia
 
ÁREAS DE REVISIÓN AUDITORÍA DE SISTEMAS DE INFORMACIÓN Factores críticos de éxito CPC. Eduardo Miranda Valdivia
Indicadores clave de desempeño (KPI) ÁREAS DE REVISIÓN AUDITORÍA DE SISTEMAS DE INFORMACIÓN CPC. Eduardo Miranda Valdivia
<ul><li>K G I ( g oal/ objetivo) </li></ul><ul><ul><li>indicadores medibles </li></ul></ul><ul><ul><li>del proceso para co...
<ul><li>Genéricas y orientadas a la acción </li></ul><ul><li>Con el proposition de </li></ul><ul><ul><li>Perfilar el contr...
Modelos de madurez para autoevaluación ÁREAS DE REVISIÓN AUDITORÍA DE SISTEMAS DE INFORMACIÓN CPC. Eduardo Miranda Valdivia
DIMENSIONES DEL MODELO DE MADUREZ •  Entendimiento y conocimiento de los riesgos y de los problemas de control •  Capacita...
ÁREAS DE REVISIÓN AUDITORÍA DE SISTEMAS DE INFORMACIÓN <ul><li>Gobierno sobre la tecnología de información y los procesos ...
<ul><li>Factores Críticos de Éxito </li></ul><ul><li>- Las actividades del gobierno de TI son integradas dentro del proces...
<ul><li>Factores Críticos de Éxito </li></ul><ul><li>Se establecen prácticas organizacionales para: evitar descuidos; una ...
<ul><li>- Incrementar el desempeño y la administración de costos </li></ul><ul><li>- Mejorar el retorno de la inversión so...
- Mejorar los procesos de costo-eficiencia de TI (costos versus entregables o servicios) - Incrementar el número de planes...
ÁREAS DE REVISIÓN AUDITORÍA DE SISTEMAS DE INFORMACIÓN <ul><li>PO1 Planeación y Organización </li></ul><ul><li>Definir un ...
ÁREAS DE REVISIÓN AUDITORÍA DE SISTEMAS DE INFORMACIÓN CPC. Eduardo Miranda Valdivia
ÁREAS DE REVISIÓN AUDITORÍA DE SISTEMAS DE INFORMACIÓN CPC. Eduardo Miranda Valdivia
ÁREAS DE REVISIÓN AUDITORÍA DE SISTEMAS DE INFORMACIÓN CPC. Eduardo Miranda Valdivia
ÁREAS DE REVISIÓN AUDITORÍA DE SISTEMAS DE INFORMACIÓN CPC. Eduardo Miranda Valdivia
ÁREAS DE REVISIÓN AUDITORÍA DE SISTEMAS DE INFORMACIÓN PO1 Modelo de Madurez El control sobre el proceso de TI  de Definir...
Cobit1
Cobit1
Cobit1
Cobit1
Cobit1
Cobit1
Cobit1
Cobit1
Cobit1
Cobit1
Cobit1
Cobit1
Cobit1
Cobit1
Cobit1
Cobit1
Cobit1
Cobit1
Upcoming SlideShare
Loading in...5
×

Cobit1

3,200

Published on

Published in: Technology, Business
0 Comments
3 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total Views
3,200
On Slideshare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
180
Comments
0
Likes
3
Embeds 0
No embeds

No notes for slide
  • Management has traditionally asked these basic questions: How do I keep the ship on course? How do I achieve results that are satisfactory to all my stakeholders, shareholders, customers and partners? How can I adapt my organization in a timely manner? Current management toolsets talk about dashboards, scorecards and benchmarks. The elements that are missing are that for dashboards one needs indicators, for scorecards one needs measures and for benchmarks one needs scales. This is the basic premise used in the development of the Management Guidelines.
  • This table illustrates how the dimensions identified earlier can be introduced into the maturity model. Additional and better practices are then integrated at certain levels of maturity. Of course, new dimensions can be added by each organisation as it implements these management guidelines, depending on what management considers to be strategic in accomplishing its goals. By defining the resulting maturity model, the organisation can then assess where it is along the desired dimensions and processes and then decide where it wants to be. Comparisons with external benchmarks and industry best practices can provide additional capabilities to identify the most effective use of the organisation’s resources.
  • Some guidance in defining CSFs comes from the standard control model, where management sets objectives for activities and the activities provide control information, which is then compared against defined norms and action is taken when a deviation occurs. This simple model defines a number of requirements for control over processes, including responsibility for the activity and reporting, good standards of operation, documented control process and clear accountability.
  • In defining how to measure the performance of IT processes and their alignment with the overall organisation goals, the basic concepts of the balanced business scorecard provide insights. The balanced business scorecard, first defined by Robert Kaplan and David Norton, includes the following perspectives: Customer, Financial, Internal Process, and Learn and Innovate. The customer and financial perspectives emphasise the organisations’ response to external factors, while the internal processes, and the learn and innovate perspectives address how the organisation is managing its resources to achieve overall objectives and goals.
  • The balanced business scorecard provides for two types of measures, one which looks at the performance of the enablers, henceforth called a KPI, and another, which looks at the goals (measures of outcome), called a KGI. KGIs need to be defined to support measuring the outcome in satisfying the business requirement of the C OBI T high-level control objective. The ‘Substantiating Risk’ section in the C OBI T Audit Guidelines also provides direction on how to express to management the absence or inefficiency of control; it provides goal measurements, usually in negative terms, because this is used if there are problems in the control environment found by an auditor.
  • The basic intent of the Management Guidelines is to provide generic and action oriented guidelines for the purpose of: defining what is important for management increasing awareness about risk and risk management creating the tool to answer the question: What are the others doing? This toolset was built to help management’s decision support process through defining KPIs of IT processes (What are the right indicators that tell me that the process is working?), critical success factors (What is the most important thing to do?), benchmarks (Where am I, where do I want to be and what are others doing?) and then a tool set to help make the right choices. The Management Guidelines assist enterprise and IT management in determining the appropriate level of control over IT so that it supports enterprise objectives. They support self-assessment of strategic organisational status, identification of actions to improve IT processes and monitoring the performance of these IT processes.
  • The development was guided by the Software Engineering Institute’s efforts in the late 80’s in building maturity models for software development. The Management Guidelines expand this basic concept by applying it to the management of IT processes. The principles were used to define a set of levels that allow an organisation to assess where it is relative to the control and governance over IT. These levels are presented on a scale that moves from non-existent, on the left, to optimized, on the right. By using such a scale, an organisation can determine where it is, define where it wants to go and, if it identifies a gap, it can do an analysis to translate the findings into projects. Reference points can be added to the scale. Comparisons can be performed with what others are doing, if that data is available, and the organisation can determine where emerging international standards and industry best practices are pointing for the effective management of security and control.
  • The basic maturity model presented was expanded by adding key new dimensions, such as the ones presented here.
  • To support the overall organisation, IT needs to address business goals, support them with the required information and perform its activities effectively by leveraging IT resources. Performance measures are defined for managing progress towards the goal.
  • See slide.
  • See slide.
  • See slide.
  • See slide
  • See slide
  • See slide
  • See slide
  • See slide
  • See slide
  • See slide
  • See slide
  • See slide
  • See slide
  • See slide
  • See slide
  • Cobit1

    1. 1. CPC. Eduardo Miranda Valdivia
    2. 2. CONCEPTO BÁSICOS <ul><li>Es el resultado de una investigación con expertos de varios paises, desarrollada por la “Information, Systems Audit and Control Association “ISACA”. </li></ul><ul><li>Esta asociación se ha constituido en el organismo normalizador y orientador en el control y la auditoría de los sistemas de Información y Tecnología (IT). </li></ul><ul><li>El modelo CobIT ha sido aceptado y adoptado por organizaciones en el ámbito mundial. </li></ul>Modelo para evaluar y/o auditar la gestión y control de los de Sistemas de Información y Tecnología relacionada (IT): MODELO COBIT (Control Objectives for Information Systems and related Technology) CPC. Eduardo Miranda Valdivia
    3. 3. CONCEPTO BÁSICOS Modelo CobiT Origen LEGISLADORES / REGULADORES USUARIOS PRESTADORES DE SERVICIOS <ul><li>MARCO UNICO </li></ul><ul><li>REFERENCIA </li></ul><ul><li>PRACTICAS </li></ul><ul><li>SEGURIDAD </li></ul><ul><li>Y CONTROL </li></ul>ALTA GERENCIA <ul><li>INVERSION CONTROL TI </li></ul><ul><li>BALANCE RIESGO/CONTROL </li></ul><ul><li>BASE BENCHMARKING </li></ul>USUARIOS DE TI <ul><li>ACREDITACÍON CONTROL /SEGURIDAD POR AUDITORES O TERCEROS </li></ul><ul><li>CONFUSIÓN ESTANDARES </li></ul>AUDITORES <ul><li>DESGASTE </li></ul><ul><li>OPINION V.S. </li></ul><ul><li>ALTA GCIA. </li></ul><ul><li>CONSULTORES EN CONTROL/SEG. </li></ul><ul><li>TI </li></ul>CPC. Eduardo Miranda Valdivia
    4. 4. CONCEPTO BÁSICOS <ul><li>Proveer un marco único reconocido a nivel mundial de las “mejores prácticas” de control y seguridad de TI </li></ul><ul><li>Consolidar y armonizar estándares originados en diferentes paises desarrollados. </li></ul><ul><li>Concientizar a la comunidad sobre importancia del control y la auditoría de TI. </li></ul><ul><li>Enlaza los objetivos y estrategias de los negocios con la estructura de control de la TI, como factor crítico de éxito </li></ul><ul><li>Aplica a todo tipo de organizaciones independiente de sus plataformas de TI </li></ul><ul><li>Ratifica la importancia de la información, como uno de los recursos más valiosos de toda organización exitosa </li></ul>O b j e t i v o s y B e n e f i c i o s CPC. Eduardo Miranda Valdivia
    5. 5. CONCEPTO BÁSICOS <ul><li>COSO (Committe Of Sponsoring Org. of the Treadway Commission) </li></ul><ul><li>OECD (Organizarion for Economic Cooperation and Development) </li></ul><ul><li>ISO 9003 (International Standars Organization) </li></ul><ul><li>NIST (National Institute of Standars and Technology) </li></ul><ul><li>DTI (Departament of Trade and Industry of the U.K´) </li></ul><ul><li>ITSEC (Information Technology Security Evaluation Criteria - Europa) </li></ul><ul><li>TCSEC (Trusted Computer Evaluación Criteria - Orange Book- E.U) </li></ul><ul><li>IIA SAC (Institute of Internal Auditors - Systems Auditability and Control) </li></ul><ul><li>IS Auditing Standars Japón </li></ul>COBIT Representatividad ISACA - 95 paises 20.000 miembros Investigación: E.U-Europa-Australia-Japón Consolidación y armonización 18 estándares CPC. Eduardo Miranda Valdivia
    6. 6. CONCEPTO BÁSICOS <ul><li>Para satisfacer los objetivos del negocio la información debe cumplir con criterios que COBIT extrae de los más reconocidos modelos: </li></ul>CPC. Eduardo Miranda Valdivia Requerimientos de calidad (ISO 9000-3) <ul><li>Calidad </li></ul><ul><li>Costo </li></ul><ul><li>Entrega </li></ul>
    7. 7. CONCEPTO BÁSICOS Requerimientos fiduciarios (informe COSO) <ul><li>Eficacia y eficiencia </li></ul><ul><li>Confiabilidad de la información </li></ul><ul><li>Cumplimiento con leyes y reglamentaciones </li></ul>Requerimientos de seguridad (libro rojo, naranja, ISO 17799 y otros) <ul><li>Disponibilidad </li></ul><ul><li>Integridad </li></ul><ul><li>Confidencialidad </li></ul>CPC. Eduardo Miranda Valdivia
    8. 8. REGLA DE ORO DEL COBIT <ul><li>A fin, de proveer la información que la organización requiere para lograr sus objetivos, los recursos de IT deben ser administrados por un conjunto de procesos , agrupados de forma adecuada y normalmente aceptada. </li></ul>CPC. Eduardo Miranda Valdivia
    9. 9. ¿ POR QUÉ COBIT ? <ul><li>La Tecnología se ve como un costo, no hay una terminología común con el negocio, y se recorta el presupuesto en la seguridad, ya que la falta de difusion de normas y buenas prácticas que ayuden a generar conciencia de los riesgos mantiene la quimera del : </li></ul><ul><li>“ A mi no me va pasar..” </li></ul>CPC. Eduardo Miranda Valdivia
    10. 10. ¿POR QUÉ COBIT? <ul><li>La Dirección, a través de su Gobierno Corporativo debe garantizar la debida diligencia por parte de todos los individuos involucrados en la administración, uso, diseño, desarrollo, mantenimiento u operación de los sistemas de información. </li></ul>Gobierno de Tecnología de Información El rol de la Dirección CPC. Eduardo Miranda Valdivia
    11. 11. QUIÉNES NECESITAN REGLAS DE JUEGO DEFINIDAS <ul><li>Los Mandos Gerenciales para saber que deben exigir, como medir los resultados y cuales son sus responsabilidades en esos temas. Balancear el riesgo y la inversión en control de un ambiente a menudo impredecible </li></ul><ul><li>El Auditor para sustentar sus opiniones sobre los riesgos y la adecuación de la tecnología a las mejores prácticas. Ser asesores proactivos del negocio </li></ul>CPC. Eduardo Miranda Valdivia
    12. 12. ADEMÁS ... <ul><li>El Area usuaria para saber que puede pedir a tecnología y que se le va a exigir sobre el control de los procesos del negocio. Son los interesados en saber si los recursos de Tecnología de Información se utilizan adecuadamente y les ayudan a alcanzar sus objetivos </li></ul><ul><li>El Gerente de Tecnología para definir un acuerdo de servicios y justificar su inversión </li></ul><ul><li>Los Organismos estatales de control, para saber que es lo mínimo que pueden exigir. </li></ul>CPC. Eduardo Miranda Valdivia
