UNIVERSIDAD MAYOR DE SAN ANDRES

FACULTAD DE CIENCIAS PURAS Y NATURALES

CARRERA DE INFORMTICA

AUDITORIA INFORMTICA

M. Sc. Miguel Cotaa Mier

MAYO 2015
LA PAZ - BOLIVIA

Estndar de Controles y Auditora

de Tecnologa Informtica
Un largo camino
2

Misin: Para investigar, desarrollar, publicar y

promover un conjunto actualizado e internacional
de objetivos de control de Tecnologa de la
Informacin generalmente aceptado, para su uso
diario por los administradores del negocio y los
auditores.
Information
Systems Audit and
Control
Association
(ISACATM)

Information
Systems Audit and
Control
Foundation
(ISACFTM)

Es el resultado de uno de los mayores

proyectos de investigacion completado y publicado por la Organizacin
Mundial de Auditores de Sistemas de
Informacion (ISACF).
Es aplicable a un amplio rango de SI
que van desde el nivel de PC, Mainframes e instalaciones Cliente-Servidor.
4

Control
OBjectives
for Information
and Related Technology
(Objetivos de Control para Tecnologa de
Informacin y Tecnologas relacionadas)

COBIT: Gobierno de TI de las Empresas (GEIT)

Evolucin del Alcance

Gobierno Corporativo de TI
Gobierno de TI
Val IT 2.0

Administracin

(2008)

Control
Risk IT
(2009)

Auditora
COBIT1

1996

COBIT2

1998

COBIT3

2000

COBIT4.0/4.1 COBIT 5

2005/7 2012

Un Marco Empresarial de ISACA, en www.isaca.org/cobit

Source: COBIT 5 Introduction Presentation 2012 ISACA All rights reserved

Qu es Cobit?

COBIT es un marco de gobierno de las tecnologas de

informacin que proporciona una serie de herramientas
para que la gerencia pueda conectar los requerimientos de
control con los aspectos tcnicos y los riesgos del negocio
COBIT permite el desarrollo de las polticas y buenas
prcticas para el control de las tecnologas en toda la
organizacin
COBIT enfatiza el cumplimiento regulatorio, ayuda a las
organizaciones a incrementar su valor a travs de las
tecnologas, y permite su alineamiento con los objetivos
del negocio
Informacin disponible en: www.isaca.org/cobit
7

Compendio
de
mejores
prcticas
aceptadas
internacionalmente
Orientado al gerenciamiento de las tecnologas
Complementado con herramientas y capacitacin
Gratuito
Respaldado por una comunidad de expertos
En evolucin permanente
Mantenido por una organizacin sin fines de lucro, con
reconocimiento internacional
Mapeado con otros estndares
Orientado a Procesos, sobre la base de Dominios de
Responsabilidad
8

Para cada uno de los 34 procesos, se definen

Productos de la familia COBIT

10

El marco de referencia COBIT

Fusiona las
expectativas
con las
responsabilidades
de la direccin de TI
La necesidad de control de TI
* Directivos
* Usuarios
* Auditores
11

12

Los usuarios necesitan

COBIT para

Obtener confianza sobre la seguridad y controles de

Productos y servicios proporcionados por personal
interno y terceros
Los auditores de SI necesitan COBIT para

Sustentar opiniones a la direccin sobre controles

internos
Contestar a la pregunta:

Qu mnimos controles son necesarios?

13

Cobit, brinda buenas prctica a travs

de un marco de trabajo de dominios y
procesos, y presenta las actividades
en una estructura manejable y lgica.
Las buenas prcticas de Cobit
representan el consenso de los
expertos.
Estn
enfocados
fuertemente en el control y menos en
14
la ejecucin

Gobierno de TI
IT Governance. Es un trmino
que representa el sistema que
establece la alta gerencia para
asegurar el logro de los
objetivos de una organizacin.

