Más contenido relacionado La actualidad más candente (20) Similar a Cobit presentation package_sp (20) Más de Miguel Angel Sandoval Calderon (20) Cobit presentation package_sp1. © ITGI 2004 - not for commercial use. 1
Introducción a COBIT
¿Por qué las TI necesitan de un¿Por qué las TI necesitan de un
marco de control de Tlmarco de control de Tl??
¿Quién necesita de un marco de control de TI¿Quién necesita de un marco de control de TI??
¿Cómo y por qué se utiliza¿Cómo y por qué se utiliza CCOBIOBIT?T?
2. © ITGI 2004 - not for commercial use. 2
¿Por qué las TI necesitan de un
marco de control?
¿Alguna de estas condiciones le parece¿Alguna de estas condiciones le parece
familiar?familiar?
Incremento de la presión para aumentar la eficacia de la
tecnología en las estrategias de negocios
Aumento de la complejidad de los entornos de TI
Infraestructuras de TI fragmentadas
Dificultades de comunicación entre los administradores de
negocios y TI
Niveles de servicio decepcionantes de la función interna o
tercerizada de TI
Disparada de los Costos de TI
Ganancias marginales en ROI/productividad de las
inversiones en tecnología
Disminución de la flexibilidad y agilidad de cambio
3. © ITGI 2004 - not for commercial use. 3
Aumento de la dependencia en la información y en los sistemas que
producen esta información
Aumento de las vulnerabilidades y un amplio espectro de amenzas,
tales como ciberamenazas y guerra de información
Tamaño y costo crecientes de las inversiones actuales y futuras en
información y sistemas de información
La necesidad de cumplir con las regulaciones
El potencial de las tecnologías de cambiar dramáticamente las
organizaciones y prácticas de negocios, crear nuevas oportunidades
y reducir costos
Reconocimiento por muchas organizaciones de los beneficios
potenciales que puede proporcionar la tecnología
Las organizaciones exitosas entienden y gestionanLas organizaciones exitosas entienden y gestionan
los riesgos asociados con la implantación de nuevaslos riesgos asociados con la implantación de nuevas
tecnologíastecnologías
¿Por qué las TI necesitan de un
marco de control?
4. © ITGI 2004 - not for commercial use. 4
TI proporciona valor
Costo, tiempo y funcionalidad son los esperados
TI no da sorpresas
Riesgos son mitigados
TI es innovadora
Nuevas oportunidades e innovaciones de
procesos, productos y servicios
¿Por qué las TI necesitan de un
marco de control?
Para asegurar quePara asegurar que
La gerencia debe mantener las TI bajoLa gerencia debe mantener las TI bajo
controlcontrol..
5. © ITGI 2004 - not for commercial use. 5
Directorio y Ejecutivos de Primer Nivel
• Para asegurar que la gerencia sigue e implanta la dirección
estratégica de las TI
Gerencia
• Para tomar decisiones de inversión en TI
• Para equilibrar el riesgo y la inversión en su control
• Para evaluar el entorno actual y futuro de las TI
Usuarios
• Para garantizar la seguridad y control de los productos y servicios
adquiridos interna o externamente
Auditores
• Para sustentar opiniones a la gerencia sobre controles internos
• Para recomendar los controles mínimos necesarios
¿Quién necesita de un marco de
control?
6. © ITGI 2004 - not for commercial use. 6
Incorpora los principales
estándares internacionales
Se ha convertido en el
estándar de facto para el
control total de las TI
Parte de los requeri-
mientos de negocios
Está orientado a procesos
IT ProcessesIT Processes
IT Management ProcessesIT Management Processes
IT Governance ProcessesIT Governance Processes
CobiTCobiTbest practices
repository for
Procesos de TI
Gestión de Procesos de TI
Governance de Procesos de TI
COBITCOBITRepositorio de
mejores prácticas
CCOBIOBIT es la respuesta a la necesidadT es la respuesta a la necesidad
¿Por qué y cómo se utiliza COBIT?
7. © ITGI 2004 - not for commercial use. 7
Ayuda sustancialmente a incrementar la aceptación y reducir el tiempo de
implantación de programas de governance de TI
Proporciona una guía para auditorías / revisiones formales
Ayuda en la utilización de resultados de auditoría como oportunidad de
mejoras
Es un factor poderoso para lograr las metas primarias de governance de TI:
transformar prácticas organizacionales y mejorar procesos
Proporciona un marco económico de mejora continua
Proporciona una fuente creíble de decisiones gerenciales sobre controles
Engancha y ayuda a los administradores de operaciones de TI con su
habilidad para discernir lo que los auditores quieren
Es ideal para que las gerencias de negocios comuniquen sus
requerimientos y preocupaciones
Es reconocido como una fuente confiable de referencia que asegura la
identificación de las principales áreas de riesgo
Mejora la comunicación y relaciones con la administración de TI
Testimonios de Casos EstudioTestimonios de Casos Estudio
¿Por qué y cómo se utiliza COBIT?
8. © ITGI 2004 - not for commercial use. 8
Para mejorar enfoques / programas de auditoría
Para apoyar el trabajo de auditoría con directrices
detalladas
Proporcionar asistencia para la governance de TI
Como una referencia (benchmark) valiosa de control
de SI/TI
Para mejorar los controles de SI/TI
Para estandarizar enfoques / programas de auditoría
Resultados de EncuestasResultados de Encuestas
¿Por qué y cómo se utiliza COBIT?