    13. 13. ORIENTACIÓN DE COBIT <ul><li>Su orientación hacia el negocio consiste en vincular objetivos de negocio con objetivos de TI, facilitar métricas y modelos de madurez para medir su éxito, e identificar las responsabilidades asociadas del negocio y los propietarios de los procesos de TI. </li></ul>“ ENFOCADO EN EL NEGOCIO, ORIENTADO A PROCESO, BASADO EN CONTROLES Y DIRIGIDO POR MEDIDAS.” CPC. Eduardo Miranda Valdivia
    14. 14. DEFINICIONES CPC. Eduardo Miranda Valdivia Las Pólíticas , Procedimientos , Prácticas y Estructuras Organizacionales , diseñadas para asegurar razonablemente el logro de los objetivos del negocio y que los eventos indeseables serán prevenidos o detectados o corregidos. CONTROL Son declaraciones del resultado esperado o del próposito a lograr mediante la implementación de los controles en una actividad de IT específica. Objetivos de Control de IT
    15. 15. PRINCIPIOS CPC. Eduardo Miranda Valdivia Se refiere a la información que es relevante para el negocio y que debe ser entregada de manera correcta, oportuna, consistente y usable. Efectividad Se refiere a la provisión de información a través del óptimo (más productivo y económico) uso de los recursos. Eficiencia Relativa a la protección de la información sensitiva de su revelación no autorizada. Confidencialidad Se refiere a la exactitud y completitud de la información, así como su validez , en concordancia con los valores y expectativas del negocio. Integridad
    16. 16. PRINCIPIOS CPC. Eduardo Miranda Valdivia Se refiere a la que la información debe estar disponible cuando es requerida por los procesos del negocio ahora y en el futuro. Involucra la salvaguarda de los recursos y sus capacidades asociadas. Disponibilidad Se refiere a cumplir con aquellas leyes, regulaciones y acuerdos contractuales, a los que están sujetos los procesos del negocio. Cumplimiento Se refiere a la provisión de la información apropiada a la alta gerencia , para operar la entidad y para ejercer sus responsabilidades finacieras y de cumplir con los reportes de su gestión. Confiabilidad
    17. 17. NECESIDAD DE RESPUESTA A LOS RETOS DE TI <ul><li>Qué no se interrumpa el servicio </li></ul><ul><li>Qué aporte valor </li></ul><ul><li>Administrar los costos </li></ul><ul><li>Dominar la complejidad </li></ul><ul><li>Alineación con el Negocio </li></ul><ul><li>Cumplimiento de Regulaciones </li></ul><ul><li>Seguridad. </li></ul>Los 7 retos: CPC. Eduardo Miranda Valdivia
    18. 18. BUEN GOBIERNO DE TI <ul><li>Dirigir y controlar </li></ul><ul><li>Con responsabilidad </li></ul><ul><li>Con imputabilidad (Accountability) </li></ul><ul><li>Mediante actividades (Procesos) </li></ul>Principios, participantes, ámbito, ventajas … Los 4 principios: CPC. Eduardo Miranda Valdivia
    19. 19. NECESIDAD DE RESPUESTA A LOS RETOS DE TI <ul><li>Principios, participantes, ámbito, ventajas … </li></ul><ul><li>Los participantes ( stakeholders ): </li></ul><ul><li>Internos </li></ul><ul><li>Externos </li></ul>CPC. Eduardo Miranda Valdivia
    20. 20. BUEN GOBIERNO DE TI <ul><li>Principios, participantes, ámbito, ventajas … </li></ul><ul><li>Las 5 áreas: </li></ul><ul><li>Alineación estratégica </li></ul><ul><li>Aportación de Valor </li></ul><ul><li>Gestión de Riesgos </li></ul><ul><li>Gestión de Recursos </li></ul><ul><li>Medidas de Rendimiento </li></ul>CPC. Eduardo Miranda Valdivia
    21. 21. BUEN GOBIERNO DE TI <ul><li>Principios, participantes, ámbito, ventajas … </li></ul><ul><li>Las 5 ventajas: </li></ul><ul><li>Confianza de la Alta Dirección </li></ul><ul><li>TI es co-responsable al negocio </li></ul><ul><li>Retorno de Inversión Superior </li></ul><ul><li>Servicios más confiables </li></ul><ul><li>Mayor transparencia </li></ul>CPC. Eduardo Miranda Valdivia
    22. 22. MARCOS DE BUEN GOBIERNO Y DE TI <ul><li>Las 5 características generales de un buen marco: </li></ul><ul><li>Enfocado al Negocio </li></ul><ul><li>Orientado a Procesos </li></ul><ul><li>Generalmente aceptado </li></ul><ul><li>Utilice un lenguaje común </li></ul><ul><li>Cumpla con los requisitos regulatorios </li></ul>CPC. Eduardo Miranda Valdivia
    23. 23. Propuesta de solución <ul><li>Expectativas sobre COBIT (1) </li></ul><ul><li>Alta Gerencia: </li></ul><ul><li>Utilizar los procesos de COBIT para lograr un lenguaje común entre el negocio y TI y asignar responsabilidades claras </li></ul><ul><li>Gerencias Usuarias: </li></ul><ul><li>Utilizar los objetivos de control de COBIT para determinar las necesidades que serán cubiertas por los Acuerdos de Niveles de Servicio </li></ul>CPC. Eduardo Miranda Valdivia
    24. 24. Propuesta de solución <ul><li>Expectativas sobre COBIT (2) </li></ul><ul><li>Auditoría Interna: </li></ul><ul><li>Utilizar los objetivos de control de COBIT como un criterio para evaluar y definir el alcance a revisar </li></ul><ul><li>Gerente TI: </li></ul><ul><li>Utilizar los objetivos de control de COBIT para: </li></ul><ul><li>estructurar los procesos </li></ul><ul><li>establecer objetivos de los procesos </li></ul><ul><li>medir el desempeño de los procesos / gestión </li></ul><ul><li>generar políticas y procedimientos </li></ul>CPC. Eduardo Miranda Valdivia
    25. 25. Fase 1 <ul><li>Levantamiento de procesos actuales </li></ul>Procesos de trabajo Recursos de TI Criterios de Información <ul><li>Datos </li></ul><ul><li>Sistemas de Aplicación </li></ul><ul><li>Infraestructura </li></ul><ul><li>Tecnológica </li></ul><ul><li>Instalaciones Físicas </li></ul><ul><li>Recursos humanos </li></ul><ul><li>Planeación y organización </li></ul><ul><li>Adquisición e implantación de soluciones </li></ul><ul><li>Entrega de servicio y soporte </li></ul><ul><li>Monitoreo </li></ul><ul><li>Efectividad </li></ul><ul><li>Eficiencia </li></ul><ul><li>Confidencialidad </li></ul><ul><li>Integridad </li></ul><ul><li>Disponibilidad </li></ul><ul><li>Cumplimiento </li></ul><ul><li>Confiabilidad </li></ul>CPC. Eduardo Miranda Valdivia
    26. 26. Fase 1 <ul><li>Levantamiento de procesos actuales </li></ul>Procesos de trabajo Recursos de TI Criterios de Información <ul><li>Objetivos de Control </li></ul><ul><li>Factores Críticos de Éxito </li></ul><ul><li>Indicadores de Resultados </li></ul><ul><li>Indicadores de Desempeño </li></ul>CPC. Eduardo Miranda Valdivia Recursos de TI
    27. 27. EL MODELO DEL MARCO DE TRABAJO DE COBIT El marco de trabajo COBIT, relaciona los requerimientos de información y de gobierno a los objetivos de la función de servicio de TI. El modelo de procesos COBIT permite que las actividades de TI y los recursos que los soportan sean administrados y controlados basados en los objetivos de control de COBIT, y alineados y monitoreados usando las métricas KGI y KPI de COBIT Administración, Control, Alineación y Monitoreo de Cobit. OBJETIVOS DE NEGOCIO Aplicaciones Información Infraestructura Gente Criterios de Información Recursos de TI Procesos de TI Objetivos de Control de Alto Nivel Indicadores clave de Objetivos Indicadores clave de Rendiemiento Resultados de Negocio Drivers de Gobernabilidad Procesos de TI Objetivos de TI
    28. 28. ALINEANDO CRITERIOS, PROCESOS, RECURSOS Y OBJETIVOS DE CONTROL Dominios Procesos Actividades Efectividad Procesos y Objetivos de Control de TI Recursos TI Personas Aplicaciones Infraestructura Dominios Procesos Actividades Información Eficiencia Integridad Disponibilidad Confidencialidad Confiabilidad Cumplimiento Criterios de Información CPC. Eduardo Miranda Valdivia
    29. 29. CLASIFICACIÓN <ul><li>Agrupamiento lógico de procesos, a menudo se concibe como dominios de responsabilidad dentro de una estructura y se relaciona con el ciclo de vida aplicable a los procesos de Tecnología de Información. </li></ul><ul><li>Una serie de actividades o tareas vinculadas con cortes (de control) naturales. </li></ul><ul><li>Son necesarias para lograr un resultado mensurable. Las actividades tienen un ciclo de vida mientras que las tareas son discretas. </li></ul>Procesos Actividades o tareas Dominios CPC. Eduardo Miranda Valdivia
    30. 30. COBIT Estructura del Modelo CPC. Eduardo Miranda Valdivia Dominios de Control en Tecnología de Información
    31. 31. CPC. Eduardo Miranda Valdivia <ul><li>Resumen Ejecutivo </li></ul><ul><li>Casos de Estudio </li></ul><ul><li>Preguntas Frecuentes </li></ul><ul><li>Presentaciones Power Point </li></ul><ul><li>Guías de Implementación </li></ul><ul><ul><li>Diagnóstico Conciencia Administrativa </li></ul></ul><ul><ul><li>Diagnóstico Control de TI </li></ul></ul>Resumen Ejecutivo Marco Referencial-Esquema Objetivos de Alto Nivel Lineamientos Gerenciales Objetivos de Control Detallados Guías de Auditoría Modelos de Madurez Factores Críticos de Exito Indicadores Clave de Rendimiento Indicadores Clave de Logros Herramientas de implementación CobiT: enfoque e implementación Prácticas de Control
    32. 32. Dominios TI (4) Objetivos de control (318) Guías Auditoria De TI (34) GERENCIA - UNIDADES DE NEGOCIO - IT PERSONALIZACIÓN DE LAS GUIAS EJECUCIÓN DE LA AUDITORIA EVALUACION ADMINISTRATIVA EVALUACION AUDITORIA 2 1 :Nivel Control General 2 :Nivel Detallado Control 3 :Nivel Detallado Auditoría 2 1 1 2 2 Procesos/ Actividades (34) 3 COBIT Aplicación del modelo CPC. Eduardo Miranda Valdivia
    33. 33. DOMINIOS DEL COBIT <ul><li>Abarca aspectos estratégicos y tácticos </li></ul><ul><li>Se vincula con la identificación de la forma en que la tecnología de información puede contribuir más adecuadamente con el logro de los objetivos del negocio. </li></ul><ul><li>Incluye las actividades de planificar, comunicar y administrar la realización de la visión estratégica desde distintas perspectivas. </li></ul>Planeación y Organización CPC. Eduardo Miranda Valdivia
    34. 34. DOMINIO Planificación y Organizaión Proceso: PO1 Definición de un plan estratégico de TI Proceso: PO2 Definición de la arquitectura de la información Proceso: PO3 Determinación de la dirección tecnológica Proceso: PO4 Definición de la organización y el relacionamiento en TI Proceso: PO5 Administración de la inversión en TI Proceso: PO6 Comunicación de los objetivos y directivas de la gerencia Proceso: PO7 Administración de los recursos humanos Proceso: PO8 Aseguramiento del cumplimiento de los requerimientos externos Proceso: PO9 Evaluación de riesgos Proceso: PO10 Administración de proyectos Proceso: PO11 Administración de la calidad CPC. Eduardo Miranda Valdivia
    35. 35. DOMINIOS DE COBIT <ul><li>Identificación, desarrollo o adquisición de soluciones de Ti </li></ul><ul><li>Implantación e integración en el proceso de negocio. </li></ul><ul><li>Cambios y mantenimiento de los sistemas existentes para garantizar la natural continuidad del ciclo de vida para estos sistemas. </li></ul>Adquisición e Implementación CPC. Eduardo Miranda Valdivia
    36. 36. DOMINIO Adquisición e Implementación Proceso: AI12 Identificación de soluciones Proceso: AI13 Adquisición y mantenimiento de software de aplicación Proceso: AI14 Adquisición y mantenimiento de la infraestructura tecnológica Proceso: AI15 Desarrollo y mantenimiento de procedimientos de TI Proceso: AI16 Instalación y certificación de sistemas Proceso: AI17 Administración de cambios CPC. Eduardo Miranda Valdivia
    37. 37. DOMINIOS DE COBIT <ul><li>Prestación efectiva de los servicios requeridos, que comprenden desde las operaciones tradicionales sobre aspectos de seguridad y continuidad hasta la capacitación. </li></ul><ul><li>Procesos de soporte necesarios. </li></ul><ul><li>Procesamiento real de los datos por los sistemas de aplicación. </li></ul>Entrega y Soporte CPC. Eduardo Miranda Valdivia
    38. 38. DOMINIO Entrega y Soporte Proceso: DS18 Definición de los niveles del servicio Proceso: DS19 Administración de los servicios prestados terceros Proceso: DS20 Administración de la capacidad y del desempeño del sistema Proceso: DS21 Aseguramiento de la continuidad del servicio Proceso: DS22 Establecimiento de pautas para la seguridad de los sistemas Proceso: DS23 Identificación e imputación de costos CPC. Eduardo Miranda Valdivia
    39. 39. DOMINIO Entrega y Soporte Proceso: DS24 Educación y capacitación de los usuarios Proceso: DS25 Asistencia y asesoramiento a los clientes de TI Proceso: DS26 Administración de la configuración Proceso: DS27 Administración de problemas e incidentes Proceso: DS28 Administración de datos Proceso: DS29 Administración de instalaciones Proceso: DS30 Administración de las operaciones CPC. Eduardo Miranda Valdivia
    40. 40. DOMINIOS DE COBIT <ul><li>Evaluar regularmente todos los procesos de TI para determinar su calidad y el cumplimiento de los requerimientos de control. </li></ul><ul><li>Seguimiento de la gerencia sobre los procesos de control de la organización </li></ul><ul><li>Garantía independiente provista por la auditoria interna y externa u obtenida de fuentes alternativas. </li></ul>Monitoreo CPC. Eduardo Miranda Valdivia
    41. 41. DOMINIO Monitoreo Proceso: ME31 Monitoreo de los procesos Proceso: ME32 Evaluación de la adecuación del control interno Proceso: ME33 Obtención de aseguramiento independiente Proceso: ME34 Provisión de auditoria independiente CPC. Eduardo Miranda Valdivia
    42. 42. PROCESOS AI1 Identificar soluciones de IT Administrar los cambios Adquirir y mantener software aplicativo Adquirir y mantener arquitectura tecnológica Desarrollar y mantener procedimientos de IT Instalar y acreditar sistemas AI2 AI3 AI4 AI5 AI6 P S P P S S     P P S  S P P S S S     P S S P P P S P           CRITERIOS RECURSOS EFECTIVIDAD EFICIENCIA CONFIDENCIALIDAD INTEGRIDAD DISPONIBILIDAD CUMPLIMIENTO CONFIABILIDAD APLICACIONES TECNOCLOGÍA FACILIDADES DATOS PERSONAS DOMINIO AI : Adquisición e Implementación COBIT Navegación (Matriz) CPC. Eduardo Miranda Valdivia