15

Cobit como soporte

TI est alineado con el negocio
TI capacita el negocio y maximiza
los beneficios
Los recursos de TI se usen de
manera responsable
Los riesgos de TI se administren
apropiadamente

16

reas de enfoque del Gobierno de TI

Gobierno
de TI

Administracin
de Recursos

Alineamiento
estratgico:
Su
enfoque est dirigido a la relacin
entre el Negocio y el Plan de TI; a la
propuesta de valor que debe entregar
su definicin, a la mantencin y
validacin.
Valor Agregado: Es el ciclo que
permite asegurar la entrega del valor
propuesto, asegurando que la TI
proporcionar
los
beneficios
prometidos en la estrategia
Administracin de Recursos: Se
trata de invertir en forma ptima y
apropiada, la administracin de los
recursos crticos en TI: Aplicaciones,
Informacin, Infraestructura y las
Personas.

reas de enfoque del Gobierno de TI

Gobierno
de TI

Administracin
de Recursos

Administracin del Riesgo: El

administrador
debe
tener
conciencia del riesgo empresarial,
un claro entendimiento del apetito
de la empresa por el riesgo,
transparencia sobre el significado
de los riesgos empresariales, y
que
debe
incorporar
la
responsabilidad de los riesgos
empresariales en la administracin
de la organizacin.
Medicin de Resultados: rastrea
y monitorea la estrategia
de
implementacin, la terminacin
del proyecto, el uso de los
recursos.

Productos
Los productos se han organizado en
tres niveles (figura 3) diseados para
dar soporte a:
Administracin
y
consejos
ejecutivos
Administracin del negocio y de TI
Profesionales
en
gobierno,
aseguramiento,
control
y
20
seguridad

Cobit, permite el desarrollo de

polticas claras y de buenas prcticas
para el control de TI a travs de las
organizaciones.
Cobit, es un integrador de las mejores
prcticas de TI y el marco de
referencia general para el gobierno de
TI que ayuda a comprender y
administrar los riesgos.
23

Marco de control
Se
basa
en
el
principio
de
proporcionar la informacin que la
empresa requiere para lograr sus
objetivos,
la
empresa
necesita
administrar y controlar los recursos
de
TI,
usando
un
conjunto
estructurado
de
procesos
que
ofrezcan los servicios requeridos de
informacin.
24

Por qu: La alta gerencia se da

cuenta del impacto significativo que la
informacin puede tener en el xito
de una empresa:
Garantizar el logro de objetivos?
Administrar los riesgos?
Crear
relaciones y comunicaciones
constructivas?
Identificar los recursos?.
25

Quin: Un marco de control requiere

dar respuestas en muchos niveles:
Interesados dentro de la empresa
que tengan un inters en generar
valor de las inversiones en TI;
Interesados
que
proporcionan
servicios de TI;
Interesados
con responsabilidades
26
de control/riesgo.

Qu: debe satisfacer:

Alineacin entre los objetivos de
negocio y de TI;
Proporcionar un lenguaje comn;
Orientacin a procesos para definir el
alcance y el grado de cobertura;
Consistente con las mejores prcticas
y estndares de TI aceptados.

27

Principio bsico de Cobit

Que responde a

INFORMACION DE
LA EMPRESA

Para entregar

REQUERIMIENTOS
DE NEGOCIO

COBIT

PROCESOS DE TI

Maneja la investigacin en

RECURSOS DE TI

Que es utilizado por

28

Controles
Los procesos requieren controles.
Control se define como las polticas,
procedimientos, prcticas y estructuras
organizacionales diseadas para brindar una
seguridad razonable que los objetivos del
negocio se alcanzarn, y los eventos no
deseados sern prevenidos o detectados y
corregidos.
32

Objetivo de Control
Es una declaracin del resultado o fin
que se desea lograr al implantar
procedimientos de control en una
actividad de TI en particular.
Los objetivos de control de Cobit son los
requerimientos mnimos para un control
efectivo de cada proceso de TI.
33

IMCM
Una necesidad bsica de toda empresa
es entender el estado de sus propios
sistemas de TI y decidir qu nivel de
administracin
y
control
debe
proporcionar la empresa.
Qu se debe medir y cmo?
35