9. © ITGI 2004 - not for commercial use. 9
El Marco COBIT
ElEl marcomarco CCOBIOBITT incluyeincluye::
Enfoque en el negocioEnfoque en el negocio
Orientación aOrientación a procesprocesosos
Recursos deRecursos de TTII
10. © ITGI 2004 - not for commercial use. 10
Parte de la premisa que TI debe proporcionar
la información que la empresa necesita para
lograr sus objetivos
Promociona enfoque y propiedad de procesos
Divide TI en 34 procesos que corresponden a
cuatro dominios y proporciona objetivos de
control de alto nivel para cada uno
Las necesidades empresariales fiduciarias, de
calidad y seguridad se logran mediante siete
criterios de información utilizados
genéricamente para definir lo que el negocio
requiere de TI
Se apoya en un conjunto de más de 300
objetivos de control detallados
Efectividad
Eficiencia
Disponibilidad
Integridad
Confidencialidad
Fiabilidad
Cumplimiento
Planificar y Organizar
Adquirir e Implementar
Prestar Servicios y Soporte
Monitorizar y Evaluar
¿En qué consiste COBIT? :
11. © ITGI 2004 - not for commercial use. 11
“A fin de proporcionar la información que la organización necesita
para lograr sus objetivos, los recursos de TI deben ser gestionados
mediante un conjunto de procesos naturalmente agrupados”
Relacionado con requerimientos de negocios
(expresados como criterios de información)
Ligado con procesos de negocios
Faculta a los propietarios del negocio
Descompone TI en cuatro dominios y 34
procesos
Dominios: (planificar-construir-ejecutar) +
monitorizar
Control, auditoría, gestión de implementación y
desempeño estructurados por proceso
NegociosProceos
Orientación a Negocios y
Enfoque de Procesos
ITIT
ProcessesProcesses
Business
Requirements
ITIT
ResourcesResources
ITIT
ProcessesProcesses
Business
Requirements
ITIT
ResourcesResources
12. © ITGI 2004 - not for commercial use. 12
Definición del Marco de COBIT
“Para proporcionar la información que la empresa necesita para lograr sus objetivos,
los recursos de TI deben gestionarse mediante un conjunto de procesos
naturalmente agrupados.”
IT
Processes
Business
Requirements
IT
Resources
IT
Processes
Business
Requirements
IT
Resources
I T RESOURCESI T RESOURCESI T RESOURCES
I T PROCESSESI T PROCESSESI T PROCESSES
BUSI NESS
REQUI REMENTS
BUSI NESSBUSI NESS
REQUI REMENTSREQUI REMENTS
I T RESOURCESI T RESOURCESI T RESOURCES
I T PROCESSESI T PROCESSESI T PROCESSES
BUSI NESS
REQUI REMENTS
BUSI NESSBUSI NESS
REQUI REMENTSREQUI REMENTS
I T RESOURCESI T RESOURCESI T RESOURCES
I T PROCESSESI T PROCESSESI T PROCESSES
BUSI NESS
REQUI REMENTS
BUSI NESSBUSI NESS
REQUI REMENTSREQUI REMENTS
Una orientación de procesos es un enfoque de gestión probado para ejercerUna orientación de procesos es un enfoque de gestión probado para ejercer
eficientemente las responsabilidades, lograr las metas establecidas yeficientemente las responsabilidades, lograr las metas establecidas y
gestionar razonablemente los riesgosgestionar razonablemente los riesgos
POR QUÉPOR QUÉ
13. © ITGI 2004 - not for commercial use. 13
RequRequeerriimmiiententooss de Calidadde Calidad
• Calidad
• Entrega
• Costo
RequiremRequirem iiententooss dede
SeSegguriuridaddad
• Confidencialidad
• Integridad
• Disponibilidad
RequRequeerriimmiiententooss FiduciarFiduciar iosios
(Informe COSO)
• Efectividad y eficiencia de
operaciones
• Cumplimiento de leyes y
regulaciones
• Fiabilidad de información finaciera
Efectividad
Eficiencia
Confidencialidad
Integridad
Disponibilidad
Cumplimiento
Fiabilidad de la
información
Requerimientos de Negocios
IT
Processes
Business
Requirements
IT
Resources
IT
Processes
Business
Requirements
IT
Resources
14. © ITGI 2004 - not for commercial use. 14
Efectividad –Se relaciona con la relevancia y pertinencia de la información
para el proceso de negocios así como también con su entrega de manera
oportuna, correcta, consistente y utilizable
Eficiencia –Se relaciona con la provisión de información mediante la óptima
(más productiva y economica) utilización de los recursos
Confidencialidad –Se relaciona con la protección de información sensible
para evitar su divulgación
Integridad –Se relaciona con la exactitud y compleción de la información
así como su validez de acuerdo con el conjunto de valores y expectativas del
negocio
Disponibilidad –Se relaciona con la disponibilidad de la información cuando
sea requerida por el proceso de negocios, y por ende con la protección de los
recursos
Cumplimiento –Trata del cumplimiento de leyes, regulaciones y contratos a
que están sujetos los procesos de negocios, es decir, con criterios de
negocios externamente impuestos
Fiabildad de la información –Se relaciona con que los sistemas provean
a la gerencia de información apropiada para la operación de la entidad,
proporcionen información financiera a quienes la requieran e información a los
organismos reguladores relacionada con el cumplimiento de leyes y
regulaciones
Requerimientos de Negocios
IT
Processes
Business
Requirements
IT
Resources
IT
Processes
Business
Requirements
IT
Resources
15. © ITGI 2004 - not for commercial use. 15
Procesos
Una serie de actividades
conjuntas con puntos de
control naturales
Actividades
o Tareas
Acciones requeridas para
lograr un resultado medible.