    43. 43. DEFINICIÓN DE PROCESOS DE TI <ul><li>PO1: Definir el Plan estratégico de IT </li></ul><ul><li>La función de servicios de información debería asegurar que hay planes a corto y largo plazo para administrar y orientar todos los recursos de IT de la organización. Estos planes deben ser actualizados de manera correcta y oportuna para adecuarlos a los cambios de las condiciones de la IT . La evaluación de los sistemas existentes debe realizarse antes de desarrollar o modificar el plan estratégico de IT . Así mismo, la función de administración de los servicios de información debe asegurar que el plan estratégico de IT es consistente con los objetivos del negocio, y los planes a corto y largo plazo de la organización. </li></ul>CPC. Eduardo Miranda Valdivia
    44. 44. OBJETIVOS DE CONTROL DE TI - DETALLADOS 1 La TI como parte de los planes a corto/largo plazo de la empresa 2 Plan a largo plazo de la TI 3 Enfoque y estructura del Plan a largo plazo de la TI 4 Cambios al Plan a largo plazo de la TI Plan corto plazo de la función de servicios de TI 5 PROCESO: PO1: Definir el Plan Estratégico de TI DOMINIO PO : Planeación y Organización Objetivos de Control - Detallados Y tiene en consideración: Evaluación objetivos de control detallados CPC. Eduardo Miranda Valdivia
    45. 45. PRODUCTOS DE COBIT PRODUCTOS DE COBIT CPC. Eduardo Miranda Valdivia
    46. 46. INTERRELACIÓN DE LOS COMPONENTES DE COBIT Negocio Procesos de TI Requerimientos Información Objetivos de Control Practicas de Control Guías de Auditoría Metas de las Actividades Modelo de Madurez Indicadores Clave de Metas Indicadores Clave de Desempeño Auditado por Medida para … Implementado con Transformado en Para desempeño Para Madurez Controlado por Logrando Efectividad y Eficiencia con Para resultados CPC. Eduardo Miranda Valdivia
    47. 47. CONTROLES GENERALES Controles Generales sobre procesos de TI Controles sobre procesos de negocio que utilizan TI Desarrollo de soluciones Administración de Cambios Seguridad Operación del Computador Integridad (completitud) Precisión Validez Autorización Segregación de Funciones CPC. Eduardo Miranda Valdivia
    48. 48. CONTROLES DE APLICACIÓN - ORIGEN Autorización de Datos ORIGEN Ingreso de Datos INPUT Procesamiento de Datos Salida de Datos OUTPUT ENTORNO CON TERCEROS <ul><li>Preparación de Datos (AC1) </li></ul><ul><li>Autorización de documentos fuente (AC2) </li></ul><ul><li>Recolección de datos fuente (AC3) </li></ul><ul><li>Manejo de errores en documentos fuente (AC4) </li></ul><ul><li>Retención de documentos fuente (AC5) </li></ul>Los departamentos usuarios implementan y dan seguimiento a los procedimientos de preparación de datos. En este contexto, el diseño de los formatos de entrada asegura que los errores y las omisiones se minimicen. Los procedimientos de manejo de errores durante la generación de los datos aseguran de forma razonable que los errores y las irregularidades son detectadas, reportadas y corregidas El personal autorizado, actuando dentro de su autoridad, prepara los documentos fuente de forma adecuada y existe una segregación de funciones apropiada con respecto a la generación y aprobación de los documentos fuente. Los procedimientos garantizan que todos los documentos fuente autorizados son completos y precisos, debidamente justificados y transmitidos de manera oportuna para su captura. Los procedimientos de manejo de errores durante la generación de los datos aseguran de forma razonable la detección, el reporte y la corrección de errores e irregularidades. Existen procedimientos para garantizar que los documentos fuente originales son retenidos o pueden ser reproducidos por la organización durante un lapso adecuado de tiempo para facilitar el acceso o reconstrucción de datos así como para satisfacer los requerimientos legales. CPC. Eduardo Miranda Valdivia
    49. 49. CONTROLES DE APLICACIÓN - INPUT Autorización de Datos ORIGEN Ingreso de Datos INPUT Procesamiento de Datos Salida de Datos OUTPUT ENTORNO CON TERCEROS <ul><li>Procedimientos de autorización de captura de datos (AC6) </li></ul><ul><li>Verificación de precisión, integridad y autorización (AC7) </li></ul><ul><li>Manejo de errores en la entrada de datos (AC8) </li></ul>Los procedimientos aseguran que solo el personal autorizado capture los datos de entrada. Los datos de transacciones, ingresados para ser procesados (generados por personas, por sistemas o entradas de interfases) están sujetos a una variedad de controles para verificar su precisión, integridad y validez. Los procedimientos también garantizan que los datos de entrada son validados y editados tan cerca del punto de origen como sea posible. Existen y se siguen procedimientos para la corrección y re-captura de datos que fueron ingresados de manera incorrecta. CPC. Eduardo Miranda Valdivia
    50. 50. CONTROLES DE APLICACIÓN - PROCESAMIENTO Autorización de Datos ORIGEN Ingreso de Datos INPUT Procesamiento de Datos Salida de Datos OUTPUT ENTORNO CON TERCEROS <ul><li>Integridad en el procesamiento de datos (AC9) </li></ul><ul><li>Validación y edición del procesamiento de datos (AC10) </li></ul><ul><li>Manejo de errores en el procesamiento de datos (AC11) </li></ul>Los procedimientos para el procesamiento de datos aseguran que la separación de funciones se mantiene y que el trabajo realizado de forma rutinaria se verifica. Los procedimientos garantizan que existen controles de actualización adecuados, tales como totales de control de corrida-a-corrida, y controles de actualización de archivos maestros Los procedimientos garantizan que la validación, la autenticación y la edición del procesamiento de datos se realizan tan cerca como sea posible del punto de generación. Los individuos aprueban decisiones vitales que se basan en sistemas de inteligencia artificial. Los procedimientos de manejo de errores en el procesamiento de datos permiten que las transacciones erróneas sean identificadas sin ser procesadas y sin una indebida interrupción del procesamiento de otras transacciones válidas. Fernando Rada Barona - Consultor
    51. 51. CONTROLES DE APLICACIÓN - OUTPUT Autorización de Datos ORIGEN Ingreso de Datos INPUT Procesamiento de Datos Salida de Datos OUTPUT ENTORNO CON TERCEROS <ul><li>Manejo y retención de salidas (AC12) </li></ul><ul><li>Distribución de Salidas (AC13) </li></ul><ul><li>Cuadre y conciliación de salidas (AC14) </li></ul><ul><li>Revisión de Salidas y Manejo de errores (AC13) </li></ul><ul><li>Provisión de seguridad para reportes de salida (AC14) </li></ul>El manejo y la retención de salidas provenientes de aplicaciones de TI siguen procedimientos definidos y tienen en cuenta los requerimientos de privacidad y de seguridad. Los procedimientos para la distribución de las salidas de TI se definen, se comunican y se les da seguimiento. Las salidas cuadran rutinariamente con los totales de control relevantes. Las pistas de auditoría facilitan el rastreo del procesamiento de las transacciones y la conciliación de datos alterados. Los procedimientos garantizan que tanto el proveedor como los usuarios relevantes revisan la precisión de los reportes de salida. También existen procedimientos para la identificación y el manejo de errores contenidos en las salidas. Existen procedimientos para garantizar que se mantiene la seguridad de los reportes de salida, tanto para aquellos que esperan ser distribuidos como para aquellos que ya están entregados a los usuarios. CPC. Eduardo Miranda Valdivia
    52. 52. CONTROLES DE APLICACIÓN – ENTORNO CON TERCEROS Autorización de Datos ORIGEN Ingreso de Datos INPUT Procesamiento de Datos Salida de Datos OUTPUT ENTORNO CON TERCEROS <ul><li>Autenticidad e Integridad (AC15) </li></ul><ul><li>Protección de información sensitiva durante su transmisión y transporte (AC16) </li></ul>Se verifica de forma apropiada la autenticidad e integridad de la información generada fuera de la organización, ya sea que haya sido recibida por teléfono, por correo de voz, como documento en papel, fax o correo electrónico, antes de que se tomen medidas potencialmente críticas. Se proporciona una protección adecuada contra accesos no autorizados, modificaciones y envíos incorrectos de información sensitiva durante la transmisión y el transporte. CPC. Eduardo Miranda Valdivia
    53. 53. <ul><li>Resumen de C OBI T </li></ul><ul><li>Marco para revisar TI </li></ul><ul><li>4 dominios </li></ul><ul><li>Cada dominio con procesos -- 34 en total </li></ul><ul><li>Cada proceso con objetivos de control de alto nivel </li></ul><ul><li>De 3 a 30 objetivos de control detallados </li></ul><ul><li>Estos objetivos provienen de 41 fuentes </li></ul><ul><li>Herramientas navegacionales “cascada”/”cubo” </li></ul><ul><li>Un método lógico y sistemático para definir y comunicar los objetivos de control </li></ul>ÁREAS DE REVISIÓN AUDITORÍA DE SISTEMAS DE INFORMACIÓN CPC. Eduardo Miranda Valdivia
    54. 54. ÁREAS DE REVISIÓN AUDITORÍA DE SISTEMAS DE INFORMACIÓN <ul><li>Control sobre el proceso de TI de: </li></ul><ul><li>Definición de un plan Estratégico de TI </li></ul><ul><li>que satisface los requerimientos del negocio de: </li></ul><ul><ul><li>Lograr un balance óptimo entre las oportunidades de tecnología de información y los requerimientos del negocio para TI, así como para asegurar sus logros futuros. </li></ul></ul><ul><li>se hace posible a través de: </li></ul><ul><ul><ul><li>un proceso de planeación estratégica emprendido en intervalos regulares dando lugar a planes a largo plazo. Los planes a largo plazo deberán ser traducidos periódicamente en planes operacionales estableciendo metas claras y concretas a corto plazo: </li></ul></ul></ul><ul><ul><ul><li>y toma en consideración: </li></ul></ul></ul><ul><ul><ul><ul><li>• Estrategia del negocio de la empresa </li></ul></ul></ul></ul><ul><ul><ul><ul><li>• Definición de cómo TI soporta los objetivos de negocio </li></ul></ul></ul></ul><ul><ul><ul><ul><li>• inventario de soluciones tecnológicas e infraestructura actual </li></ul></ul></ul></ul><ul><ul><ul><ul><li>• Monitoreo del mercado de tecnología </li></ul></ul></ul></ul><ul><ul><ul><ul><li>• Estudios de factibilidad oportunos y chequeos con la realidad </li></ul></ul></ul></ul><ul><ul><ul><ul><li>• Análisis de los sistemas existentes </li></ul></ul></ul></ul><ul><ul><ul><ul><li>• Posición de la empresa sobre riesgos, en el proceso de compra </li></ul></ul></ul></ul><ul><ul><ul><ul><li>• Necesidades de la Admón. senior en el proceso de compra </li></ul></ul></ul></ul>PO1
    55. 55. ÁREAS DE REVISIÓN AUDITORÍA DE SISTEMAS DE INFORMACIÓN <ul><li>DEFINICIÓN DE UN PLAN ESTRATÉGICO DE TI </li></ul><ul><li>1.1 Tecnología de Información como parte del Plan de la </li></ul><ul><li>Organización a corto y largo plazo. </li></ul><ul><li>OBJETIVO DE CONTROL </li></ul><ul><li>La alta gerencia será la responsable de desarrollar e implementar planes a largo y corto plazo que satisfagan la misión y las metas de la organización. A este respecto, la alta gerencia deberá asegurar que los problemas de TI, así como las oportunidades , sean evaluados adecuadamente y reflejados en los planes a largo y corto plazo de la organización. Se deben desarrollar planes de TI a largo y corto plazo para ayudar a asegurar que el uso de la TI esté acorde con la misión y las estrategias de negocio de la organización. </li></ul>
    56. 56. ÁREAS DE REVISIÓN AUDITORÍA DE SISTEMAS DE INFORMACIÓN <ul><li>1.2 Plan a largo plazo de TI </li></ul><ul><ul><li>OBJETIVO DE CONTROL </li></ul></ul><ul><ul><li>La Gerencia de TI y los dueños del proceso de negocio </li></ul></ul><ul><ul><li>serán responsables de desarrollar regularmente planes </li></ul></ul><ul><ul><li>de TI a largo plazo , que apoyen el logro de la misión y </li></ul></ul><ul><ul><li>las metas generales de la organización . El método de </li></ul></ul><ul><ul><li>planeación deberá incluir mecanismos para solicitar </li></ul></ul><ul><ul><li>información a los interesados internos y externos más </li></ul></ul><ul><ul><li>importantes, que se ven afectados por los planes </li></ul></ul><ul><ul><li>estratégicos de TI. De la misma manera, la Gerencia </li></ul></ul><ul><ul><li>deberá implementar un proceso de planeación a largo </li></ul></ul><ul><ul><li>plazo, adoptar un enfoque estructurado y determinar la </li></ul></ul><ul><ul><li>estructura para el plan. </li></ul></ul>CPC. Eduardo Miranda Valdivia
    57. 57. ÁREAS DE REVISIÓN AUDITORÍA DE SISTEMAS DE INFORMACIÓN 1.3 Plan a largo plazo de TI - Enfoque y Estructura OBJETIVO DE CONTROL La Gerencia de TI y los dueños del proceso de negocio deberán establecer y aplicar un enfoque estructurado al proceso de planeación a largo plazo. Esto deberá traer como resultado un plan de alta calidad que cubra las preguntas básicas de qué, quién, cómo, cuándo y por qué el proceso de planeación de TI debe tomar en cuenta los resultados del análisis del riesgo, incluyendo los riesgos del negocio, entorno, tecnología y recursos humanos . Los aspectos que necesitan ser tomados en cuenta y ser cubiertos adecuadamente durante el proceso de planeación incluyen el modelo de organización y sus cambios, la distribución geográfica,la evolución tecnológica , los costos, los requerimientos legales y regulatorios, requerimientos de terceras partes o del mercado, el horizonte de planeación, reingeniería de procesos del negocio, la asignación de personal, outsourcing, datos, sistemas de aplicación y arquitecturas de la tecnología. Los planes de TI, de largo y corto alcance deberán incorporar indicadores y objetivos de desempeño. El plan mismo deberá hacer referencia a otros planes tales como el plan de calidad de la organización y el plan de manejo de riesgos de información.
