1. CPC. Eduardo Miranda Valdivia

14. DEFINICIONES CPC. Eduardo Miranda Valdivia Las Pólíticas , Procedimientos , Prácticas y Estructuras Organizacionales , diseñadas para asegurar razonablemente el logro de los objetivos del negocio y que los eventos indeseables serán prevenidos o detectados o corregidos. CONTROL Son declaraciones del resultado esperado o del próposito a lograr mediante la implementación de los controles en una actividad de IT específica. Objetivos de Control de IT

15. PRINCIPIOS CPC. Eduardo Miranda Valdivia Se refiere a la información que es relevante para el negocio y que debe ser entregada de manera correcta, oportuna, consistente y usable. Efectividad Se refiere a la provisión de información a través del óptimo (más productivo y económico) uso de los recursos. Eficiencia Relativa a la protección de la información sensitiva de su revelación no autorizada. Confidencialidad Se refiere a la exactitud y completitud de la información, así como su validez , en concordancia con los valores y expectativas del negocio. Integridad

16. PRINCIPIOS CPC. Eduardo Miranda Valdivia Se refiere a la que la información debe estar disponible cuando es requerida por los procesos del negocio ahora y en el futuro. Involucra la salvaguarda de los recursos y sus capacidades asociadas. Disponibilidad Se refiere a cumplir con aquellas leyes, regulaciones y acuerdos contractuales, a los que están sujetos los procesos del negocio. Cumplimiento Se refiere a la provisión de la información apropiada a la alta gerencia , para operar la entidad y para ejercer sus responsabilidades finacieras y de cumplir con los reportes de su gestión. Confiabilidad

27. EL MODELO DEL MARCO DE TRABAJO DE COBIT El marco de trabajo COBIT, relaciona los requerimientos de información y de gobierno a los objetivos de la función de servicio de TI. El modelo de procesos COBIT permite que las actividades de TI y los recursos que los soportan sean administrados y controlados basados en los objetivos de control de COBIT, y alineados y monitoreados usando las métricas KGI y KPI de COBIT Administración, Control, Alineación y Monitoreo de Cobit. OBJETIVOS DE NEGOCIO Aplicaciones Información Infraestructura Gente Criterios de Información Recursos de TI Procesos de TI Objetivos de Control de Alto Nivel Indicadores clave de Objetivos Indicadores clave de Rendiemiento Resultados de Negocio Drivers de Gobernabilidad Procesos de TI Objetivos de TI

28. ALINEANDO CRITERIOS, PROCESOS, RECURSOS Y OBJETIVOS DE CONTROL Dominios Procesos Actividades Efectividad Procesos y Objetivos de Control de TI Recursos TI Personas Aplicaciones Infraestructura Dominios Procesos Actividades Información Eficiencia Integridad Disponibilidad Confidencialidad Confiabilidad Cumplimiento Criterios de Información CPC. Eduardo Miranda Valdivia

30. COBIT Estructura del Modelo CPC. Eduardo Miranda Valdivia Dominios de Control en Tecnología de Información

32. Dominios TI (4) Objetivos de control (318) Guías Auditoria De TI (34) GERENCIA - UNIDADES DE NEGOCIO - IT PERSONALIZACIÓN DE LAS GUIAS EJECUCIÓN DE LA AUDITORIA EVALUACION ADMINISTRATIVA EVALUACION AUDITORIA 2 1 :Nivel Control General 2 :Nivel Detallado Control 3 :Nivel Detallado Auditoría 2 1 1 2 2 Procesos/ Actividades (34) 3 COBIT Aplicación del modelo CPC. Eduardo Miranda Valdivia

34. DOMINIO Planificación y Organizaión Proceso: PO1 Definición de un plan estratégico de TI Proceso: PO2 Definición de la arquitectura de la información Proceso: PO3 Determinación de la dirección tecnológica Proceso: PO4 Definición de la organización y el relacionamiento en TI Proceso: PO5 Administración de la inversión en TI Proceso: PO6 Comunicación de los objetivos y directivas de la gerencia Proceso: PO7 Administración de los recursos humanos Proceso: PO8 Aseguramiento del cumplimiento de los requerimientos externos Proceso: PO9 Evaluación de riesgos Proceso: PO10 Administración de proyectos Proceso: PO11 Administración de la calidad CPC. Eduardo Miranda Valdivia