Las actividades tiene un ciclo
de vida, mientras que las
tareas son discretas
Dominios
Agrupamiento natural de
procesos, a menudo
coincidente con un dominio
organizacional de
responsabilidades
Orientación de Procesos
IT
Processes
Business
Requirements
IT
Resources
IT
Processes
Business
Requirements
IT
Resources
16. © ITGI 2004 - not for commercial use. 16
Dominios de TI
• Planificar y
Organizar
• Adquirir e
Implementar
• Prestar
Servicios y
Soporte
• Monitorizar y
Evaluar
Procesos de TI
• Estrategia de TI
• Operaciones
• Manejo de incidencias
• Pruebas de aceptación
• Gestión de cambios
• Planes de contingencia
• Gestión de problemas
Actividades
• Registrar nuevo problema
• Analizar
• Proponer solución
• Monitorizar solución
• Registrar problema conocido
• Etc.
Agrupamiento natural de
procesos, a menudo
coincidente con un dominio
organizacional de
responsabilidad
Una serie de actividades
conjuntas con puntos
naturales de control Acciones requeridas para lograr un
resultado medible. Las
actividadeies tiene un ciclo de vida,
mientras que las tareas son
discretas
Orientación de Procesos
IT
Processes
Business
Requirements
IT
Resources
IT
Processes
Business
Requirements
IT
Resources
17. © ITGI 2004 - not for commercial use. 17
Descripción
Este dominio incluye estrategias y tácticas, y se relaciona con la identificación
de cómo las TI pueden contribuir mejor al logro de los objetivos de negocios.
Además, la consecución de la visión estratégica necesita ser planificada,
comunicada y gestionada desde diferentes perspectivas. Finalmente, debe
existir una organización apropiada y una infraestructura tecnológica
Tópicos
Estrategias y tácticas
Visión planificada
Organización e infraestructura
Preguntas
¿Están alineadas las estrategias de negocios y TI?
¿Está la empresa utilizando óptimamente sus recursos?
¿Todos en la organización comprenden los objetivos de TI?
¿Se comprenden y gestionan los riesgos de TI?
¿Es la calidad de los sistemas de Ti apropiada para las necesidades de
negocios?
DominiosOrientación de
Procesos
Planificar yPlanificar y
OrganizarOrganizar
IT
Processes
Business
Requirements
IT
Resources
IT
Processes
Business
Requirements
IT
Resources
18. © ITGI 2004 - not for commercial use. 18
PO1 Definir un plan estratégico de
tecnologías de información
PO2 Definir la arquitectura de información
PO3 Determinar la dirección tecnológica
PO4 Definir la organización y relaciones de TI
PO5 Administrar las inversiones en tecnología de información
PO6 Comunicar las metas y dirección de la gerencia
PO7 Administrar recursos humanos
PO8 Asegurar cumplimiento de requerimientos externos
PO9 Evaluar riesgos
PO10 Gestionar proyectos
PO11 Gestionar calidad.
Orientación de
Procesos
Planificar yPlanificar y
OrganizarOrganizar
19. © ITGI 2004 - not for commercial use. 19
Adquirir e ImplementAdquirir e Implementar
Descripción
Para ejecutar la estrategia de TI, las soluciones de TI deben ser identificadas,
desarrolladas o adquiridas, así como implementadas e integradas con el
proceso de negocios. Además, este dominio cubre los cambios y mantenimiento
de los sistemas existentes para asegurar el cumplimiento del ciclo de vida de
los sistemas.
Tópicos
Soluciones de TI
Cambios y mantenimiento
Preguntas
¿Los nuevos proyectos entregarán soluciones que atiendan las
necesidades de negocios?
¿Se terminarán puntualmente los nuevos proyectos respetando su
presupuesto?
¿Trabajará apropiadamente el nuevo sistema al ser implementado?
¿Se harán los cambios sin alterar las operaciones actuales de
negocios?
Dominios
Orientación de Procesos
IT
Processes
Business
Requirements
IT
Resources
IT
Processes
Business
Requirements
IT
Resources
20. © ITGI 2004 - not for commercial use. 20
AI1 Identificar soluciones automatizadas
AI2 Adquirir y mantener software de aplicaciones
AI3 Adquirir y mantener infraestructura tecnológica
AI4 Desarrollar y mantener procedimientos de TI
AI5 Instalar y acreditar sistemas
AI6 Gestionar cambios
Orientación de Procesos
Adquirir e ImplementAdquirir e Implementar
21. © ITGI 2004 - not for commercial use. 21
Descripción
Este dominio se encarga de la prestación real de los servicios requeridos, que varían desde
operaciones tradicionales, seguridad, aspectos de continuidad hasta entrenamiento. Para
prestar servicios, deben establecerse los procesos necesarios de apoyo. Este dominio
incluye el procesamiento real de los datos por las aplicaciones de sistemas, a menudo
clasificado como controles de aplicaciones.
Tópicos
Prestación de los servicios requeridos
Establecimiento de procesos de apoyo
Procesamiento mediante las aplicaciones de sistemas
Preguntas
¿Los servicios de TI se proporcionan de acuerdo con las prioridades de
negocios?
¿Están optimizados los costos de TI?
¿La fuerza de trabajo tiene la habilidad de usar los sistemas de TI productiva y
seguramente?
¿Se cuenta con seguridad, integridad y disponibilidad adecuadas?