Una organizacin debe crear un modelo

de proceso que se ajuste a las
directrices
establecidas
por
la
integracin del modelo de capacidad de
madurez (IMCM)
36

Las metas se definen de arriba hacia

abajo con base en las metas de negocio
que determinarn el nmero de metas
que soportar TI, las metas de TI
decidirn las diferentes necesidades de
las metas de proceso, y cada meta,
establecer las metas de las actividades.
41

Procesos de TIC
- Los Tres Niveles
Dominios

Agrupacin Natural de procesos,

normalmente corresponden a un
dominio o una responsabilidad
organizacional

Procesos
Conjuntos o series de actividades
unidas con delimitacin o cortes de
control.

Actividades
o tareas

Acciones requeridas para lograr un

resultado medible. Las Actividades
Tienen un ciclo de vida mientras
que las tareas son discretas.
42

El marco de trabajo se cre para

satisfacer
las
necesidades
de
gobernabilidad de TI. Est orientado a:

Negocios

Procesos

Basado en controles

Impulsado por mediciones

43

Orientado al negocio
Est diseado para ser utilizado no solo
por proveedores de servicios, usuarios y
auditores de TI, sino tambin y
principalmente, como gua integral para
la gerencia y para los propietarios de los
procesos de negocio.
44

Procesos orientados
Cobit define las actividades de TI en un
modelo genrico de procesos en 4
dominios:

Planear y Organizar

Adquirir e Implementar

Entregar y dar Soporte

Monitorear y Evaluar

45

Planear y Organizar (PO)

Cubre las estrategias y las tcticas, y
tiene que ver con identificar la manera
en que TI pueda contribuir de la mejor
manera al logro de los objetivos del
negocio.
Estn alineadas las estrategias de
TI y del negocio?
46

La empresa est alcanzando un uso

ptimo de los recursos?
Entienden todas las personas, los
objetivos de TI?
Se entienden y administran los riesgos
de TI?

Es apropiada la calidad de los sistemas

de TI para las necesidades del
47
negocio?

Adquirir e Implementar (AI)

Las soluciones de TI necesitan ser
identificadas, desarrolladas o adquiridas
as
como
la
implementacin
e
integracin en los procesos.
Los nuevos proyectos generan
soluciones que satisfagan las
necesidades del negocio?
48

Los nuevos proyectos son entregados

a tiempo y dentro del presupuesto?

Trabajarn adecuadamente los

nuevos sistemas una vez sean
implementados?
Los cambios afectarn las operaciones
actuales del negocio?
49

Entregar y dar Soporte (DS)

Cubre la entrega en s de los servicios
requeridos, lo que incluye la prestacin
del servicio, la administracin de la
seguridad y de la continuidad, el soporte
del servicio a los usuarios, la
administracin de los datos.
Se estn entregando los servicios
de TI de acuerdo a prioridades?
50

Estn optimizados los costos de TI?

Es capaz la fuerza de trabajo de
utilizar los sistemas de TI de manera
productiva y segura?
Estn implantadas de forma adecuada
la confidencialidad, la integridad y la
disponibilidad?
51

Monitorear y Evaluar (ME)

Todos los procesos de TI deben evaluarse de
forma regular en el tiempo en cuanto a su
calidad y cumplimiento de los requerimientos
de control. Abarca la administracin del
desempeo, el monitoreo del control interno,
cumplimiento regulatorio.
Se mide el desempeo de TI para
detectar los problemas antes de que
sea demasiado tarde?
52

La gerencia garantiza que los controles

internos son efectivos y eficientes?

Puede vincularse el desempeo de lo

que TI ha realizado con las metas del
negocio?
Se miden y reportan los riesgos, el
control, el cumplimiento y el
desempeo?