36. DOMINIO Adquisición e Implementación Proceso: AI12 Identificación de soluciones Proceso: AI13 Adquisición y mantenimiento de software de aplicación Proceso: AI14 Adquisición y mantenimiento de la infraestructura tecnológica Proceso: AI15 Desarrollo y mantenimiento de procedimientos de TI Proceso: AI16 Instalación y certificación de sistemas Proceso: AI17 Administración de cambios CPC. Eduardo Miranda Valdivia

38. DOMINIO Entrega y Soporte Proceso: DS18 Definición de los niveles del servicio Proceso: DS19 Administración de los servicios prestados terceros Proceso: DS20 Administración de la capacidad y del desempeño del sistema Proceso: DS21 Aseguramiento de la continuidad del servicio Proceso: DS22 Establecimiento de pautas para la seguridad de los sistemas Proceso: DS23 Identificación e imputación de costos CPC. Eduardo Miranda Valdivia

39. DOMINIO Entrega y Soporte Proceso: DS24 Educación y capacitación de los usuarios Proceso: DS25 Asistencia y asesoramiento a los clientes de TI Proceso: DS26 Administración de la configuración Proceso: DS27 Administración de problemas e incidentes Proceso: DS28 Administración de datos Proceso: DS29 Administración de instalaciones Proceso: DS30 Administración de las operaciones CPC. Eduardo Miranda Valdivia

41. DOMINIO Monitoreo Proceso: ME31 Monitoreo de los procesos Proceso: ME32 Evaluación de la adecuación del control interno Proceso: ME33 Obtención de aseguramiento independiente Proceso: ME34 Provisión de auditoria independiente CPC. Eduardo Miranda Valdivia

42. PROCESOS AI1 Identificar soluciones de IT Administrar los cambios Adquirir y mantener software aplicativo Adquirir y mantener arquitectura tecnológica Desarrollar y mantener procedimientos de IT Instalar y acreditar sistemas AI2 AI3 AI4 AI5 AI6 P S P P S S     P P S  S P P S S S     P S S P P P S P           CRITERIOS RECURSOS EFECTIVIDAD EFICIENCIA CONFIDENCIALIDAD INTEGRIDAD DISPONIBILIDAD CUMPLIMIENTO CONFIABILIDAD APLICACIONES TECNOCLOGÍA FACILIDADES DATOS PERSONAS DOMINIO AI : Adquisición e Implementación COBIT Navegación (Matriz) CPC. Eduardo Miranda Valdivia

44. OBJETIVOS DE CONTROL DE TI - DETALLADOS 1 La TI como parte de los planes a corto/largo plazo de la empresa 2 Plan a largo plazo de la TI 3 Enfoque y estructura del Plan a largo plazo de la TI 4 Cambios al Plan a largo plazo de la TI Plan corto plazo de la función de servicios de TI 5 PROCESO: PO1: Definir el Plan Estratégico de TI DOMINIO PO : Planeación y Organización Objetivos de Control - Detallados Y tiene en consideración: Evaluación objetivos de control detallados CPC. Eduardo Miranda Valdivia

45. PRODUCTOS DE COBIT PRODUCTOS DE COBIT CPC. Eduardo Miranda Valdivia

46. INTERRELACIÓN DE LOS COMPONENTES DE COBIT Negocio Procesos de TI Requerimientos Información Objetivos de Control Practicas de Control Guías de Auditoría Metas de las Actividades Modelo de Madurez Indicadores Clave de Metas Indicadores Clave de Desempeño Auditado por Medida para … Implementado con Transformado en Para desempeño Para Madurez Controlado por Logrando Efectividad y Eficiencia con Para resultados CPC. Eduardo Miranda Valdivia

47. CONTROLES GENERALES Controles Generales sobre procesos de TI Controles sobre procesos de negocio que utilizan TI Desarrollo de soluciones Administración de Cambios Seguridad Operación del Computador Integridad (completitud) Precisión Validez Autorización Segregación de Funciones CPC. Eduardo Miranda Valdivia