DominiosOrientación de Procesos
Prestar Servicios y SoportePrestar Servicios y Soporte
IT
Processes
Business
Requirements
IT
Resources
IT
Processes
Business
Requirements
IT
Resources
22. © ITGI 2004 - not for commercial use. 22
DS1 Definir y administrar niveles de servicio
DS2 Administrar servicios de terceros
DS3 Administrar desempeño y capacidad
DS4 Asegurar continuidad del servicio
DS5 Garantizar seguridad de los sistemas
DS6 Identificar y asignar costos
DS7 Educar y entrenar usuarios
DS8 Apoyar y asistir a los clientes de TI
DS9 Administrar configuración
DS10 Administrar problemas e incidencias
DS11 Administrar datos
DS12 Administrar instalaciones
DS13 Administrar operaciones
Orientación de Procesos
Prestar servicios y MantenerPrestar servicios y Mantener
23. © ITGI 2004 - not for commercial use. 23
Descripción
La calidad y el cumplimiento de los requerimientos de control de todos los
processes de TI deben ser periódicamente evaluados. Este dominio, en
consecuencia, trata de la supervisión por gerencia del proceso de control de la
organización y la garantía independiente proporcionada por auditorías internas
o externas u obtenidas de fuentes alternativas.
Tópicos
Evaluación periódica, prestación de garantías
Supervisión gerencial del sistema de control
Medición de desempeño
Preguntas
¿Puede ser medido el desempeño de TI y pueden detectarse los
problemas antes de que sea demasiado tarde?
¿Se necesita garantía independiente para asegurar que las áreas
críticas funcionan de la manera pretendida?
DominiosOrientación de
Procesos
Monitorizar y EvaluarMonitorizar y Evaluar
IT
Processes
Business
Requirements
IT
Resources
IT
Processes
Business
Requirements
IT
Resources
24. © ITGI 2004 - not for commercial use. 24
M1 Monitorizar los procesos
M2 Evaluar la adecuación del control interno
M3 Obtener aseguramiento independiente
M4 Proporcionar auditoría independiente
Orientación de Procesos
Monitorizar y EvaluarMonitorizar y Evaluar
25. © ITGI 2004 - not for commercial use. 25
Datos: Objetos de datos en su sentido más amplio, i.e., externos e
internos, estructurados y no estructurados, gráficos, sonido, etc.
Aplicaciones de Sistemas: Entendidas como la suma de
procedimientos manuales y programados
Tecnología: Incluye hardware, sistemas operativos, sistemas de gestión
de base de datos, redes, multimedia, etc.
Instalaciones: Recursos que alojan y soportan los sistemas de
informacion
Gente: Habilidades del staff, conciencia y productividad para planificar,
organizar, adquirir, prestar, apoyar, monitorizar y evaluar sistemas y
servicios de información
Recursos de TI
IT
Processes
Business
Requirements
IT
Resources
IT
Processes
Business
Requirements
IT
Resources
26. © ITGI 2004 - not for commercial use. 26
Procesos
de TI
Recursos
de TI
Requerimientos
Negocios
Datos
Aplicaciones
de Sistemas
Tecnología
Instalaciones
Gente
Planificar y
Organizar
Adquirir e
Implementar
Prestar Servicios y
Soporte
Monitorizar y
Evaluar
Efectividad
Eficiencia
Confidencialidad
Integridad
Disponibilidad
Cumplimiento
Fiabilidad de la
información
¿Cómo se relacionan?
IT
Processes
Business
Requirements
IT
Resources
IT
Processes
Business
Requirements
IT
Resources
27. © ITGI 2004 - not for commercial use. 27
IT
Processes
IT
Resources
Business
Requirements
Data
Application
systems
Technology
Facilities
People
Plan and Organise
Aquire and
Implement
Deliver and
Support
Monitor and
Evaluate
Effectiveness
Efficiency
Confidentiality
Integrity
Availability
Compliance
Information
reliability
Como se organizaComo se organiza
TI para responder aTI para responder a
los requerimientoslos requerimientos
Como se organizaComo se organiza
TI para responder aTI para responder a
los requerimientoslos requerimientos
Lo que losLo que los
accionistasaccionistas
esperan de TIesperan de TI
Lo que losLo que los
accionistasaccionistas
esperan de TIesperan de TI
Los recursosLos recursos
disponibles ydisponibles y
acumulados por TIacumulados por TI
Los recursosLos recursos
disponibles ydisponibles y
acumulados por TIacumulados por TI
28. © ITGI 2004 - not for commercial use. 28
PO1 Definir un plan estratégico de TI
PO2 Definir la arquitectura de información
PO3 Determinar la dirección tecnológica
PO4 Definir la organización y relaciones de TI
PO5 Administrar la inversión de TI
PO6 Comunicar las metas y dirección de la gerencia
PO7 Administrar recursos humanos
PO8 Asegurar cumplimiento de requerimientos externos
PO9 Evaluar riesgos
PO10 Administrar proyectos
PO11 Administrar calidad
AI1 Identificar soluciones automatizadas