    58. 58. ÁREAS DE REVISIÓN AUDITORÍA DE SISTEMAS DE INFORMACIÓN <ul><li>1.4 Cambios al Plan a largo plazo de TI </li></ul><ul><li>OBJETIVO DE CONTROL </li></ul><ul><ul><li>La gerencia de TI y los dueños del proceso del negocio </li></ul></ul><ul><ul><li>deberán asegurar que se establezca un proceso con el fin </li></ul></ul><ul><ul><li>de adaptar los cambios al plan a largo plazo de la </li></ul></ul><ul><ul><li>organización y los cambios en las condiciones de la TI. </li></ul></ul><ul><ul><li>La gerencia Senior deberá establecer una política que </li></ul></ul><ul><ul><li>requiera que se desarrollen y se mantengan planes de </li></ul></ul><ul><ul><li>largo y corto plazo de TI. </li></ul></ul>
    59. 59. ÁREAS DE REVISIÓN AUDITORÍA DE SISTEMAS DE INFORMACIÓN <ul><li>1.5 Planeación a corto plazo para la Función de TI </li></ul><ul><li>OBJETIVO DE CONTROL </li></ul><ul><ul><li>La Gerencia de TI y los dueños del proceso del negocio </li></ul></ul><ul><ul><li>deberán asegurar que el plan a largo plazo de TI se </li></ul></ul><ul><ul><li>traduzca regularmente en planes a corto plazo de TI. </li></ul></ul><ul><ul><li>Estos planes a corto plazo deberán asegurar que se </li></ul></ul><ul><ul><li>asignen los recursos apropiados de la función de </li></ul></ul><ul><ul><li>servicios de T I con una base consistente con el plan a </li></ul></ul><ul><ul><li>largo plazo de TI . Los planes a corto plazo deberán ser reevaluados y modificados periódicamente según reconsidere necesario respondiendo a las condiciones de cambios en el negocio y en TI. La realización oportunade estudios de factibilidad deberá asegurar que la </li></ul></ul><ul><ul><li>ejecución de los planes a corto plazo sea iniciada </li></ul></ul><ul><ul><li>adecuadamente. </li></ul></ul>
    60. 60. ÁREAS DE REVISIÓN AUDITORÍA DE SISTEMAS DE INFORMACIÓN <ul><li>1.6 Comunicación de los Planes de TI </li></ul><ul><li>OBJETIVO DE CONTROL </li></ul><ul><ul><li>La gerencia debe asegurar que los planes de largo y </li></ul></ul><ul><ul><li>de corto plazo de tecnología de la información sean </li></ul></ul><ul><ul><li>comunicados a los dueños del proceso del negocio y </li></ul></ul><ul><ul><li>a otras partes relevantes en toda la organización. </li></ul></ul><ul><li>1.7 Monitoreo y Evaluación de los Planes de </li></ul><ul><li>Tecnología de la Información </li></ul><ul><li>OBJETIVO DE CONTROL </li></ul><ul><ul><li>La gerencia debe establecer procesos para captar y </li></ul></ul><ul><ul><li>reportar la retroalimentación de los dueños y usuarios del proceso del negocio respecto a la calidad y utilidad de los planes de largo y de corto plazo. La retroalimentación obtenida debe ser evaluada y considerada en la planeación futura de la tecnología de la información. </li></ul></ul>
    61. 61. ÁREAS DE REVISIÓN AUDITORÍA DE SISTEMAS DE INFORMACIÓN <ul><li>1.8 Evaluación de los Sistemas Existentes </li></ul><ul><li>OBJETIVO DE CONTROL </li></ul><ul><ul><li>Previo al desarrollo o modificación del Plan </li></ul></ul><ul><ul><li>Estratégico o plan a largo plazo de TI, la Gerencia de </li></ul></ul><ul><ul><li>TI debe evaluar los sistemas existentes en términos </li></ul></ul><ul><ul><li>de: nivel de automatización de negocio, </li></ul></ul><ul><ul><li>funcionalidad, estabilidad, complejidad, costo y </li></ul></ul><ul><ul><li>fortalezas y debilidades, con el propósito de </li></ul></ul><ul><ul><li>determinar el nivel de soporte que ofrecen los </li></ul></ul><ul><ul><li>sistemas existentes a los requerimientos del negocio. </li></ul></ul>CPC. Eduardo Miranda Valdivia
    62. 62. ÁREAS DE REVISIÓN AUDITORÍA DE SISTEMAS DE INFORMACIÓN <ul><li>Control sobre el proceso de TI de: </li></ul><ul><li>Definición de la Arquitectura de Información </li></ul><ul><li>que satisface los requerimientos de negocio de: </li></ul><ul><li>organizar de la mejor manera los sistemas de información </li></ul><ul><ul><li>se hace posible a través de: </li></ul></ul><ul><ul><li>la creación y mantenimiento de un modelo de </li></ul></ul><ul><ul><li>información de negocios y asegurando que se definan </li></ul></ul><ul><ul><li>sistemas apropiados para optimizar la utilización de </li></ul></ul><ul><ul><li>esta información </li></ul></ul><ul><ul><ul><li>y toma en consideración: </li></ul></ul></ul><ul><ul><ul><li>• Repositorio automatizado de datos y diccionario </li></ul></ul></ul><ul><ul><ul><li>• reglas de sintaxis de datos </li></ul></ul></ul><ul><ul><ul><li>• propiedad de la información y clasificación con base en criticidad /seguridad </li></ul></ul></ul><ul><ul><ul><li>• un modelo de información que represente el negocio </li></ul></ul></ul><ul><ul><ul><li>• Normas de arquitectura de información de la empresa </li></ul></ul></ul>PO2 CPC. Eduardo Miranda Valdivia
    63. 63. ÁREAS DE REVISIÓN AUDITORÍA DE SISTEMAS DE INFORMACIÓN <ul><li>Control sobre el proceso de TI de: </li></ul><ul><li>determinación de la dirección tecnológica </li></ul><ul><li>que satisface los requerimientos de negocio de: </li></ul><ul><li>aprovechar la tecnología disponible y las que van apareciendo en </li></ul><ul><li>el mercado para impulsar y posibilitar la estrategia del negocio. </li></ul><ul><ul><li>se hace posible a través de: </li></ul></ul><ul><ul><li>la creación y mantenimiento de un plan de infraestructura tecnológica que establece y administra expectativas claras y realistas de lo que puede brindar la tecnología en términos de productos, servicios y mecanismos de entrega </li></ul></ul><ul><ul><ul><li>y toma en consideración: </li></ul></ul></ul><ul><ul><ul><li>• capacidad de la infraestructura actual </li></ul></ul></ul><ul><ul><ul><li>• monitoreo de desarrollos tecnológicos por la vía de fuentes confiables </li></ul></ul></ul><ul><ul><ul><li>• realización de prueba de conceptos </li></ul></ul></ul><ul><ul><ul><li>• riesgos, restricciones y oportunidades </li></ul></ul></ul><ul><ul><ul><li>• planes de adquisición </li></ul></ul></ul><ul><ul><ul><li>• estrategia de migración y mapas alternativos (roadmaps) </li></ul></ul></ul><ul><ul><ul><li>• relaciones con los vendedores </li></ul></ul></ul><ul><ul><ul><li>• reevaluación independiente de la tecnología </li></ul></ul></ul><ul><ul><ul><li>• Cambios de precio /desempeño de hardware y de software </li></ul></ul></ul>PO3
    64. 64. ÁREAS DE REVISIÓN AUDITORÍA DE SISTEMAS DE INFORMACIÓN <ul><li>Control sobre el proceso de TI de: </li></ul><ul><li>definición de la organización y de las relaciones de TI </li></ul><ul><li>que satisface los requerimientos de negocio de: </li></ul><ul><li>prestación de los servicios correctos de TI </li></ul><ul><ul><li>se hace posible a través de: </li></ul></ul><ul><ul><li>una organización conveniente en número y habilidades, con </li></ul></ul><ul><ul><li>tareas y responsabilidades definidas y comunicadas, acordes con el negocio y que facilita la estrategia y provee una dirección efectiva y un control adecuado. </li></ul></ul><ul><ul><ul><li>y toma en consideración: </li></ul></ul></ul><ul><ul><ul><li>• responsabilidades del nivel directivo sobre TI </li></ul></ul></ul><ul><ul><ul><li>• dirección de la gerencia y supervisión de TI </li></ul></ul></ul><ul><ul><ul><li>• Alineación de TI con el negocio </li></ul></ul></ul><ul><ul><ul><li>• participación de TI en los procesos clave de decisión </li></ul></ul></ul><ul><ul><ul><li>• flexibilidad organizacional </li></ul></ul></ul><ul><ul><ul><li>• roles y responsabilidades claras </li></ul></ul></ul><ul><ul><ul><li>• equilibrio entre supervisión y delegación de autoridad </li></ul></ul></ul><ul><ul><ul><li>• descripciones de puestos de trabajo </li></ul></ul></ul><ul><ul><ul><li>• Niveles de asignación de personal y personal clave </li></ul></ul></ul><ul><ul><ul><li>• Ubicación organizacional de las funciones de seguridad, calidad y control interno </li></ul></ul></ul><ul><ul><ul><li>• Segregación de funciones </li></ul></ul></ul>PO4
    65. 65. ÁREAS DE REVISIÓN AUDITORÍA DE SISTEMAS DE INFORMACIÓN <ul><li>Control sobre el proceso de TI de: </li></ul><ul><li>Manejo o administración de la inversión de TI </li></ul><ul><li>que satisface los requerimientos de negocio de: </li></ul><ul><li>asegurar el financiamiento y el control de desembolsos de </li></ul><ul><li>recursos financieros </li></ul><ul><ul><li>se hace posible a través de: </li></ul></ul><ul><ul><li>Inversión periódica y presupuestos operacionales </li></ul></ul><ul><ul><li>establecidos y aprobados por el negocio </li></ul></ul><ul><ul><ul><li>y toma en consideración: </li></ul></ul></ul><ul><ul><ul><li>• alternativas de financiamiento </li></ul></ul></ul><ul><ul><ul><li>• Claros responsables del presupuesto </li></ul></ul></ul><ul><ul><ul><li>• Control sobre los gastos actuales </li></ul></ul></ul><ul><ul><ul><li>• justificación de costos y concienciación sobre el costo total de la propiedad </li></ul></ul></ul><ul><ul><ul><li>• j u s ti f icación del beneficio y contabilización de todos los beneficios </li></ul></ul></ul><ul><ul><ul><li>obtenidos </li></ul></ul></ul><ul><ul><ul><li>• Ciclo de vida del software de aplicación y de la tecnología </li></ul></ul></ul><ul><ul><ul><li>• Alineación con las estrategias del negocio de la empresa </li></ul></ul></ul><ul><ul><ul><li>• Análisis de impacto </li></ul></ul></ul><ul><ul><ul><li>• Administración de los activos </li></ul></ul></ul>PO5
    66. 66. ÁREAS DE REVISIÓN AUDITORÍA DE SISTEMAS DE INFORMACIÓN <ul><li>Control sobre el proceso de TI de: </li></ul><ul><li>comunicación de los objetivos y aspiraciones de la gerencia que satisface los requerimientos de negocio de: </li></ul><ul><li>asegurar que el usuario sea consiente y comprenda dichas aspiraciones </li></ul><ul><ul><li>se hace posible a través de: </li></ul></ul><ul><ul><li>políticas establecidas y transmitidas a la comunidad de usuarios; además, se necesitan estándares para traducirlas opciones estratégicas en reglas de usuario prácticas y utilizables </li></ul></ul><ul><ul><ul><li>y toma en consideración: </li></ul></ul></ul><ul><ul><ul><li>• Misión claramente articulada </li></ul></ul></ul><ul><ul><ul><li>• Directivas tecnológicas vinculadas con aspiraciones de negocios </li></ul></ul></ul><ul><ul><ul><li>• Código de ética / conducta </li></ul></ul></ul><ul><ul><ul><li>• Compromiso con la calidad </li></ul></ul></ul><ul><ul><ul><li>• Políticas de seguridad y control interno </li></ul></ul></ul><ul><ul><ul><li>• Practicas de seguridad y control interno </li></ul></ul></ul><ul><ul><ul><li>• Ejemplos de liderazgo </li></ul></ul></ul><ul><ul><ul><li>• Programación continua de comunicaciones </li></ul></ul></ul><ul><ul><ul><li>• Proveer guías y verificar su cumplimiento </li></ul></ul></ul>PO6 CPC. Eduardo Miranda Valdivia
    67. 67. ÁREAS DE REVISIÓN AUDITORÍA DE SISTEMAS DE INFORMACIÓN <ul><li>Control sobre el proceso de TI de: </li></ul><ul><li>administración de recursos humanos </li></ul><ul><li>que satisface los requerimientos de negocio de: </li></ul><ul><li>Adquirir y mantener una fuerza de trabajo motivada y </li></ul><ul><li>competente y maximizar las contribuciones del personal a los </li></ul><ul><li>procesos de TI </li></ul><ul><ul><li>se hace posible a través de: </li></ul></ul><ul><ul><li>prácticas de administración de personal, sensatas,justas y transparentes para reclutar, alinear, pensionar, compensar, entrenar, promover y despedir </li></ul></ul><ul><ul><ul><li>y toma en consideración: </li></ul></ul></ul><ul><ul><ul><li>• reclutamiento y promoción </li></ul></ul></ul><ul><ul><ul><li>• Entrenamiento y requerimientos de calificaciones </li></ul></ul></ul><ul><ul><ul><li>• desarrollo de conciencia </li></ul></ul></ul><ul><ul><ul><li>• entrenamiento cruzado y rotación de puestos </li></ul></ul></ul><ul><ul><ul><li>• Procedimientos para contratación, veto y despidos </li></ul></ul></ul><ul><ul><ul><li>• evaluación objetiva y medible del desempeño </li></ul></ul></ul><ul><ul><ul><li>• responsabilidades sobre los cambios técnicos y de mercado </li></ul></ul></ul><ul><ul><ul><li>• Balance apropiado de recursos internos y externos </li></ul></ul></ul><ul><ul><ul><li>• Plan de sucesión para posiciones clave </li></ul></ul></ul>PO7 CPC. Eduardo Miranda Valdivia
    68. 68. ÁREAS DE REVISIÓN AUDITORÍA DE SISTEMAS DE INFORMACIÓN <ul><li>Control sobre el proceso de TI de: </li></ul><ul><li>aseguramiento del cumplimiento de requerimientos externos </li></ul><ul><li>que satisface los requerimientos de negocio de: </li></ul><ul><li>cumplir con obligaciones legales, regulatorias y contractuales </li></ul><ul><ul><li>se hace posible a través de: </li></ul></ul><ul><ul><li>la identificación y análisis de los requerimientos </li></ul></ul><ul><ul><li>externos en cuanto a su impacto en TI, y realizando las </li></ul></ul><ul><ul><li>medidas apropiadas para cumplir con ellos </li></ul></ul><ul><ul><ul><li>y toma en consideración: </li></ul></ul></ul><ul><ul><ul><li>• leyes, regulaciones y contratos </li></ul></ul></ul><ul><ul><ul><li>• monitoreo de desarrollos legales y regulatorios </li></ul></ul></ul><ul><ul><ul><li>• Monitoreo regular sobre cumplimiento </li></ul></ul></ul><ul><ul><ul><li>• seguridad y ergonomía </li></ul></ul></ul><ul><ul><ul><li>• privacidad </li></ul></ul></ul><ul><ul><ul><li>• propiedad intelectual </li></ul></ul></ul>PO8