53

Modelo de Marco de Trabajo

Relaciona
los
requerimientos
de
informacin y de gobierno a los
objetivos de la funcin de servicio de TI.
El modelo de procesos Cobit permite
que las actividades de TI y los recursos
que los soportan sean administrados y
controlados basados en los objetivos de
control.
54

55

Los recursos de TI son manejados por

procesos de TI para lograr las metas
de TI que respondan a los
requerimientos del negocio.
Este es el principio bsico del marco
de trabajo Cobit
56

ACTIVIDADES

U
R

S
O

T
I

DOMINIOS

PERSONAS

INFRAESTRUCTURA

INFORMACION

APLICACIONES

PROCESOS

PROCESOS DE TI

ci
a

ic
ie
n

fi
ca

ia
on
fi
de
a n
In d cia
te
lid
gr
id
ad

Ef

Figura 15 El Cubo Cobit

REQUERIMIENTOS DE
NEGOCIO

ad
i
d
i
ad
b
i
d
m
ri
on
or
u
f
p
is
eg
on
D
S
C

ad
d
li

57

En detalle, el marco de trabajo general

Cobit se muestra en el siguiente grfico,
con el modelo de procesos de Cobit
compuesto de 4 dominios que contienen
34 procesos genricos, administrando los
recursos de TI para proporcionar
informacin al negocio de acuerdo con los
requerimientos del negocio y del gobierno.

58

Objetivos del
Negocio
ME1 Monitorear y evaluar el desempeo
ME2 Monitorear y evaluar el control Interno
ME3 Garantizar cumplimiimiento regulatorio
ME4 Proporcionar gobierno de TI

Objetivos del gobierno

CobiT

PO1 Definir un plan estratgico de TI

PO2 Definir la arquitectura de informacin
PO3 Determinar la direccin tecnolgica
PO4 Definir procesos, organizacin y relac.
PO5 Administrar la inversin en TI
PO6 Comunicar aspiraciones y la direc.ger.
PO7 Administracin del Recurso Humano
PO8 Administrar calidad
PO9 Evaluar y administrar Riesgos
PO10 Administracin de Proyectos

Req. Informacin

Monitorear
Y evaluar

Efectividad, Eficiencia,
Confidencialidad, Integridad,
Disponibilidad,
Cumplimiento, Confiabilidad

Planear y
Organizar

Recursos de TI
DS1 Definir y administrar niveles de servicio
DS2 Administrar servicios de terceros
DS3 Adm. Desempeo y capacidad
DS4 Garantizar la continuidad del servicio
DS5 Garantizar la seguridad de los sistemas
DS6 Identificar y asignar costos
DS7 Educar y entrenar a los usuarios
DS8 Administrar la mesa de serv. e incidentes
DS9 Administrar la configuracin
DS10 Administrar los problemas
DS11 Administracin de datos
DS12 Administrar el ambiente fsico
DS13 Administrar las Operaciones

Aplicaciones
Informacin,
Infraestructura,Personas

Servicios y
Soporte

Adquirir e
Implantar

AI1 Identificar soluciones automatizadas

AI2 Adquirir y mantener el Sw aplicativo
AI3 Adquirir y mantener la infraestructura tecnolgica
AI4 Facilitar la operacin y el uso
AI5 Adquirir recursos de TI
AI6 Administrar cambios
59
AI7 Instalar y acreditar soluciones y cambios

Requerimientos de
Informacin del Negocio

Efectividad: La informacin debe ser relevante y pertinente

para los procesos del negocio y debe ser proporcionada en
forma oportuna, correcta, consistente y utilizable

Eficiencia: Se debe proveer informacin mediante el

empleo ptimo de los recursos (la forma ms productiva y
econmica)

Confidencialidad: Proteccin de la informacin sensitiva

contra divulgacin no autorizada

Integridad: Refiere a lo exacto y completo de la

informacin as como a su validez de acuerdo con las
expectativas de la empresa.
60

Disponibilidad: accesibilidad a la informacin cuando

sea requerida por los procesos del negocio y la
salvaguarda de los recursos y capacidades asociadas a
los mismos.
Cumplimiento: de las leyes, regulaciones y compromisos
contractuales con los cuales est comprometida la
empresa.
Confiabilidad: proveer la informacin apropiada para que
la administracin tome las decisiones adecuadas para
manejar la empresa y cumplir con las responsabilidades
de los reportes financieros y de cumplimiento normativo.
61