AI2 Adquirir y mantener software de aplicaciones
AI3 Adquirir y mantener infraestructura tecnológica
AI4 Desarrollar y mantener procedimientos de TI
AI5 Instalar y acreditar sistemas
AI6 Administrar cambios
M1 Monitorizar los procesos
M2 Evaluar adecuación del control interno
M3 Obtener aseguramiento independiente
M4 Proveer de auditoría independiente
DS1 Definir niveles de servicio
DS2 Administrar servicios de terceros
DS3 Administrar desempeño y capacidad
DS4 Asegurar continuidad de servicio
DS5 Garantizar seguridad de sistemas
DS6 Identificar y asignar costos
DS7 Educar y entrenar usuarios
DS8 Apoyar y asistir a clientes de TI
DS9 Administrar la configuración
DS10 Administrar problemas e incidentes
DS11 Administrar datos
DS12 Administrar instalaciones
DS13 Administrar operaciones
RECURSOS
DE TI
• Datos
• Aplicaciones
• Tecnología
• Instalaciones
• Gente PLANIFICAR Y
ORGANIZAR
ADQUIRIR E
IMPLEMENTAR
PRESTAR SERV
Y SOPORTE
• Efectividad
• Eficiencia
• Confidencialidad
• Integridad
• Disponibilidad
• Cumplimiento
• Fiabilidad
Criterios
Objetivos de Negocios
Marco de
COBIT
MONITORIZAR
Y EVALUAR
29. © ITGI 2004 - not for commercial use. 29
PROCESOS
DE NEGOCIOS
INFORMACIÓN
• Efectividad
• Eficiencia
• Confidencialidad
• Integridad
• Disponibilidad
• Cumplimiento
• Fiabilidad
Criterios
COBIT
RECURSOS
DE TI
• Datos
• Aplicación de sistemas
• Tecnología
• Instalaciones
• Gente PLANIFICAR
Y ORGANIZAR
ADQUIRIR E
IMPLEMENTAR
PRESTAR SERV
Y SOPORTE
Marco de
COBIT
Para proporcionarPara proporcionar
la informaciónla información
que laque la
organizaciónorganización
necesita paranecesita para
lograr suslograr sus
objetivosobjetivos,, loslos
recursos de TIrecursos de TI
deben serdeben ser
administrados poradministrados por
un conjunto deun conjunto de
procesosprocesos
naturalmentenaturalmente
agrupadosagrupados
MONITORIZAR
Y EVALUAR
30. © ITGI 2004 - not for commercial use. 30
Resumen hasta el momento
TI es indispensable para la supervivencia y crecimiento de las
empresas.
La gerencia es responsable del control.
Dicha responsabilidad requiere de un marco:
Los requerimientos de negocio pueden ser expresados como criterios
de información.
TI generalmente es organizada como un conjunto de procesos.
TI requiere de un conjunto de recursos.
COBIT es un estándar aceptado internacionalmente
Para proporcionar la información que la organizaciónPara proporcionar la información que la organización
necesita para lograr sus objetivosnecesita para lograr sus objetivos ,, los recursos de TIlos recursos de TI
deben ser administrados pordeben ser administrados por un conjunto naturalmenteun conjunto naturalmente
agrupado de procesosagrupado de procesos
Marco de COBIT
31. © ITGI 2004 - not for commercial use. 31
El Cubo COBIT
32. © ITGI 2004 - not for commercial use. 32
Dominios TI
RecursosTI
Criterios de
Información
Planificar y
Organizar
Adquirir e
Implementar
Entregar y
Mantener
Monitorizar
y Evaluar
GenteApliccaciónTecnologíaInstalaciones
Daosa
Efectividad
Eficiencia
C
onfidencialidad
Integridad
D
isponibilidad
C
um
plim
iento
Fiabilidad
S P
Ayudas de
Navegación
Cubo COBIT
33. © ITGI 2004 - not for commercial use. 33
ResumenResumen
ProcesProcesoos,s,
CriteriCriterios yos y
ReReccurursososs
34. © ITGI 2004 - not for commercial use. 34
ResumenResumen
ProcesProcesoos,s,
CriteriCriterios yos y
ReReccurursososs
35. © ITGI 2004 - not for commercial use. 35
EfectividadEficienciaConfidencialidad
IntegridadDisponibilidad
Cumplimiento
Fiabilidad
Gente
Aplicaciones
TecnologíaInstalaciones
Datos
Dominio Proceso
Adquirir e
Implementar
AI1 Identificar soluciones automatizadas P S
AI2 Adquirir y mantener software de aplicacines P P S S S
AI3 Adquirir y mantener infraestructura tecnológica P P S
AI4 Desarrollar y mantener procedimientos P P S S S
AI5 Instalar y acreditar sistemas P S S
AI6 Administrar cambios P P P P S
COBIT Resumen de Procesos, Criterios y Recursos
AI6
36. © ITGI 2004 - not for commercial use. 36
Tarea
El proceso CEl proceso COBIOBIT más importanteT más importante
““En un negocio con el cual esté familiarizadoEn un negocio con el cual esté familiarizado,,
¿cuál sería¿cuál sería elel procesproceso de TIo de TI mmásás importantimportantee?? ¿Por¿Por
quéqué?”?”
37. © ITGI 2004 - not for commercial use. 37
Productos COBIT Importantes
Objetivos de Control—Objetivos de Control—
““Los controles mínimosLos controles mínimos
son...”son...”
Directrices Gerenciales—Directrices Gerenciales—
““Así es como se mide…”Así es como se mide…”
Directrices de Auditoría—Directrices de Auditoría—
““Así es como se audita...”Así es como se audita...”