    69. 69. ÁREAS DE REVISIÓN AUDITORÍA DE SISTEMAS DE INFORMACIÓN <ul><li>Control sobre el proceso de TI de: </li></ul><ul><li>análisis de riesgos </li></ul><ul><li>que satisface los requerimientos de negocio de: </li></ul><ul><li>Soportar las decisiones de la gerencia a través del logro de los </li></ul><ul><li>objetivos de TI y responder a las amenazas reduciendo su </li></ul><ul><li>complejidad e incrementando objetivamente e identificando factores importantes de decisión. </li></ul><ul><ul><li>se hace posible a través de: </li></ul></ul><ul><ul><li>la participación de la propia organización en la identificación de riesgos de TI y en el análisis de impacto, involucrando funciones multidisciplinarias y tomando medidas efectivas en coste para mitigar los riesgos </li></ul></ul><ul><ul><ul><li>y toma en consideración: </li></ul></ul></ul><ul><ul><ul><li>• Administración de riesgos de la propiedad y del registro de las operaciones </li></ul></ul></ul><ul><ul><ul><li>• diferentes tipos de riesgos de TI (por ejemplo: tecnológicos, de seguridad, de continuidad, regulatorios, etc.) </li></ul></ul></ul><ul><ul><ul><li>• Definir y comunicar un perfil tolerable de riesgos </li></ul></ul></ul><ul><ul><ul><li>• Análisis de las causas y sesiones de tormenta de ideas sobre riesgos </li></ul></ul></ul><ul><ul><ul><li>• Medición cuantitativa y/o cualitativa de los riesgos </li></ul></ul></ul><ul><ul><ul><li>• metodología de análisis de riesgos </li></ul></ul></ul><ul><ul><ul><li>• Plan de acción contra los riesgos </li></ul></ul></ul><ul><ul><ul><li>• Volver a realiza análisis oportunos </li></ul></ul></ul>PO9
    70. 70. ÁREAS DE REVISIÓN AUDITORÍA DE SISTEMAS DE INFORMACIÓN <ul><li>Control sobre el proceso de TI de: </li></ul><ul><li>administración de proyectos que satisface los </li></ul><ul><li>requerimientos de negocio de: </li></ul><ul><li>establecer prioridades y entregar servicios oportunamente y de </li></ul><ul><li>acuerdo al presupuesto de inversión </li></ul><ul><ul><li>se hace posible a través de: </li></ul></ul><ul><ul><li>La organización identificando y priorizando proyectos en línea con el plan operacional y la adopción y aplicación de técnicas de administración de proyectos para cada proyecto emprendido </li></ul></ul><ul><ul><ul><li>y toma en consideración: </li></ul></ul></ul><ul><ul><ul><li>• El patrocinio que la gerencia de negocios debe dar a los proyectos </li></ul></ul></ul><ul><ul><ul><li>• Administración de programas </li></ul></ul></ul><ul><ul><ul><li>• Capacidad para el manejo de proyectos </li></ul></ul></ul><ul><ul><ul><li>• Involucramiento del usuario </li></ul></ul></ul><ul><ul><ul><li>• División de tareas, puntos de control y aprobación de fases </li></ul></ul></ul><ul><ul><ul><li>• Distribución de responsabilidades </li></ul></ul></ul><ul><ul><ul><li>• Rastreo riguroso de puntos de control y entregables </li></ul></ul></ul><ul><ul><ul><li>• Costos y presupuestos de mano de obra, balance de recursos internos y externos </li></ul></ul></ul><ul><ul><ul><li>• Planes y métodos de aseguramiento de calidad </li></ul></ul></ul><ul><ul><ul><li>• Programa y análisis de riesgos del proyecto </li></ul></ul></ul><ul><ul><ul><li>• Transición de desarrollo a operación </li></ul></ul></ul>PO10
    71. 71. ÁREAS DE REVISIÓN AUDITORÍA DE SISTEMAS DE INFORMACIÓN <ul><li>Control sobre el proceso de TI de: </li></ul><ul><li>Administración de la calidad </li></ul><ul><li>que satisface los requerimientos de negocio de: </li></ul><ul><li>satisfacer los requerimientos del cliente de TI </li></ul><ul><ul><li>se hace posible a través de: </li></ul></ul><ul><ul><li>la planeación, implementación y mantenimiento de estándares de administración de calidad y sistemas provistos para las distintas fases de desarrollo, claros entregables y responsabilidades explícitas </li></ul></ul><ul><ul><ul><li>y toma en consideración: </li></ul></ul></ul><ul><ul><ul><li>• Establecimiento de una cultura de calidad </li></ul></ul></ul><ul><ul><ul><li>• Planes de calidad </li></ul></ul></ul><ul><ul><ul><li>• responsabilidades de aseguramiento de la calidad </li></ul></ul></ul><ul><ul><ul><li>• Practicas de control de calidad </li></ul></ul></ul><ul><ul><ul><li>• metodología del ciclo de vida de desarrollo de sistemas </li></ul></ul></ul><ul><ul><ul><li>• pruebas y documentación de sistemas y programas </li></ul></ul></ul><ul><ul><ul><li>• revisiones y reporte de aseguramiento de calidad </li></ul></ul></ul><ul><ul><ul><li>• Entrenamiento e involucramiento del usuario final y del personal de aseguramiento de calidad </li></ul></ul></ul><ul><ul><ul><li>• Desarrollo de una base de conocimiento de aseguramiento de calidad </li></ul></ul></ul><ul><ul><ul><li>• Benchmarking contra las normas de la industria </li></ul></ul></ul>PO11
    72. 72. ÁREAS DE REVISIÓN AUDITORÍA DE SISTEMAS DE INFORMACIÓN <ul><li>Control sobre el proceso de TI de: </li></ul><ul><li>Identificación de soluciones automatizadas </li></ul><ul><li>que satisface los requerimientos de negocio de: </li></ul><ul><li>asegurar un efectivo y eficiente enfoque para satisfacer los requerimientos del usuario </li></ul><ul><ul><li>se hace posible a través de: </li></ul></ul><ul><ul><li>Una objetiva y clara identificación y análisis de oportunidades alternativas comparadas contra los requerimientos de los usuarios </li></ul></ul><ul><ul><ul><li>y toma en consideración: </li></ul></ul></ul><ul><ul><ul><li>• Conocimientos de soluciones disponibles en el mercado </li></ul></ul></ul><ul><ul><ul><li>• Metodologías de Adquisición e implementación </li></ul></ul></ul><ul><ul><ul><li>• Involucramiento del usuario en el proceso de compra </li></ul></ul></ul><ul><ul><ul><li>• Alineamiento con las estrategias de la empresa y de TI </li></ul></ul></ul><ul><ul><ul><li>• definición de requerimientos de información </li></ul></ul></ul><ul><ul><ul><li>• estudios de factibilidad ( de costo-beneficio, alternativas, etc) </li></ul></ul></ul><ul><ul><ul><li>• Requerimientos de funcionalidad, operatividad, aceptación y sostenimiento </li></ul></ul></ul><ul><ul><ul><li>• Cumplimiento con la arquitectura de información </li></ul></ul></ul><ul><ul><ul><li>• Costo - efectividad de la seguridad y los controles </li></ul></ul></ul><ul><ul><ul><li>• Responsabilidades de los proveedores </li></ul></ul></ul>AI1
    73. 73. ÁREAS DE REVISIÓN AUDITORÍA DE SISTEMAS DE INFORMACIÓN <ul><li>Control sobre el proceso de TI de: </li></ul><ul><li>Identificación de soluciones automatizadas </li></ul><ul><li>que satisface los requerimientos de negocio de: </li></ul><ul><li>asegurar un efectivo y eficiente enfoque para satisfacer los requerimientos del usuario </li></ul><ul><ul><li>se hace posible a través de: </li></ul></ul><ul><ul><li>Una objetiva y clara identificación y análisis de oportunidades alternativas comparadas contra los requerimientos de los usuarios </li></ul></ul><ul><ul><ul><li>y toma en consideración: </li></ul></ul></ul><ul><ul><ul><li>• Conocimientos de soluciones disponibles en el mercado </li></ul></ul></ul><ul><ul><ul><li>• Metodologías de Adquisición e implementación </li></ul></ul></ul><ul><ul><ul><li>• Involucramiento del usuario en el proceso de compra </li></ul></ul></ul><ul><ul><ul><li>• Alineamiento con las estrategias de la empresa y de TI </li></ul></ul></ul><ul><ul><ul><li>• definición de requerimientos de información </li></ul></ul></ul><ul><ul><ul><li>• estudios de factibilidad ( de costo-beneficio, alternativas, etc) </li></ul></ul></ul><ul><ul><ul><li>• Requerimientos de funcionalidad, operatividad, aceptación y sostenimiento </li></ul></ul></ul><ul><ul><ul><li>• Cumplimiento con la arquitectura de información </li></ul></ul></ul><ul><ul><ul><li>• Costo - efectividad de la seguridad y los controles </li></ul></ul></ul><ul><ul><ul><li>• Responsabilidades de los proveedores </li></ul></ul></ul>AI2
    74. 74. ÁREAS DE REVISIÓN AUDITORÍA DE SISTEMAS DE INFORMACIÓN <ul><li>Control sobre el proceso de TI de: </li></ul><ul><li>Definición y administración de niveles de servicio </li></ul><ul><li>que satisface los requerimientos de negocio de: </li></ul><ul><li>establecer un entendimiento común del nivel de servicio </li></ul><ul><li>requerido </li></ul><ul><ul><li>se hace posible a través de: </li></ul></ul><ul><ul><li>el establecimiento de acuerdos de niveles de servicio </li></ul></ul><ul><ul><li>que formalicen los criterios de desempeño contra los </li></ul></ul><ul><ul><li>cuales se medirá la cantidad y la calidad del servicio </li></ul></ul><ul><ul><ul><li>y toma en consideración: </li></ul></ul></ul><ul><ul><ul><li>• Acuerdos o convenios formales </li></ul></ul></ul><ul><ul><ul><li>• definición de responsabilidades </li></ul></ul></ul><ul><ul><ul><li>• tiempos y volúmenes de respuesta </li></ul></ul></ul><ul><ul><ul><li>• cargos </li></ul></ul></ul><ul><ul><ul><li>• garantías de integridad </li></ul></ul></ul><ul><ul><ul><li>• Acuerdos de confidencialidad </li></ul></ul></ul><ul><ul><ul><li>• Criterio de satisfacción del cliente </li></ul></ul></ul><ul><ul><ul><li>• Análisis costo-beneficio de los niveles de servicio requerido </li></ul></ul></ul><ul><ul><ul><li>• Monitoreo y reporte </li></ul></ul></ul>DS1
    75. 75. ÁREAS DE REVISIÓN AUDITORÍA DE SISTEMAS DE INFORMACIÓN <ul><li>Control sobre el proceso de TI de: </li></ul><ul><li>administración de servicios prestados por terceros </li></ul><ul><li>que satisface los requerimientos de negocio de: </li></ul><ul><li>asegurar que los roles y responsabilidades de las terceras partes estén claramente definidas y que cumplan y continúen satisfaciendo los requerimientos </li></ul><ul><ul><li>se hace posible a través de: </li></ul></ul><ul><ul><li>medidas de control dirigidas a la revisión y monitoreo de acuerdos/ contratos y procedimientos existentes, en cuanto a su efectividad y cumplimiento, con respecto a las políticas de la organización </li></ul></ul><ul><ul><ul><li>y toma en consideración: </li></ul></ul></ul><ul><ul><ul><li>• Acuerdos de servicio con terceras partes </li></ul></ul></ul><ul><ul><ul><li>• Administración de contrato </li></ul></ul></ul><ul><ul><ul><li>• Acuerdos de confidencialidad </li></ul></ul></ul><ul><ul><ul><li>• Requerimientos legales y regulatorios </li></ul></ul></ul><ul><ul><ul><li>• Monitoreo y reporte de la entrega de servicio </li></ul></ul></ul><ul><ul><ul><li>• Análisis de riesgos de la empresa y de TI </li></ul></ul></ul><ul><ul><ul><li>• Ejecución de recompensas y sanciones </li></ul></ul></ul><ul><ul><ul><li>• Contabilidad organizacional interna y externa </li></ul></ul></ul><ul><ul><ul><li>• Análisis de costos y variaciones en los niveles de servicio </li></ul></ul></ul>DS2
    76. 76. ÁREAS DE REVISIÓN AUDITORÍA DE SISTEMAS DE INFORMACIÓN <ul><li>Control sobre el proceso de TI de: </li></ul><ul><li>administración de desempeño y capacidad </li></ul><ul><li>que satisface los requerimientos de negocio de: </li></ul><ul><li>asegurar que la capacidad adecuada está disponible y que se esté haciendo el mejor uso de ella para alcanzar el desempeño deseado </li></ul><ul><ul><li>se hace posible a través de: </li></ul></ul><ul><ul><li>Recolección de datos, análisis y reporte del </li></ul></ul><ul><ul><li>rendimiento de los recursos, aplicación de mediciones </li></ul></ul><ul><ul><li>y demanda de cargas de trabajo </li></ul></ul><ul><ul><ul><li>y toma en consideración: </li></ul></ul></ul><ul><ul><ul><li>• requerimientos de disponibilidad y desempeño </li></ul></ul></ul><ul><ul><ul><li>• monitoreo y reporte automatizado </li></ul></ul></ul><ul><ul><ul><li>• herramientas de modelado </li></ul></ul></ul><ul><ul><ul><li>• administración de capacidad </li></ul></ul></ul><ul><ul><ul><li>• disponibilidad de recursos </li></ul></ul></ul><ul><ul><ul><li>• Cambios en precio-rendimiento del hardware y software </li></ul></ul></ul>DS3
    77. 77. ÁREAS DE REVISIÓN AUDITORÍA DE SISTEMAS DE INFORMACIÓN <ul><li>Control sobre el proceso de TI de: </li></ul><ul><li>asegurar el servicio continuo </li></ul><ul><li>que satisface los requerimientos de negocio de: </li></ul><ul><li>Asegurar que los servicios de TI estén disponibles cuando se </li></ul><ul><li>requieran y asegurar el impacto mínimo en el negocio en el </li></ul><ul><li>evento que se presente una interrupción mayor </li></ul><ul><ul><li>se hace posible a través de: </li></ul></ul><ul><ul><li>tener un plan de continuidad de TI probado y funcional, que esté alineado con el plan de continuidad del negocio y relacionado con los requerimientos de negocio </li></ul></ul><ul><ul><ul><li>y toma en consideración: </li></ul></ul></ul><ul><ul><ul><li>• clasificación de criticidad (severidad) </li></ul></ul></ul><ul><ul><ul><li>• Procedimientos alternativos </li></ul></ul></ul><ul><ul><ul><li>• respaldo y recuperación </li></ul></ul></ul><ul><ul><ul><li>• pruebas y entrenamiento sistemáticos y regulares </li></ul></ul></ul><ul><ul><ul><li>• Monitoreo y procesos de escalamiento </li></ul></ul></ul><ul><ul><ul><li>• Responsabilidades organizacionales internas y externas </li></ul></ul></ul><ul><ul><ul><li>• Activación de la continuidad del negocio, vuelta atrás (fallback) y plan de reactivación </li></ul></ul></ul><ul><ul><ul><li>• Actividades de administración de riesgos </li></ul></ul></ul><ul><ul><ul><li>• Análisis de puntos únicos de falla </li></ul></ul></ul><ul><ul><ul><li>• Administración de problemas </li></ul></ul></ul>DS4