57. ÁREAS DE REVISIÓN AUDITORÍA DE SISTEMAS DE INFORMACIÓN 1.3 Plan a largo plazo de TI - Enfoque y Estructura OBJETIVO DE CONTROL La Gerencia de TI y los dueños del proceso de negocio deberán establecer y aplicar un enfoque estructurado al proceso de planeación a largo plazo. Esto deberá traer como resultado un plan de alta calidad que cubra las preguntas básicas de qué, quién, cómo, cuándo y por qué el proceso de planeación de TI debe tomar en cuenta los resultados del análisis del riesgo, incluyendo los riesgos del negocio, entorno, tecnología y recursos humanos . Los aspectos que necesitan ser tomados en cuenta y ser cubiertos adecuadamente durante el proceso de planeación incluyen el modelo de organización y sus cambios, la distribución geográfica,la evolución tecnológica , los costos, los requerimientos legales y regulatorios, requerimientos de terceras partes o del mercado, el horizonte de planeación, reingeniería de procesos del negocio, la asignación de personal, outsourcing, datos, sistemas de aplicación y arquitecturas de la tecnología. Los planes de TI, de largo y corto alcance deberán incorporar indicadores y objetivos de desempeño. El plan mismo deberá hacer referencia a otros planes tales como el plan de calidad de la organización y el plan de manejo de riesgos de información.

91. ÁREAS DE REVISIÓN AUDITORÍA DE SISTEMAS DE INFORMACIÓN CPC. Eduardo Miranda Valdivia

94. Directrices de Auditoría 1 Directriz genérica 34 Directrices orientadas a procesos ÁREAS DE REVISIÓN AUDITORÍA DE SISTEMAS DE INFORMACIÓN CPC. Eduardo Miranda Valdivia

95. ÁREAS DE REVISIÓN AUDITORÍA DE SISTEMAS DE INFORMACIÓN CPC. Eduardo Miranda Valdivia

96. ÁREAS DE REVISIÓN AUDITORÍA DE SISTEMAS DE INFORMACIÓN CPC. Eduardo Miranda Valdivia

97. Directriz Genérica de Auditoría ÁREAS DE REVISIÓN AUDITORÍA DE SISTEMAS DE INFORMACIÓN CPC. Eduardo Miranda Valdivia

100. ÁREAS DE REVISIÓN AUDITORÍA DE SISTEMAS DE INFORMACIÓN 3) VALORACIÓN DEL CUMPLIMIENTO Los pasos de auditoría a realizar para asegurar que las medidas de control establecidas estén funcionando como es debido, de manera consistente y continua, y concluir sobre la conveniencia del ambiente de control. Obtener evidencia directa o indirecta de puntos/períodos seleccionados para asegurarse que se ha cumplido con los procedimientos durante el período de revisión, utilizando evidencia tanto directa como indirecta. Realizar una revisión limitada de la suficiencia de los resultados del proceso. Determinar el nivel de pruebas sustantivas y trabajo adicional necesarios para asegurar que el proceso de TI es adecuado.

101. ÁREAS DE REVISIÓN AUDITORÍA DE SISTEMAS DE INFORMACIÓN 4) JUSTIFICAR/COMPROBAR EL RIESGO Los pasos de auditoría a realizar para justificar el riesgo de que no se cumpla el objetivo de control mediante el uso de técnicas analíticas y/o consultas a fuentes alternativas. El objetivo es respaldar la opinión e “impresionar” a la administración para que tome acción. Los auditores tienen que ser creativos para encontrar y presentar esta información que con frecuencia es sensible y confidencial. Documentar las debilidades de control y las amenazas y vulnerabilidades resultantes. Identificar y documentar el impacto real y potencial; por ejemplo, mediante el análisis de causa-efecto. Brindar información comparativa; por ejemplo, mediante benchmarks.