38. © ITGI 2004 - not for commercial use. 38
Definiciones de Control y Objetivos de Control
Las políticas, procedimientos, prácticas y estructuras
organizacionales diseñadas para proporcionar certeza razonable
de la consecución de los objetivos de negocios y prevención,
detección o corrección de eventos indeseables
Definición deDefinición de
ControlControl
Definición deDefinición de
Objetivo deObjetivo de
Control de TIControl de TI
Un enunciado del resultado deseado o propósito a lograr mediante
la implementación de prácticas de control en una actividad
particular de TI
39. © ITGI 2004 - not for commercial use. 39
Objetivo de control de alto nivel
• Uno por proceso
Objetivos de control detallados
• De tres a 30 por proceso
Prácticas de control
• De cinco a siete por objetivo de
control
Objetivos de Control y Prácticas de
Control
40. © ITGI 2004 - not for commercial use. 40
El control de
Procesos de TI que satisfacen
es habilitado por
Enunciados
de Control que consideran
Prácticas
de Control
El Modelo de Cascada
4 Domin4 Dominioios - 34 Process - 34 Proces oos - 318 Objetivs - 318 Objetiv ooss dede ControlControl
Requerimientos
de negocios
41. © ITGI 2004 - not for commercial use. 41
AI6AI6 Administrar cambiosAdministrar cambios
La administración de cambios a los programas de
computador es necesaria para asegurar la integridad
de procesamiento entre versiones, y la consistencia de
resultados entre períodos. Los cambios deben ser
formalmente administrados vía controles de solicitud
de cambio, evaluación de impacto, documentación,
políticas y procedimientos de autorización, liberación, y
distribución
Objetivo de Control de Alto Nivel
42. © ITGI 2004 - not for commercial use. 42
AI6
Objetivo
de Control
de Alto
Nivel
43. © ITGI 2004 - not for commercial use. 43
AI6
Objetivo
de Control
de Alto
Nivel
44. © ITGI 2004 - not for commercial use. 44
AI6 Administrar cambios
6.1 Solicitud de inicio de cambio y control
La administración de TI debe asegurar que todas las solicitudes de cambios, mantenimiento de
sistemas y mantenimiento de proveedores sean estandarizadas y sujetas a procedimientos
formales de administración de cambios. Los cambios deben ser categorizados y priorizados, y debe
haber procedimientos específicos para manejar cambios de urgencia. Los solicitantes de cambios
deben ser informados del estado de su solicitud.
6.2 Evaluación de impacto
Debe existir un procedimiento para asegurar que todas las solicitudes de cambio son evaluadas de
manera estructurada para determinar todos los posibles impactos sobre el sistema operacional y su
funcionalidad
6.3 Control de cambios
La administración de TI debe asegurar que la administración de cambios y el control y distribución
del software están integradas apropiadamente con un sistema comprehensivo de gestión de
configuración. El sistema utilizado para monitorizar los cambios a las aplicaciones de sistemas
debe ser automatizado para apoyar el registro y seguimiento de cambios hechos en sistemas de
información grandes y complejos.
6.4 Cambios de emergencia
La administración de TI debe establecer parámetros de definición de cambios de emergencia y
procedimientos para controlar estos cambios cuando obvien el proceso normal de evaluación
técnica, operacional y administrativa previo a su implementación. Los cambios de emergencia
deben ser registrados y autorizados por la administración de TI antes de ser implementados.
Objetivos de Control Detallados
45. © ITGI 2004 - not for commercial use. 45
Objetivos de Control Detallados
AI6 Administrar Cambios (continución)
6.5 Documentación y procedimientos
El proceso de cambios debe asegurar que, cada vez que se implementan cambios en el
sistema, la documentación y procedimientos asociados son documentados consiguientemente.
6.6 Mantenimiento autorizado
La administración de TI debe asegurar que el personal de mantenimiento tiene tareas
específicas y su trabajo es apropiadamente monitorizado. Además, sus derechos de acceso al
sistema deben ser controlados para evitar riesgos de acceso no autorizados a los sistemas
automatizados.
6.7 Política de liberación de software
La administración de TI debe asegurar que la liberación de software se controla con
procedimientos formales—garantiza corte, empaquetado, pruebas de regresión, instalación,
etc.
6.8 Distribución de software
Debe establecerse medidas específicas de control interno para asegurar la distribución del
elemento correcto de software, al lugar correcto, con integridad, oportunamente y con pistas de
auditoría adecuadas.
46. © ITGI 2004 - not for commercial use. 46
COBIT
AI6
Objetivos
de Control
Detallados
47. © ITGI 2004 - not for commercial use. 47
COBIT
AI6
Objetivos
de Control
Detallados
48. © ITGI 2004 - not for commercial use. 48
Prácticas de control. Son mecanismos claves de
control que apoyan:
• El logro de los objetivos de control
• La prevención, detección y corrección de eventos
indeseables
Prácticas de control. Logran lo anterior mediante:
• Utilización responsable de recursos
• Administración apropiada de riesgos
• Alineación de TI con el negocio
Traducen los objetivos de control de CTraducen los objetivos de control de COBIOBIT en prácticas detalladas eT en prácticas detalladas e
implementables y proporcionan la argumentación de negocios para suimplementables y proporcionan la argumentación de negocios para su
implementación, a partir de una perspectiva de valor y riesgosimplementación, a partir de una perspectiva de valor y riesgos
Prácticas de Control
49. © ITGI 2004 - not for commercial use. 49
1. La administración define parámetros, características y
procedimientos que identifican y declaran emergencias.
2. Todos los cambios de emergencia son documentados,
sino antes, después de la implementación.
3. Todos los cambios de emergencia son probados, sino
antes. después de la implementación.
4. Todos los cambios de emergencia son formalmente
autorizados por el propietario del sistema y la
administración antes de su implementación.
5. Imágenes antes y después así como logs de intervención
se guardan para revisión subsiguiente.