Recursos de TIC

Aplicaciones: entendido como los sistemas de informacin,

que integran procedimientos manuales y sistematizados.
Informacin: Todos los objetos de informacin. Considera
informacin interna y externa, estructurada o n, grficas,
sonidos, etc.
Infraestructura:Incluye los recursos necesarios para alojar y
dar soporte a los sistemas de informacin. incluye hardware y
software
bsico,
sistemas
operativos,
sistemas
de
administracin
de
bases
de
datos,
de
redes,
telecomunicaciones, multimedia, etc.
Personas: Por la habilidad, conciencia y productividad del
personal para planear, adquirir, prestar servicios, dar soporte y
monitorear los sistemas de Informacin.
62

Procesos de TIC
- Procesos
Planear y
Organizar

Adquirir e
Implantar

PO1 Definir un plan estratgico de TI

PO2 Definir la arquitectura de informacin
PO3 Determinar la direccin tecnolgica
PO4 Definir procesos, organizacin y relac.
PO5 Administrar la inversin en TI
PO6 Comunicar aspiraciones y la direc.ger.
PO7 Administracin del Recurso Humano
PO8 Administrar calidad
PO9 Evaluar y administrar Riesgos
PO10 Administracin de Proyectos
AI1
AI2
AI3
AI4
AI5
AI6
AI7

Identificar soluciones automatizadas

Adquirir y mantener el Sw aplicativo
Adquirir y mantener la infraestructura tecnolgica
Facilitar la operacin y el uso
Adquirir recursos de TI
Administrar cambios
Instalar y acreditar soluciones y cambios

63

Procesos de TIC
- Procesos
Servicios y
Soporte

Monitorear
y Evaluar

DS1 Definir y administrar niveles de servicio

DS2 Administrar servicios de terceros
DS3 Adm. Desempeo y capacidad
DS4 Garantizar la continuidad del servicio
DS5 Garantizar la seguridad de los sistemas
DS6 Identificar y asignar costos
DS7 Educar y entrenar a los usuarios
DS8 Administrar la mesa de serv. e incidentes
DS9 Administrar la configuracin
DS10 Administrar los problemas
DS11 Administracin de datos
DS12 Administrar el ambiente fsico
DS13 Administrar las Operaciones
ME1
ME2
ME3
ME4

Monitorear y evaluar el desempeo

Monitorear y evaluar el control Interno
Garantizar cumplimimiento regulatorio
Proporcionar gobierno de TI

64

Nivel de aceptabilidad
Cobit se basa en el anlisis y
armonizacin de estndares y
mejores
prctica
de
TI
existentes
y se adapta a
principios
de
gobierno
generalmente aceptados.
65

Est posicionado a un nivel alto,

impulsado por los requerimientos del
negocio, cubre el rango completo de
actividades de TI, y se concentra en
lo que se debe lograr en lugar de
cmo
lograr
un
gobierno,
administracin y control efectivos.
66

Funciona como un integrador de

prcticas de gobierno de TI y es de
inters para la direccin ejecutiva; para
la gerencia del negocio; para la gerencia
y gobierno de TI; para los profesionales
de aseguramiento y seguridad; as como
para los profesionales de auditoria y
control de TI.
67

Planear
y Organizar

Modelo de Navegacin CobiT

Adquirir e
Implantar

Control sobre el Proceso de TI

Entrega y
Soporte

Nombre del Proceso

Que satisface el requerimiento de negocios de TI para

Resumen de las metas de negocio ms importantes

Focalizndose en
Resumen de las metas de TI ms importantes

Es conseguido por
Control claves
Gobierno
de TI

Y medido por
Indicadores claves (Mtrica)

Administracin
de Recursos

P=Primario; S=Secundario

Monitoreo y
Evaluar