    78. 78. ÁREAS DE REVISIÓN AUDITORÍA DE SISTEMAS DE INFORMACIÓN <ul><li>Control sobre el proceso de TI de: </li></ul><ul><li>garantizar la seguridad de los sistemas </li></ul><ul><li>que satisface los requerimientos de negocio de: </li></ul><ul><li>salvaguardar la información contra uso no autorizado, divulgación o revelación, modificación, daño o pérdida </li></ul><ul><ul><li>se hace posible a través de: </li></ul></ul><ul><ul><li>controles de acceso lógico que aseguren que el acceso a sistemas, datos y programas está restringido a usuarios autorizados </li></ul></ul><ul><ul><ul><li>y toma en consideración: </li></ul></ul></ul><ul><ul><ul><li>• Requerimientos de privacidad y confidencialidad </li></ul></ul></ul><ul><ul><ul><li>• Autorización, autenticación y control de acceso </li></ul></ul></ul><ul><ul><ul><li>• identificación de usuarios y perfiles de autorización </li></ul></ul></ul><ul><ul><ul><li>• Necesidad de saber y necesidad de tener </li></ul></ul></ul><ul><ul><ul><li>• administración de llaves criptográficas </li></ul></ul></ul><ul><ul><ul><li>• manejo, reporte y seguimiento de incidentes </li></ul></ul></ul><ul><ul><ul><li>• Prevención y detección de virus </li></ul></ul></ul><ul><ul><ul><li>• Firewalls </li></ul></ul></ul><ul><ul><ul><li>• Administración centralizada de seguridad </li></ul></ul></ul><ul><ul><ul><li>• Entrenamiento a los usuarios </li></ul></ul></ul><ul><ul><ul><li>• Herramientas para monitoreo del cumplimiento, pruebas de intrusión y reportes </li></ul></ul></ul>DS5
    79. 79. ÁREAS DE REVISIÓN AUDITORÍA DE SISTEMAS DE INFORMACIÓN <ul><li>Control sobre el proceso de TI de: </li></ul><ul><li>identificación y asignación de costos </li></ul><ul><li>que satisface los requerimientos de negocio de: </li></ul><ul><li>asegurar un conocimiento correcto de los costos atribuibles a los servicios de TI </li></ul><ul><ul><li>se hace posible a través de: </li></ul></ul><ul><ul><li>un sistema de contabilidad de costos que asegure que éstos sean registrados, calculados y asignados a los niveles de detalle requeridos y al apropiado servicio ofrecido </li></ul></ul><ul><ul><ul><li>y toma en consideración: </li></ul></ul></ul><ul><ul><ul><ul><li>• Recursos identificables y medibles </li></ul></ul></ul></ul><ul><ul><ul><ul><li>• Procedimientos y políticas de cargo </li></ul></ul></ul></ul><ul><ul><ul><ul><li>• Tarifas de cargo y procesos de reversión de </li></ul></ul></ul></ul><ul><ul><ul><ul><li>cargos. </li></ul></ul></ul></ul><ul><ul><ul><ul><li>• Conexión a acuerdo de niveles de servicio </li></ul></ul></ul></ul><ul><ul><ul><ul><li>• Reporte automatizado </li></ul></ul></ul></ul><ul><ul><ul><ul><li>• Verificación de comprensión de beneficios </li></ul></ul></ul></ul><ul><ul><ul><ul><li>• Benchmarking externo </li></ul></ul></ul></ul>DS6
    80. 80. ÁREAS DE REVISIÓN AUDITORÍA DE SISTEMAS DE INFORMACIÓN <ul><li>Control sobre el proceso de TI de: </li></ul><ul><li>educación y entrenamiento de usuarios </li></ul><ul><li>que satisface los requerimientos de negocio de: </li></ul><ul><li>asegurar que los usuarios estén haciendo un uso efectivo de la tecnología y sean conscientes de los riesgos y </li></ul><ul><li>responsabilidades involucrados </li></ul><ul><ul><li>se hace posible a través de: </li></ul></ul><ul><ul><li>un plan completo de entrenamiento y desarrollo </li></ul></ul><ul><ul><ul><li>y toma en consideración: </li></ul></ul></ul><ul><ul><ul><li>• Plan de entrenamiento </li></ul></ul></ul><ul><ul><ul><li>• Inventario de habilidades </li></ul></ul></ul><ul><ul><ul><li>• Campañas de concientización </li></ul></ul></ul><ul><ul><ul><li>• Técnicas de concientización </li></ul></ul></ul><ul><ul><ul><li>• Uso de nuevas tecnologías y métodos de </li></ul></ul></ul><ul><ul><ul><li>entrenamiento </li></ul></ul></ul><ul><ul><ul><li>• Productividad del personal </li></ul></ul></ul><ul><ul><ul><li>• Desarrollo de una base de conocimientos </li></ul></ul></ul>DS7
    81. 81. ÁREAS DE REVISIÓN AUDITORÍA DE SISTEMAS DE INFORMACIÓN <ul><li>Control sobre el proceso de TI de: </li></ul><ul><li>Apoyo y asistencia a los clientes de TI </li></ul><ul><li>que satisface los requerimientos de negocio de: </li></ul><ul><li>asegurar que cualquier problema experimentado por los </li></ul><ul><li>usuarios sea atendido apropiadamente </li></ul><ul><ul><li>se hace posible a través de: </li></ul></ul><ul><ul><li>un help desk, o mesa de control y ayuda, que </li></ul></ul><ul><ul><li>proporcione soporte y asesoría de primera línea </li></ul></ul><ul><ul><ul><li>y toma en consideración: </li></ul></ul></ul><ul><ul><ul><li>• consultas de los clientes y respuesta a </li></ul></ul></ul><ul><ul><ul><li>problemas </li></ul></ul></ul><ul><ul><ul><li>• monitoreo de consultas y respuestas </li></ul></ul></ul><ul><ul><ul><li>• análisis y reporte de tendencias </li></ul></ul></ul><ul><ul><ul><li>• Desarrollo de una base de conocimientos </li></ul></ul></ul><ul><ul><ul><li>• Análisis de las causas </li></ul></ul></ul><ul><ul><ul><li>• Escalamiento y seguimiento de problemas </li></ul></ul></ul>DS8 CPC. Eduardo Miranda Valdivia
    82. 82. ÁREAS DE REVISIÓN AUDITORÍA DE SISTEMAS DE INFORMACIÓN <ul><li>Control sobre el proceso de TI de: </li></ul><ul><li>Administración de la configuración </li></ul><ul><li>que satisface los requerimientos de negocio de: </li></ul><ul><li>dar cuenta de todos los componentes de TI, prevenir </li></ul><ul><li>alteraciones no autorizadas, verificar la existencia física y </li></ul><ul><li>proporcionar una base para la sana administración del cambio </li></ul><ul><ul><li>se hace posible a través de: </li></ul></ul><ul><ul><li>controles que identifiquen y registren todos los activos de TI así como su localización física y un programa regular de verificación que confirme su existencia </li></ul></ul><ul><ul><ul><li>y toma en consideración: </li></ul></ul></ul><ul><ul><ul><li>• registro de activos </li></ul></ul></ul><ul><ul><ul><li>• administración de cambios en la configuración </li></ul></ul></ul><ul><ul><ul><li>• chequeo de software no autorizado </li></ul></ul></ul><ul><ul><ul><li>• controles de almacenamiento de software </li></ul></ul></ul><ul><ul><ul><li>• Integración e interrelación de hardware y </li></ul></ul></ul><ul><ul><ul><li>software </li></ul></ul></ul><ul><ul><ul><li>• Uso de herramientas automatizadas </li></ul></ul></ul>DS9
    83. 83. ÁREAS DE REVISIÓN AUDITORÍA DE SISTEMAS DE INFORMACIÓN <ul><li>Control sobre el proceso de TI de: </li></ul><ul><li>administración de problemas e incidentes </li></ul><ul><li>que satisface los requerimientos de negocio de: </li></ul><ul><li>asegurar que los problemas e incidentes sean resueltos y que sus causas sean investigadas para prevenir cualquier </li></ul><ul><li>recurrencia </li></ul><ul><ul><li>se hace posible a través de: </li></ul></ul><ul><ul><li>un sistema de administración de problemas que </li></ul></ul><ul><ul><li>registre y dé seguimiento a todos los incidentes </li></ul></ul><ul><ul><ul><li>y toma en consideración: </li></ul></ul></ul><ul><ul><ul><li>• pistas de auditoría de problemas y soluciones </li></ul></ul></ul><ul><ul><ul><li>• resolución oportuna de problemas reportados </li></ul></ul></ul><ul><ul><ul><li>• procedimientos de escalamiento </li></ul></ul></ul><ul><ul><ul><li>• reportes de incidentes </li></ul></ul></ul><ul><ul><ul><li>• accesibilidad a la información de la configuración </li></ul></ul></ul><ul><ul><ul><li>• responsabilidades del proveedor </li></ul></ul></ul><ul><ul><ul><li>• coordinación con la administración de cambios </li></ul></ul></ul>DS10 CPC. Eduardo Miranda Valdivia
    84. 84. ÁREAS DE REVISIÓN AUDITORÍA DE SISTEMAS DE INFORMACIÓN <ul><li>Control sobre el proceso de TI de: </li></ul><ul><li>Administración de datos </li></ul><ul><li>que satisface los requerimientos de negocio de: </li></ul><ul><li>asegurar que los datos permanezcan completos, precisos y válidos durante su entrada, actualización y almacenamiento </li></ul><ul><ul><li>se hace posible a través de: </li></ul></ul><ul><ul><li>una combinación efectiva de controles generales y de </li></ul></ul><ul><ul><li>aplicación sobre las operaciones de TI </li></ul></ul><ul><ul><ul><li>y toma en consideración: </li></ul></ul></ul><ul><ul><ul><li>• diseño de formatos </li></ul></ul></ul><ul><ul><ul><li>• controles sobre documentos fuente </li></ul></ul></ul><ul><ul><ul><li>• controles de entrada, procesamiento y salida </li></ul></ul></ul><ul><ul><ul><li>• identificación, movimiento y administración de la librería de medios </li></ul></ul></ul><ul><ul><ul><li>• Recuperación y almacenamiento de datos </li></ul></ul></ul><ul><ul><ul><li>• autenticación e integridad </li></ul></ul></ul><ul><ul><ul><li>• propiedad de datos </li></ul></ul></ul><ul><ul><ul><li>• políticas de administración de datos </li></ul></ul></ul><ul><ul><ul><li>• modelos de datos y estándares de representación de datos </li></ul></ul></ul><ul><ul><ul><li>• integración y consistencia en todas las plataformas </li></ul></ul></ul><ul><ul><ul><li>• requisitos legales y regulatorios </li></ul></ul></ul>DS11
    85. 85. ÁREAS DE REVISIÓN AUDITORÍA DE SISTEMAS DE INFORMACIÓN <ul><li>Control sobre el proceso de TI de: </li></ul><ul><li>Administración de instalaciones (sitios donde se procesa información) </li></ul><ul><li>que satisface los requerimientos de negocio de: </li></ul><ul><li>proporcionar un ambiente físico conveniente que proteja los equipos y al personal de TI contra peligros naturales o fallas humanas </li></ul><ul><ul><li>se hace posible a través de: </li></ul></ul><ul><ul><li>la instalación de controles físicos y ambientales adecuados que sean revisados regularmente para garantizar su adecuado funcionamiento </li></ul></ul><ul><ul><ul><li>y toma en consideración: </li></ul></ul></ul><ul><ul><ul><li>• acceso a instalaciones </li></ul></ul></ul><ul><ul><ul><li>• identificación del sitio (instalación) </li></ul></ul></ul><ul><ul><ul><li>• seguridad física </li></ul></ul></ul><ul><ul><ul><li>• Políticas de inspección y escalamiento </li></ul></ul></ul><ul><ul><ul><li>• Plan de continuidad de negocios y administración de crisis </li></ul></ul></ul><ul><ul><ul><li>• salud y seguridad del personal </li></ul></ul></ul><ul><ul><ul><li>• Políticas de mantenimiento preventivo </li></ul></ul></ul><ul><ul><ul><li>• protección contra amenazas ambientales </li></ul></ul></ul><ul><ul><ul><li>• Monitoreo automatizado </li></ul></ul></ul>DS12
    86. 86. ÁREAS DE REVISIÓN AUDITORÍA DE SISTEMAS DE INFORMACIÓN <ul><li>Control sobre el proceso de TI de: </li></ul><ul><li>administración de operaciones </li></ul><ul><li>que satisface los requerimientos de negocio de: </li></ul><ul><li>asegurar que las funciones importantes de soporte de TI estén </li></ul><ul><li>siendo llevadas a cabo regularmente y de una manera ordenada </li></ul><ul><ul><li>se hace posible a través de: </li></ul></ul><ul><ul><li>una programación o planeación de las actividades que sea </li></ul></ul><ul><ul><li>registrada y diligenciada con base en el cumplimiento de </li></ul></ul><ul><ul><li>todas las actividades </li></ul></ul><ul><ul><ul><li>y toma en consideración: </li></ul></ul></ul><ul><ul><ul><li>• manual de procedimiento de operaciones </li></ul></ul></ul><ul><ul><ul><li>• documentación para el inicio de procesos </li></ul></ul></ul><ul><ul><ul><li>• administración de servicios de red </li></ul></ul></ul><ul><ul><ul><li>• Programación del personal y cargas de trabajo </li></ul></ul></ul><ul><ul><ul><li>• proceso de cambio de turno </li></ul></ul></ul><ul><ul><ul><li>• registro de eventos del sistema </li></ul></ul></ul><ul><ul><ul><li>• Coordinación con las áreas de administración de cambios, disponibilidad y manejo continuo de negocios </li></ul></ul></ul><ul><ul><ul><li>• Mantenimiento preventivo </li></ul></ul></ul><ul><ul><ul><li>• Acuerdos de niveles de servicio </li></ul></ul></ul><ul><ul><ul><li>• Operaciones automatizadas </li></ul></ul></ul><ul><ul><ul><li>• Registro, rastreo y escalamiento de incidentes </li></ul></ul></ul>DS13
    87. 87. ÁREAS DE REVISIÓN AUDITORÍA DE SISTEMAS DE INFORMACIÓN <ul><li>Control sobre el proceso de TI de: </li></ul><ul><li>monitoreo del proceso </li></ul><ul><li>que satisface los requerimientos de negocio de: </li></ul><ul><li>asegurar el logro de los objetivos establecidos para los procesos de TI </li></ul><ul><ul><li>se hace posible a través de: </li></ul></ul><ul><ul><li>la definición de indicadores de desempeño </li></ul></ul><ul><ul><li>gerenciales, el reporte oportuno y sistemático del </li></ul></ul><ul><ul><li>desempeño y la oportuna acción sobre las </li></ul></ul><ul><ul><li>desviaciones </li></ul></ul><ul><ul><ul><li>y toma en consideración: </li></ul></ul></ul><ul><ul><ul><li>• Tarjetas de decisión (scorecards) con indicadores de desempeño y medición de resultados </li></ul></ul></ul><ul><ul><ul><li>• evaluación de la satisfacción de clientes </li></ul></ul></ul><ul><ul><ul><li>• reportes gerenciales </li></ul></ul></ul><ul><ul><ul><li>• Base de conocimientos del desempeño histórico </li></ul></ul></ul><ul><ul><ul><li>• Benchmarking externo </li></ul></ul></ul>M1