El control de cambios de emergen-
cia mediante la implementación de
prácticas control:
Asegurará que los procedi-
mientos de emergencia se usen
solo en emergencias declaradas
Asegurará que los cambios
urgentes se implementen sin
comprometer la integridad,
disponibilidad, fiabilidad,
seguridad, confidencialidad o
exactitud
AI6 Administrar cambiosAI6 Administrar cambios
AI6.4 Cambios de emergenciaAI6.4 Cambios de emergencia
La administración de TI debe establecer parámetros de definición de cambios de emergencia y
procedimientos para controlar estos cambios cuando obvien el proceso normal de evaluación técnica,
operacional y administrativa previo a su implementación. Los cambios de emergencia deben ser
registrados y autorizados por la administración de TI antes de ser implementados.
Prácticas de Control ¿Por qué se ejecutan?
Prácticas de Control
50. © ITGI 2004 - not for commercial use. 50
Productos COBIT Importantes
Objetivos de Control—Objetivos de Control—
““Los controles mínimos son...”Los controles mínimos son...”
Directrices Gerenciales—Directrices Gerenciales—
““Así es como se mide…”Así es como se mide…”
Directrices de Auditoría—Directrices de Auditoría—
““Así es como se audita...”Así es como se audita...”
51. © ITGI 2004 - not for commercial use. 51
Modelo de Governance de TI
Governance de TI ayuda a determinar la manera en
que los sistemas automatizados :
• Simplifican operaciones
• Reducen costos
• Aumentan las utilidades
Requiere de un marco de
control de TI
52. © ITGI 2004 - not for commercial use. 52
¿Cómo se enlaza COBIT con
Governance de TI?
Metas Responsabilidades
Objetivos
de control
Requerimientos
NegocioNegocio TITI GovernanceGovernance
Información que el
negocio necesita
para lograr sus
objetivos
Información que los
Ejecutivos y
Directorio necesitan
para ejercer sus
responsabilidades
Dirección y
Recursos
53. © ITGI 2004 - not for commercial use. 53
Governance de TIGovernance de TI
Metas Responsabilidades
Objetivos
de Control
Requerimientos
Negocio ITTI Governance
Información que
negocio necesita para
lograr sus objetivos
Dirección
(Estrategia de TI y Políticas)
Información
(Control de TI, Riesgos
y Seguridades)
¿Cómo se enlaza COBIT con
Governance de TI?
54. © ITGI 2004 - not for commercial use. 54
Sin embargo, la gerencia tiene preguntas
que sobrepasan el marco de control:
¿Cómo "mantiene el curso de la nave"
un gerente responsable? TABLERO DE CONTROL
¿Cómo lograr resultados satisfactorios para el
mayor segmento posible de nuestros stakeholders? SCORECARDS
¿Cómo adaptar oportunamente la organización
a las tendencias y desarrollos en el entorno de la
empresa?
BENCHMARKING
¿Indicadores?¿Indicadores?
¿Medidas?¿Medidas?
¿Escalas?¿Escalas?
Directrices Gerenciales
55. © ITGI 2004 - not for commercial use. 55
Control
Statements
Control
Practices
is enabled by
and considers
IT Processes
The control of
Business
Requirements
which satisfy
Descripción de Procesos
Factores Críticos de Éxito
(CSF)
Indicadores
Claves de Metas
(KGI)
Indicadores
Claves de
Desempeño
(KPI)
Criterios de
Información
Recursos
00 - No se aplican procesos de
administración.
11 - Procesos son ad hoc y desorganizados.
22 - Procesos siguen un patrón regular.
33 - Procesos se documentan y comunican.
44 - Procesos se monitorizan y miden.
55 – Se siguen las mejores prácticas y se
automatizan.
Modelo de Madurez
Marco de Directrices Gerenciales
56. © ITGI 2004 - not for commercial use. 56
Describen el resultado del proceso
(i.e., medibles después del hecho);
son medidas de “qué,” y pueden
describir el impacto de no lograr la
meta del proceso
Son indicadores del éxito del
proceso y su contribución al
negocio
Se enfocan en las dimensiones
cliente y financiera del balanced
scorecard
Indicadores Claves de Metas, KGI
Control
Statements
Control
Practices
is enabled by
and considers
IT Processes
The control of
Business
Requirements
which satisfy
Definiciones
57. © ITGI 2004 - not for commercial use. 57
Nivel incrementado de entrega de servicio
Número de clientes y costo por cliente atendido
Disponibilidad de sistemas y servicios
Ausencia de riesgos de integridad y confidencialidad
Eficiencia de costos de procesos y operaciones
Confirmación de fiabilidad y efectividad
Adherencia a costos y cronograma de desarrollo
Eficiencia de costos del proceso
Productividad y moral del staff
Número de cambios oportunos a procesos y sistemas
Productividad mejorada (e.g., producción de valor por empleado)
Indicadores Claves de Metas, KGI
Ejemplos
58. © ITGI 2004 - not for commercial use. 58
Son medidas de “cuán bien” se
desempeña un proceso
Predicen la probabilidad de éxito
o fracaso (lead indicators)
Se enfocan en las dimensiones
de proceso y aprendizaje del
balanced scorecard
Se expresan en términos
precisos y medibles
Deben servir para mejorar el
proceso de TI
Indicadores Claves de Desempeño, KPI
Control
Statements
Control
Practices
is enabled by
and considers
IT Processes
The control of
Business
Requirements
which satisfy
Definiciones
59. © ITGI 2004 - not for commercial use. 59
• Número de clientes de
TI
• Costo por cliente de TI
• Costo eficiencia de los