102. ÁREAS DE REVISIÓN AUDITORÍA DE SISTEMAS DE INFORMACIÓN CPC. Eduardo Miranda Valdivia

103. ÁREAS DE REVISIÓN AUDITORÍA DE SISTEMAS DE INFORMACIÓN CPC. Eduardo Miranda Valdivia

104. Directrices de auditoría Son sólo un punto de inicio para identificar tareas asociadas con determinados objetivos de control de proceso. ÁREAS DE REVISIÓN AUDITORÍA DE SISTEMAS DE INFORMACIÓN CPC. Eduardo Miranda Valdivia

105. ÁREAS DE REVISIÓN AUDITORÍA DE SISTEMAS DE INFORMACIÓN CPC. Eduardo Miranda Valdivia

106. ÁREAS DE REVISIÓN AUDITORÍA DE SISTEMAS DE INFORMACIÓN PO 1 DEFINIR UN PLAN ESTRATÉGICO DE TI Objetivos de control 1.- TI como parte del Plan a largo y corto plazo 2.- Plan a largo plazo de TI 3.- Plan a largo plazo de TI - Enfoque y Estructura 4.- Cambios al Plan a largo plazo de TI 5.- Planeación a corto plazo para la Función de Servicios de Información 6.- Comunicación de los planes de TI 7.- Monitoreo y evaluación de los planes de TI 8.- Evaluación de los sistemas existentes CPC. Eduardo Miranda Valdivia

109. ÁREAS DE REVISIÓN AUDITORÍA DE SISTEMAS DE INFORMACIÓN Los cambios organizacionales, la evolución tecnológica, los requerimientos regulatorios, la reingeniería de los procesos de negocios, el in-sourcing y el outsourcing, las áreas de apoyo, etc. están siendo consideradas y dirigidas adecuadamente en el proceso de planeación. Existen planes de tecnología de información a corto y largo plazo, están actualizados, están dirigidos adecuadamente a toda la empresa, su misión y funciones clave de negocios. Los proyectos de TI están soportados por la documentación apropiada según lo definido en la metodología de planeación de tecnología de información. Existen puntos de revisión para asegurar que los objetivos de tecnología de información y los planes a corto y largo plazo continúan satisfaciendo los objetivos y los planes a corto y largo plazo de la organización.

110. ÁREAS DE REVISIÓN AUDITORÍA DE SISTEMAS DE INFORMACIÓN Los propietarios de procesos y la Gerencia llevan a cabo revisiones y aprobaciones formales a los planes de TI. El plan de tecnología de información evalúa los sistemas de información existentes en términos del grado de automatización, funcionalidad, estabilidad, complejidad, costos, fortalezas y debilidades del negocio. La ausencia de planeación a largo plazo para los sistemas de información y la estructura que lo soporta resulta en sistemas que no soportan los objetivos de la empresa ni los procesos del negocio, o no proveen integridad, seguridad y control apropiados. CPC. Eduardo Miranda Valdivia

111. ÁREAS DE REVISIÓN AUDITORÍA DE SISTEMAS DE INFORMACIÓN Evaluar la suficiencia: Probando que: Las minutas de las reuniones del comité de Planeación de la función de servicios de información reflejan el proceso de planeación. Los entregables de la metodología de planeación existen según lo indicado. Se incluyen iniciativas de tecnología de información relevantes en los planes a corto y largo plazos de la función de servicios de información (por ejemplo, cambios de hardware, planeación de capacidad, arquitectura de información, desarrollo u obtención de nuevos sistemas, planeación de recuperación en caso de desastre, instalación de plataformas para nuevos procesamientos, etc.). Las iniciativas de tecnología de información soportan la investigación, el entrenamiento, la asignación de personal, las instalaciones, el hardware y el software.

112. ÁREAS DE REVISIÓN AUDITORÍA DE SISTEMAS DE INFORMACIÓN Evaluar la suficiencia: Probando que: Se han identificado las implicaciones técnicas para las iniciativas de tecnología de información Se ha tomado en consideración la optimización de las inversiones de tecnología de información actuales y futuras Los planes a corto y largo plazo de tecnología de información son consistentes con los planes a corto y largo plazo de la organización, así como con los requerimientos de ésta. Se han modificado los planes para reflejar condiciones cambiantes. Los planes a largo plazo de tecnología de información son traducidos periódicamente en planes a corto plazo. Existen tareas para implementar los planes.