    88. 88. ÁREAS DE REVISIÓN AUDITORÍA DE SISTEMAS DE INFORMACIÓN <ul><li>Control sobre el proceso de TI: </li></ul><ul><li>Evaluar lo adecuado del control interno </li></ul><ul><li>que satisface los requerimientos de negocio de: </li></ul><ul><li>asegurar el logro de los objetivos de control interno </li></ul><ul><li>establecidos para los procesos de TI </li></ul><ul><ul><li>se hace posible a través de: </li></ul></ul><ul><ul><li>el compromiso de la Gerencia de monitorear los </li></ul></ul><ul><ul><li>controles internos, evaluar su efectividad y emitir </li></ul></ul><ul><ul><li>reportes sobre ellos en forma regular </li></ul></ul><ul><ul><ul><li>y toma en consideración: </li></ul></ul></ul><ul><ul><ul><li>• Responsabilidades para el control interno </li></ul></ul></ul><ul><ul><ul><li>• Monitoreo del control interno en proceso </li></ul></ul></ul><ul><ul><ul><li>• benchmarks </li></ul></ul></ul><ul><ul><ul><li>• reportes de errores y excepciones </li></ul></ul></ul><ul><ul><ul><li>• autoevaluaciones </li></ul></ul></ul><ul><ul><ul><li>• reportes gerenciales </li></ul></ul></ul><ul><ul><ul><li>• Cumplimiento con los requerimientos legales y regulatorios </li></ul></ul></ul>M2 CPC. Eduardo Miranda Valdivia
    89. 89. ÁREAS DE REVISIÓN AUDITORÍA DE SISTEMAS DE INFORMACIÓN <ul><li>Control sobre el proceso de TI de: </li></ul><ul><li>obtención de aseguramiento independiente </li></ul><ul><li>que satisface los requerimientos de negocio de: </li></ul><ul><li>incrementar los niveles de confianza entre la organización, </li></ul><ul><li>clientes y proveedores externos </li></ul><ul><ul><li>se hace posible a través de: </li></ul></ul><ul><ul><li>revisiones de aseguramiento independientes llevadas a </li></ul></ul><ul><ul><li>cabo en intervalos regulares </li></ul></ul><ul><ul><ul><li>y toma en consideración: </li></ul></ul></ul><ul><ul><ul><li>• certificaciones / acreditaciones independientes </li></ul></ul></ul><ul><ul><ul><li>• evaluaciones independientes de efectividad </li></ul></ul></ul><ul><ul><ul><li>• aseguramiento independiente sobre cumplimiento de requerimientos legales y regulatorios </li></ul></ul></ul><ul><ul><ul><li>• aseguramiento independiente del cumplimiento de compromisos contractuales </li></ul></ul></ul><ul><ul><ul><li>• revisiones y benchmarking a proveedores externos de servicios </li></ul></ul></ul><ul><ul><ul><li>• Revisión por personal calificado del aseguramiento de desempeño </li></ul></ul></ul><ul><ul><ul><li>• involucramiento proactivo de la auditoría </li></ul></ul></ul>M3 CPC. Eduardo Miranda Valdivia
    90. 90. ÁREAS DE REVISIÓN AUDITORÍA DE SISTEMAS DE INFORMACIÓN <ul><li>Control sobre el proceso de TI de: </li></ul><ul><li>proveer auditoría independiente </li></ul><ul><li>que satisface los requerimientos de negocio de: </li></ul><ul><li>incrementar los niveles de confianza y beneficiarse de </li></ul><ul><li>recomendaciones basadas en mejores prácticas </li></ul><ul><ul><li>se hace posible a través de: </li></ul></ul><ul><ul><li>auditorías independientes desarrolladas a intervalos </li></ul></ul><ul><ul><li>regulares </li></ul></ul><ul><ul><ul><li>y toma en consideración: </li></ul></ul></ul><ul><ul><ul><li>• independencia de auditoría </li></ul></ul></ul><ul><ul><ul><li>• involucramiento proactivo de la auditoría </li></ul></ul></ul><ul><ul><ul><li>• ejecución de auditorías por parte de personal calificado </li></ul></ul></ul><ul><ul><ul><li>• aclaración de resultados y recomendaciones </li></ul></ul></ul><ul><ul><ul><li>• actividades de seguimiento </li></ul></ul></ul><ul><ul><ul><li>• Evaluación del impacto de las recomendaciones de la auditoria (costos, beneficios, y riesgos) </li></ul></ul></ul>M4 CPC. Eduardo Miranda Valdivia
    91. 91. ÁREAS DE REVISIÓN AUDITORÍA DE SISTEMAS DE INFORMACIÓN CPC. Eduardo Miranda Valdivia
    92. 92. <ul><ul><ul><ul><ul><li>INDICE </li></ul></ul></ul></ul></ul><ul><ul><ul><li>Introducción </li></ul></ul></ul><ul><ul><ul><ul><ul><li>Marco de referencia </li></ul></ul></ul></ul></ul><ul><ul><ul><ul><ul><li>Objetivos de Control </li></ul></ul></ul></ul></ul><ul><ul><ul><ul><ul><li>Directrices de auditoría </li></ul></ul></ul></ul></ul><ul><ul><ul><ul><ul><li>Directrices gerenciales </li></ul></ul></ul></ul></ul><ul><ul><ul><ul><ul><li>Guía para la implementación </li></ul></ul></ul></ul></ul>ÁREAS DE REVISIÓN AUDITORÍA DE SISTEMAS DE INFORMACIÓN CPC. Eduardo Miranda Valdivia
    93. 93. <ul><ul><ul><ul><ul><li>INDICE </li></ul></ul></ul></ul></ul><ul><ul><ul><li>Introducción </li></ul></ul></ul><ul><ul><ul><ul><ul><li>Marco de referencia </li></ul></ul></ul></ul></ul><ul><ul><ul><ul><ul><li>Objetivos de Control </li></ul></ul></ul></ul></ul><ul><ul><ul><ul><ul><li>Directrices de auditoría </li></ul></ul></ul></ul></ul><ul><ul><ul><ul><ul><li>Directrices gerenciales </li></ul></ul></ul></ul></ul><ul><ul><ul><ul><ul><li>Guía para la implementación </li></ul></ul></ul></ul></ul>ÁREAS DE REVISIÓN AUDITORÍA DE SISTEMAS DE INFORMACIÓN CPC. Eduardo Miranda Valdivia
    94. 94. Directrices de Auditoría 1 Directriz genérica 34 Directrices orientadas a procesos ÁREAS DE REVISIÓN AUDITORÍA DE SISTEMAS DE INFORMACIÓN CPC. Eduardo Miranda Valdivia
    95. 95. ÁREAS DE REVISIÓN AUDITORÍA DE SISTEMAS DE INFORMACIÓN CPC. Eduardo Miranda Valdivia
    96. 96. ÁREAS DE REVISIÓN AUDITORÍA DE SISTEMAS DE INFORMACIÓN CPC. Eduardo Miranda Valdivia
    97. 97. Directriz Genérica de Auditoría ÁREAS DE REVISIÓN AUDITORÍA DE SISTEMAS DE INFORMACIÓN CPC. Eduardo Miranda Valdivia
    98. 98. ÁREAS DE REVISIÓN AUDITORÍA DE SISTEMAS DE INFORMACIÓN <ul><li>1) OBTENCIÓN DE UN ENTENDIMIENTO </li></ul><ul><li>Los pasos de auditoría que se deben realizar para documentar las actividades que generan inconvenientes a los objetivos de control, así como también identificar las medidas/procedimientos de control establecidas. </li></ul><ul><li>Entrevistar al personal administrativo y de staff apropiado para lograr la comprensión de: </li></ul><ul><ul><li>• Los requerimientos del negocio y los riesgos asociados </li></ul></ul><ul><ul><li>• La estructura organizacional </li></ul></ul><ul><ul><li>• Los roles y responsabilidades </li></ul></ul><ul><ul><li>• Políticas y procedimientos </li></ul></ul><ul><ul><li>• Leyes y regulaciones </li></ul></ul><ul><ul><li>• Las medidas de control establecidas </li></ul></ul><ul><ul><li>• La actividad de reporte a la administración (estatus, </li></ul></ul><ul><ul><li>desempeño, acciones) </li></ul></ul><ul><li>Documentar el proceso relacionado con los recursos de TI que se ven especialmente afectados por el proceso bajo revisión. Confirmar el entendimiento del proceso bajo revisión, los Indicadores Clave de Desempeño (KPI) del proceso, las implicaciones de control, por ejemplo, mediante una revisión paso a paso del proceso. </li></ul>
    99. 99. ÁREAS DE REVISIÓN AUDITORÍA DE SISTEMAS DE INFORMACIÓN <ul><li>2) EVALUACIÓN DE LOS CONTROLES </li></ul><ul><li>Los pasos de auditoría a ejecutar en la evaluación de la eficacia de las medidas de control establecidas o el grado en el que se logra el objetivo de control. Básicamente, decidir qué se va a probar, si se va a probar y cómo se va a probar. </li></ul><ul><li>Evaluar la conveniencia de las medidas de control para el proceso bajo revisión mediante la consideración de los criterios identificados </li></ul><ul><li>y las prácticas estándares de la industria, los Factores Críticos de Éxito (CSF) de las medidas de control y la aplicación del juicio profesional de auditor. </li></ul><ul><ul><li>• Existen procesos documentados </li></ul></ul><ul><ul><li>• Existen resultados apropiados </li></ul></ul><ul><ul><li>• La responsabilidad y el registro de las operaciones son claros y efectivos </li></ul></ul><ul><ul><li>• Existen controles compensatorios, en donde es necesario </li></ul></ul><ul><li>Concluir el grado en que se cumple el objetivo de control. </li></ul>
    100. 100. ÁREAS DE REVISIÓN AUDITORÍA DE SISTEMAS DE INFORMACIÓN 3) VALORACIÓN DEL CUMPLIMIENTO Los pasos de auditoría a realizar para asegurar que las medidas de control establecidas estén funcionando como es debido, de manera consistente y continua, y concluir sobre la conveniencia del ambiente de control. Obtener evidencia directa o indirecta de puntos/períodos seleccionados para asegurarse que se ha cumplido con los procedimientos durante el período de revisión, utilizando evidencia tanto directa como indirecta. Realizar una revisión limitada de la suficiencia de los resultados del proceso. Determinar el nivel de pruebas sustantivas y trabajo adicional necesarios para asegurar que el proceso de TI es adecuado.
    101. 101. ÁREAS DE REVISIÓN AUDITORÍA DE SISTEMAS DE INFORMACIÓN 4) JUSTIFICAR/COMPROBAR EL RIESGO Los pasos de auditoría a realizar para justificar el riesgo de que no se cumpla el objetivo de control mediante el uso de técnicas analíticas y/o consultas a fuentes alternativas. El objetivo es respaldar la opinión e “impresionar” a la administración para que tome acción. Los auditores tienen que ser creativos para encontrar y presentar esta información que con frecuencia es sensible y confidencial. Documentar las debilidades de control y las amenazas y vulnerabilidades resultantes. Identificar y documentar el impacto real y potencial; por ejemplo, mediante el análisis de causa-efecto. Brindar información comparativa; por ejemplo, mediante benchmarks.
    102. 102. ÁREAS DE REVISIÓN AUDITORÍA DE SISTEMAS DE INFORMACIÓN CPC. Eduardo Miranda Valdivia
    103. 103. ÁREAS DE REVISIÓN AUDITORÍA DE SISTEMAS DE INFORMACIÓN CPC. Eduardo Miranda Valdivia
    104. 104. Directrices de auditoría Son sólo un punto de inicio para identificar tareas asociadas con determinados objetivos de control de proceso. ÁREAS DE REVISIÓN AUDITORÍA DE SISTEMAS DE INFORMACIÓN CPC. Eduardo Miranda Valdivia
    105. 105. ÁREAS DE REVISIÓN AUDITORÍA DE SISTEMAS DE INFORMACIÓN CPC. Eduardo Miranda Valdivia
    106. 106. ÁREAS DE REVISIÓN AUDITORÍA DE SISTEMAS DE INFORMACIÓN PO 1 DEFINIR UN PLAN ESTRATÉGICO DE TI Objetivos de control 1.- TI como parte del Plan a largo y corto plazo 2.- Plan a largo plazo de TI 3.- Plan a largo plazo de TI - Enfoque y Estructura 4.- Cambios al Plan a largo plazo de TI 5.- Planeación a corto plazo para la Función de Servicios de Información 6.- Comunicación de los planes de TI 7.- Monitoreo y evaluación de los planes de TI 8.- Evaluación de los sistemas existentes CPC. Eduardo Miranda Valdivia
    107. 107. ÁREAS DE REVISIÓN AUDITORÍA DE SISTEMAS DE INFORMACIÓN <ul><li>Obtener un entendimiento a través de: </li></ul><ul><li>􀃖 Entrevistas : </li></ul><ul><ul><li>Director General (Chief Executive Officer) </li></ul></ul><ul><ul><li>Director de Operaciones (Chief Operations Officer) </li></ul></ul><ul><ul><li>Director de Finanzas (Chief Financial Officer) </li></ul></ul><ul><ul><li>Director de TI (Chief Information Officer) </li></ul></ul><ul><ul><li>Miembros del comité de planeación/dirección de la función de servicios de información. </li></ul></ul><ul><ul><li>Gerencia de TI y personal de apoyo de RRHH </li></ul></ul><ul><li>􀃖 Obteniendo : </li></ul><ul><ul><li>Políticas y procedimientos inherentes al proceso de planeación. </li></ul></ul><ul><ul><li>Roles y responsabilidades del equipo de Dirección </li></ul></ul><ul><ul><li>Objetivos de la Organización a largo y corto plazo </li></ul></ul><ul><ul><li>Objetivos de TI a largo y corto plazo </li></ul></ul><ul><ul><li>Reportes y minutas de seguimiento de las reuniones del comité de Planeación/Dirección </li></ul></ul>
    108. 108. ÁREAS DE REVISIÓN AUDITORÍA DE SISTEMAS DE INFORMACIÓN <ul><li>Evaluar los controles: </li></ul><ul><li>􀃖 Considerando si: </li></ul><ul><ul><li>Las políticas y procedimientos de negocios de la función de servicios de información siguen un enfoque de planeación estructurado. Se ha establecido una metodología para formular y modificar los planes y que cubre, como mínimo: </li></ul></ul><ul><ul><li>misión y las metas de la organización </li></ul></ul><ul><ul><li>iniciativas de tecnología de información para soportar la misión y las metas de la organización </li></ul></ul><ul><ul><li>oportunidades para las iniciativas de tecnología de información </li></ul></ul><ul><ul><li>estudios de factibilidad de las iniciativas de tecnología de información </li></ul></ul><ul><ul><li>evaluación de los riesgos de las iniciativas de tecnología de información </li></ul></ul><ul><ul><li>inversión óptima de las inversiones en tecnología de información actuales y futuras </li></ul></ul><ul><ul><li>reingeniería de las iniciativas de tecnología de información para reflejar los cambios en la misión y las metas de la organización </li></ul></ul><ul><ul><li>evaluación de las estrategias alternativas para las aplicaciones de datos, tecnología y organización </li></ul></ul>CPC. Eduardo Miranda Valdivia
    109. 109. ÁREAS DE REVISIÓN AUDITORÍA DE SISTEMAS DE INFORMACIÓN Los cambios organizacionales, la evolución tecnológica, los requerimientos regulatorios, la reingeniería de los procesos de negocios, el in-sourcing y el outsourcing, las áreas de apoyo, etc. están siendo consideradas y dirigidas adecuadamente en el proceso de planeación. Existen planes de tecnología de información a corto y largo plazo, están actualizados, están dirigidos adecuadamente a toda la empresa, su misión y funciones clave de negocios. Los proyectos de TI están soportados por la documentación apropiada según lo definido en la metodología de planeación de tecnología de información. Existen puntos de revisión para asegurar que los objetivos de tecnología de información y los planes a corto y largo plazo continúan satisfaciendo los objetivos y los planes a corto y largo plazo de la organización.