113. ÁREAS DE REVISIÓN AUDITORÍA DE SISTEMAS DE INFORMACIÓN Comprobar el riesgo de los objetivos de control no cumplidos: Llevando a cabo : Mediciones ("Benchmarking") de planes estratégicos de tecnología de información contra organizaciones similares o apropiados estándares internacionales reconocidos como buenas prácticas de la industria. Una revisión detallada de los planes de TI para asegurar que las iniciativas de tecnología de información reflejen la misión y las metas de la organización. Una revisión detallada de los planes de TI para determinar si, como parte de las soluciones de tecnología de información contenidas en los planes, se han identificado áreas débiles dentro de la organización que requieren ser mejoradas.

114. ÁREAS DE REVISIÓN AUDITORÍA DE SISTEMAS DE INFORMACIÓN Comprobar el riesgo de los objetivos de control no cumplidos: Identificando: Fallas en la tecnología de información para satisfacer la misión y las metas de la organización. Fallas en la tecnología de información para concordar con los planes a corto y largo plazo. Fallas en los proyectos de TI para satisfacer los planes a corto plazo. Fallas en la tecnología de información para satisfacer lineamientos de costos y tiempos. Oportunidades de negocios no aprovechadas. Oportunidades no aprovechadas por TI.

116. ÁREAS DE REVISIÓN AUDITORÍA DE SISTEMAS DE INFORMACIÓN CPC. Eduardo Miranda Valdivia

118. ÁREAS DE REVISIÓN AUDITORÍA DE SISTEMAS DE INFORMACIÓN Factores críticos de éxito CPC. Eduardo Miranda Valdivia

119. Indicadores clave de desempeño (KPI) ÁREAS DE REVISIÓN AUDITORÍA DE SISTEMAS DE INFORMACIÓN CPC. Eduardo Miranda Valdivia

122. Modelos de madurez para autoevaluación ÁREAS DE REVISIÓN AUDITORÍA DE SISTEMAS DE INFORMACIÓN CPC. Eduardo Miranda Valdivia

123. DIMENSIONES DEL MODELO DE MADUREZ • Entendimiento y conocimiento de los riesgos y de los problemas de control • Capacitación y comunicación aplicadas a los problemas • Proceso y prácticas que son implementados • Técnicas y automatización para hacer los procesos más efectivos y eficientes • Grado de cumplimiento de la política interna, las leyes y las reglamentaciones • Tipo y grado de pericia empleada. ÁREAS DE REVISIÓN AUDITORÍA DE SISTEMAS DE INFORMACIÓN CPC. Eduardo Miranda Valdivia

128. - Mejorar los procesos de costo-eficiencia de TI (costos versus entregables o servicios) - Incrementar el número de planes de acción de TI para las iniciativas de mejora de procesos - Incrementar la utilización de la infraestructura de TI - Incrementar la satisfacción de los socios y accionistas (encuestas y número de reclamaciones). - Incrementar la productividad de los funcionarios de TI (número de entregables) y su moral (encuesta) - Incrementar la disponibilidad de conocimiento e información para administrar la empresa. - Incrementar las relaciones entre el gobierno de la empresa y el gobierno de TI - Incrementar el desempeño mediante mediciones utilizando tarjetas de medición (Balanced Scorecards) Indicadores clave de desempeño ÁREAS DE REVISIÓN AUDITORÍA DE SISTEMAS DE INFORMACIÓN

130. ÁREAS DE REVISIÓN AUDITORÍA DE SISTEMAS DE INFORMACIÓN CPC. Eduardo Miranda Valdivia

131. ÁREAS DE REVISIÓN AUDITORÍA DE SISTEMAS DE INFORMACIÓN CPC. Eduardo Miranda Valdivia

132. ÁREAS DE REVISIÓN AUDITORÍA DE SISTEMAS DE INFORMACIÓN CPC. Eduardo Miranda Valdivia

133. ÁREAS DE REVISIÓN AUDITORÍA DE SISTEMAS DE INFORMACIÓN CPC. Eduardo Miranda Valdivia

134. ÁREAS DE REVISIÓN AUDITORÍA DE SISTEMAS DE INFORMACIÓN PO1 Modelo de Madurez El control sobre el proceso de TI de Definir un Plan Estratégico de TI con el objetivo del negocio de alcanzar un balance óptimo de oportunidades de tecnología de la información y requerimientos de TI del negocio así como también asegurando su posterior cumplimiento 0 Inexistente . No