    110. 110. ÁREAS DE REVISIÓN AUDITORÍA DE SISTEMAS DE INFORMACIÓN Los propietarios de procesos y la Gerencia llevan a cabo revisiones y aprobaciones formales a los planes de TI. El plan de tecnología de información evalúa los sistemas de información existentes en términos del grado de automatización, funcionalidad, estabilidad, complejidad, costos, fortalezas y debilidades del negocio. La ausencia de planeación a largo plazo para los sistemas de información y la estructura que lo soporta resulta en sistemas que no soportan los objetivos de la empresa ni los procesos del negocio, o no proveen integridad, seguridad y control apropiados. CPC. Eduardo Miranda Valdivia
    111. 111. ÁREAS DE REVISIÓN AUDITORÍA DE SISTEMAS DE INFORMACIÓN Evaluar la suficiencia: Probando que: Las minutas de las reuniones del comité de Planeación de la función de servicios de información reflejan el proceso de planeación. Los entregables de la metodología de planeación existen según lo indicado. Se incluyen iniciativas de tecnología de información relevantes en los planes a corto y largo plazos de la función de servicios de información (por ejemplo, cambios de hardware, planeación de capacidad, arquitectura de información, desarrollo u obtención de nuevos sistemas, planeación de recuperación en caso de desastre, instalación de plataformas para nuevos procesamientos, etc.). Las iniciativas de tecnología de información soportan la investigación, el entrenamiento, la asignación de personal, las instalaciones, el hardware y el software.
    112. 112. ÁREAS DE REVISIÓN AUDITORÍA DE SISTEMAS DE INFORMACIÓN Evaluar la suficiencia: Probando que: Se han identificado las implicaciones técnicas para las iniciativas de tecnología de información Se ha tomado en consideración la optimización de las inversiones de tecnología de información actuales y futuras Los planes a corto y largo plazo de tecnología de información son consistentes con los planes a corto y largo plazo de la organización, así como con los requerimientos de ésta. Se han modificado los planes para reflejar condiciones cambiantes. Los planes a largo plazo de tecnología de información son traducidos periódicamente en planes a corto plazo. Existen tareas para implementar los planes.
    113. 113. ÁREAS DE REVISIÓN AUDITORÍA DE SISTEMAS DE INFORMACIÓN Comprobar el riesgo de los objetivos de control no cumplidos: Llevando a cabo : Mediciones (&quot;Benchmarking&quot;) de planes estratégicos de tecnología de información contra organizaciones similares o apropiados estándares internacionales reconocidos como buenas prácticas de la industria. Una revisión detallada de los planes de TI para asegurar que las iniciativas de tecnología de información reflejen la misión y las metas de la organización. Una revisión detallada de los planes de TI para determinar si, como parte de las soluciones de tecnología de información contenidas en los planes, se han identificado áreas débiles dentro de la organización que requieren ser mejoradas.
    114. 114. ÁREAS DE REVISIÓN AUDITORÍA DE SISTEMAS DE INFORMACIÓN Comprobar el riesgo de los objetivos de control no cumplidos: Identificando: Fallas en la tecnología de información para satisfacer la misión y las metas de la organización. Fallas en la tecnología de información para concordar con los planes a corto y largo plazo. Fallas en los proyectos de TI para satisfacer los planes a corto plazo. Fallas en la tecnología de información para satisfacer lineamientos de costos y tiempos. Oportunidades de negocios no aprovechadas. Oportunidades no aprovechadas por TI.
    115. 115. <ul><ul><ul><ul><ul><li>INDICE </li></ul></ul></ul></ul></ul><ul><ul><ul><li>Introducción </li></ul></ul></ul><ul><ul><ul><ul><ul><li>Marco de referencia </li></ul></ul></ul></ul></ul><ul><ul><ul><ul><ul><li>Objetivos de Control </li></ul></ul></ul></ul></ul><ul><ul><ul><ul><ul><li>Directrices de auditoría </li></ul></ul></ul></ul></ul><ul><ul><ul><ul><ul><li>Directrices gerenciales </li></ul></ul></ul></ul></ul><ul><ul><ul><ul><ul><li>Guía para la implementación </li></ul></ul></ul></ul></ul>ÁREAS DE REVISIÓN AUDITORÍA DE SISTEMAS DE INFORMACIÓN CPC. Eduardo Miranda Valdivia
    116. 116. ÁREAS DE REVISIÓN AUDITORÍA DE SISTEMAS DE INFORMACIÓN CPC. Eduardo Miranda Valdivia
    117. 117.  
    118. 118. ÁREAS DE REVISIÓN AUDITORÍA DE SISTEMAS DE INFORMACIÓN Factores críticos de éxito CPC. Eduardo Miranda Valdivia
    119. 119. Indicadores clave de desempeño (KPI) ÁREAS DE REVISIÓN AUDITORÍA DE SISTEMAS DE INFORMACIÓN CPC. Eduardo Miranda Valdivia
    120. 120. <ul><li>K G I ( g oal/ objetivo) </li></ul><ul><ul><li>indicadores medibles </li></ul></ul><ul><ul><li>del proceso para conseguir </li></ul></ul><ul><ul><li>su objetivo </li></ul></ul><ul><li>f(Req. Del negocio de la « cascada ») </li></ul><ul><li>Influenciados por los criterios de información </li></ul><ul><li>primarios y secundarios </li></ul><ul><li>Una fuente potencial puede encontrarse en la sección « sustanciar el riesgo » de las directrices de auditoría de COBIT </li></ul>Indicadores clave de objetivos (KGI) ÁREAS DE REVISIÓN AUDITORÍA DE SISTEMAS DE INFORMACIÓN CPC. Eduardo Miranda Valdivia
    121. 121. <ul><li>Genéricas y orientadas a la acción </li></ul><ul><li>Con el proposition de </li></ul><ul><ul><li>Perfilar el control de TI – qué es importante? </li></ul></ul><ul><ul><li>Conciencia – dónde está el riesgo? </li></ul></ul><ul><ul><li>Benchmarking – qué hacen los demás? </li></ul></ul><ul><li>Soportar la toma de decisiones y supervisión </li></ul><ul><ul><li>Indicadores claves de desempeño para procesos TI </li></ul></ul><ul><ul><li>Factores críticos de éxito de los controles </li></ul></ul><ul><ul><li>Alternativas de implementación de los controles </li></ul></ul>Directrices gerenciales ÁREAS DE REVISIÓN AUDITORÍA DE SISTEMAS DE INFORMACIÓN
    122. 122. Modelos de madurez para autoevaluación ÁREAS DE REVISIÓN AUDITORÍA DE SISTEMAS DE INFORMACIÓN CPC. Eduardo Miranda Valdivia
    123. 123. DIMENSIONES DEL MODELO DE MADUREZ • Entendimiento y conocimiento de los riesgos y de los problemas de control • Capacitación y comunicación aplicadas a los problemas • Proceso y prácticas que son implementados • Técnicas y automatización para hacer los procesos más efectivos y eficientes • Grado de cumplimiento de la política interna, las leyes y las reglamentaciones • Tipo y grado de pericia empleada. ÁREAS DE REVISIÓN AUDITORÍA DE SISTEMAS DE INFORMACIÓN CPC. Eduardo Miranda Valdivia
    124. 124. ÁREAS DE REVISIÓN AUDITORÍA DE SISTEMAS DE INFORMACIÓN <ul><li>Gobierno sobre la tecnología de información y los procesos con las metas del negocio para añadir valor, mientras se balancean los riesgos y el retorno </li></ul><ul><ul><li>Asegurar la entrega de información al Negocio el cual establece los Criterios de Información requeridos y es medido por Indicadores Clave de Resultados/Logros </li></ul></ul><ul><ul><ul><li>Se hace posible a través de la creación y mantenimiento de un sistema de procesos y controles apropiados para el negocio, el cual dirige y monitorea el valor del negocio proporcionado por TI </li></ul></ul></ul><ul><ul><ul><ul><li>Considera Factores Críticos de Éxito que tiene en cuenta todos los Recursos de TI y es medido por Indicadores Clave de Desempeño </li></ul></ul></ul></ul>
    125. 125. <ul><li>Factores Críticos de Éxito </li></ul><ul><li>- Las actividades del gobierno de TI son integradas dentro del proceso de gobierno de la empresa y las conductas de liderazgo </li></ul><ul><li>- El gobierno de TI se enfoca en los objetivos y metas de la empresa, en las iniciativas estratégicas y el uso de tecnología para mejorar el negocio, con base en la disponibilidad de recursos y capacidades suficientes para soportar las demandas del negocio </li></ul><ul><li>Las actividades del Gobierno de TI están definidas sobre propósitos claros, documentados e implementados, basados en las necesidades de la empresa y con responsabilidades concretas. </li></ul><ul><li>Las prácticas gerenciales son implementadas para incrementar la eficiencia y el uso óptimo de los recursos así como incrementar la efectividad de los procesos de TI. 􀁺 </li></ul>ÁREAS DE REVISIÓN AUDITORÍA DE SISTEMAS DE INFORMACIÓN
    126. 126. <ul><li>Factores Críticos de Éxito </li></ul><ul><li>Se establecen prácticas organizacionales para: evitar descuidos; una cultura/ambiente de control; análisis de riesgos como práctica estándar; grado de adherencia a estándares establecidos; monitoreo y seguimiento a los riesgos y a las deficiencias de control. </li></ul><ul><li>Se definen prácticas de control para evitar el incumplimiento o mal uso de controles internos. </li></ul><ul><li>- Hay integración e interoperabilidad transparente de los procesos de TI mas complejos como podrían ser: problemas, cambios y administración de la configuración. </li></ul><ul><li>- Se establece un comité de auditoría para designar y supervisar un auditor independiente enfocado sobre TI cuando dirige la ejecución de planes de auditoría y revisa los resultados de las auditorías y revisiones de terceros. </li></ul>ÁREAS DE REVISIÓN AUDITORÍA DE SISTEMAS DE INFORMACIÓN CPC. Eduardo Miranda Valdivia
    127. 127. <ul><li>- Incrementar el desempeño y la administración de costos </li></ul><ul><li>- Mejorar el retorno de la inversión sobre las mayores inversiones de TI </li></ul><ul><li>Mejorar el tiempo de comercialización </li></ul><ul><li>Incrementar la calidad, la innovación y la administración de riesgos </li></ul><ul><li>- Procesos del negocio apropiadamente integrados y estandarizados </li></ul><ul><li>- Búsqueda de nuevos clientes y satisfacer los existentes </li></ul><ul><li>- Disponibilidad de apropiado ancho de banda, poder de cómputo y mecanismos para la entrega de servicios de TI </li></ul><ul><li>- Satisfacer los requerimientos y las expectativas de los clientes de los procesos con base en un presupuesto y a tiempo </li></ul><ul><li>- Cumplir con las leyes, regulaciones, estándares de la industria y compromisos contractuales. </li></ul><ul><li>- Transparencia en los riesgos asumidos y cumplimiento con el acuerdo del perfil de riesgo organizacional. </li></ul><ul><li>- Comparaciones mediante Benchmarking sobre el nivel de madurez de TI </li></ul><ul><li>- Creación de nuevos canales de distribución y entrega de servicios </li></ul>Indicadores clave de objetivo ÁREAS DE REVISIÓN AUDITORÍA DE SISTEMAS DE INFORMACIÓN CPC. Eduardo Miranda Valdivia
    128. 128. - Mejorar los procesos de costo-eficiencia de TI (costos versus entregables o servicios) - Incrementar el número de planes de acción de TI para las iniciativas de mejora de procesos - Incrementar la utilización de la infraestructura de TI - Incrementar la satisfacción de los socios y accionistas (encuestas y número de reclamaciones). - Incrementar la productividad de los funcionarios de TI (número de entregables) y su moral (encuesta) - Incrementar la disponibilidad de conocimiento e información para administrar la empresa. - Incrementar las relaciones entre el gobierno de la empresa y el gobierno de TI - Incrementar el desempeño mediante mediciones utilizando tarjetas de medición (Balanced Scorecards) Indicadores clave de desempeño ÁREAS DE REVISIÓN AUDITORÍA DE SISTEMAS DE INFORMACIÓN
    129. 129. ÁREAS DE REVISIÓN AUDITORÍA DE SISTEMAS DE INFORMACIÓN <ul><li>PO1 Planeación y Organización </li></ul><ul><li>Definir un Plan Estratégico de Tecnología de </li></ul><ul><li>Información </li></ul><ul><li>El Control sobre el proceso de TI de Definir un Plan Estratégico de TI con el objetivo del negocio de </li></ul><ul><li>lograr un equilibrio óptimo de oportunidades de tecnología de la información y de los requerimientos de TI del negocio así como también asegurar su cumplimiento posterior </li></ul><ul><ul><li>Asegura la entrega de información al negocio que satisface los Criterios de Información requeridos y se mide por los Indicadores Clave de Objetivo </li></ul></ul><ul><ul><ul><li>Es posibilitado por un proceso de planeación estratégica emprendido a intervalos regulares dando lugar a planes a largo plazo; los planes a largo plazo deben ser traducidos periódicamente en planes operativos que fijan metas a corto plazo claras y concretas </li></ul></ul></ul><ul><ul><ul><ul><li>Considera los Factores Críticos de Éxito que apalancan Recursos de TI específicos y se mide por medio de los Indicadores Clave de Desempeño . </li></ul></ul></ul></ul>CPC. Eduardo Miranda Valdivia
    130. 130. ÁREAS DE REVISIÓN AUDITORÍA DE SISTEMAS DE INFORMACIÓN CPC. Eduardo Miranda Valdivia
    131. 131. ÁREAS DE REVISIÓN AUDITORÍA DE SISTEMAS DE INFORMACIÓN CPC. Eduardo Miranda Valdivia
    132. 132. ÁREAS DE REVISIÓN AUDITORÍA DE SISTEMAS DE INFORMACIÓN CPC. Eduardo Miranda Valdivia
    133. 133. ÁREAS DE REVISIÓN AUDITORÍA DE SISTEMAS DE INFORMACIÓN CPC. Eduardo Miranda Valdivia
    134. 134. ÁREAS DE REVISIÓN AUDITORÍA DE SISTEMAS DE INFORMACIÓN PO1 Modelo de Madurez El control sobre el proceso de TI de Definir un Plan Estratégico de TI con el objetivo del negocio de alcanzar un balance óptimo de oportunidades de tecnología de la información y requerimientos de TI del negocio así como también asegurando su posterior cumplimiento 0 Inexistente . No
    1. Gostou de algum slide específico?

      Recortar slides é uma maneira fácil de colecionar informações para acessar mais tarde.

    ×