procesos de TI
• Entrega de valor de TI
por empleado
Información
• Disponibilidad de
sistemas y servicios
• Desarrollos a tiempo y
dentro de presupuesto
• “Throughput” y
tiempos de respuesta
• Cantidad de errores y
reproceso
• Nivel de servicio
entregado
• Satisfacción de los
clientes existentes
• Número de nuevos
clientes logrados
• Número de nuevos
canales de servicio
FFinanciera
ClienteCliente
• Productividad y moral del
staff
• Número de staff entrenados
en nuevas tecnologías /
servicios
• Entrega de valor por
empleado
• Disponibilidd aumentada de
sistemas de conocimiento
AprendizajeAprendizaje
PProceso
Indicadores Claves de Desempeño, KPI
Ejemplos
60. © ITGI 2004 - not for commercial use. 60
Son las cosas más importantes
que hacer para incrementar la
probabilidad de éxito del
proceso
Son características observables
—a menudo medibles—de la
organización y proceso
Se enfocan en obtener,
mantener y potenciar
capacidades, habilidades y
comportamiento
Factores Críticos de Éxito, CSF
Control
Statements
Control
Practices
is enabled by
and considers
IT Processes
The control of
Business
Requirements
which satisfy
Definiciones
61. © ITGI 2004 - not for commercial use. 61
Son lineamientos de implementación dirigidos a la gerencia e
identifican las cosas más importantes que hacer estratégica,
técnica, organizacional o procedimentalmente
Ejemplos de CSFs incluyen:
Los procesos de TI son definidos y alineados con las
estrategias de TI y los objetivos de negocios
Los clientes del proceso y sus expectativas son conocidos
Los procesos son escalables y sus recursos son gestionados y
desplegados apropiadamente
Factores Críticos de Éxito, CSF
Definiciones (cont.)
62. © ITGI 2004 - not for commercial use. 62
• El plan estratégico de TI claramente enuncia una
posicion de riesgo tal como uso de la tecnología de
punta o tecnología probada, innovador o seguidor,
con el consiguiente equilibrio entre tiempo para
mercadear, costo de propiedad y calidad de servicio.
• Si no está listo para hacer cumplir la política, no la
emita.
• Un programa de permisos de construcción para
construir sistemas de TI y un programa de “licencias
de conducir” para los constructores
• Un buen plan de seguridad demora en evolucionar.
EstrategiaEstrategia
PolíticaPolítica
CumplimientoCumplimiento
SeguridadSeguridad
Ejemplos
Factores Críticos de Éxito
63. © ITGI 2004 - not for commercial use. 63
Se refieren a los requerimientos de negocios (KGI en inglés) y a
los aspectos habilitadores (KPI en inglés) en los diferentes niveles
Son una escala que se presta a comparaciones prácticas, que
permite medir fácilmente la diferencia
Son reconocibles como un perfil de la empresa con relación a
governance y control de TI
Asisten en determinar como están y como serán las posiciones
relativas a governance y control de madurez y en analizar la
brecha
No son específicos de cada industria ni aplicables con
generalidad. La naturaleza del negocio determina cual es un nivel
apropiado
Modelos de Madurez
Definiciones
64. © ITGI 2004 - not for commercial use. 64
0 1 2 3 4 5
Inexistente Inicial Repetible Definido Administrado Optimizado
Status actual de la empresa
Lineamientos estándares internacionales
Mejores prácticas de la industria
Estrategia empresarial
Leyenda de Símbolos Usados Leyenda de Escala Usada
0 – No se aplica la administración de procesos
1 - Procesos son ad hoc y desorganizados
2 - Procesos siguen un patrón regular
3 - Procesos se documentan y comunican.
4 - Processes se monitorizan y miden
5 – Se siguen las mejores prácticas y se automatizan
Modelos de Madurez
Uso
65. © ITGI 2004 - not for commercial use. 65
AI6
Directrices
Gerenciales
66. © ITGI 2004 - not for commercial use. 66
AI6
Directrices
Gerenciales
67. © ITGI 2004 - not for commercial use. 67
AI6
Directrices
Gerenciales
68. © ITGI 2004 - not for commercial use. 68
AI6
Directrices
Gerenciales
69. © ITGI 2004 - not for commercial use. 69
AI6
Directrices
Gerenciales
70. © ITGI 2004 - not for commercial use. 70
AI6
Directrices
Gerenciales
71. © ITGI 2004 - not for commercial use. 71
AI6
Directrices
Gerenciales
72. © ITGI 2004 - not for commercial use. 72
Productos COBIT Importantes
Objetivos de Control—Objetivos de Control—
““Los controles mínimos son...”Los controles mínimos son...”
Lineamientos de Gerenciales—Lineamientos de Gerenciales—
““Así es como se mide…”Así es como se mide…”
Directrices de Auditoría—Directrices de Auditoría—
““Así es como se audita...”Así es como se audita...”
73. © ITGI 2004 - not for commercial use. 73
Proporcionar a la gerencia seguridad
razonable del cumplimiento de los objetivos de
control
Donde existan debilidades significativas de
control, fundamentar los riesgos resultantes
Proponer a la gerencia las acciones
correctivas
Objetivos de la Auditoría
““¿¿Estoy bien? Y, si no, ¿cómo lo arreglo? Estoy bien? Y, si no, ¿cómo lo arreglo? ””““¿¿Estoy bien? Y, si no, ¿cómo lo arreglo? Estoy bien? Y, si no, ¿cómo lo arreglo? ””
74. © ITGI 2004 - not for commercial use. 74
Estructura del Proceso de Auditoría
Identificación
y
Documentación
Evaluación Pruebas de
Cumplimiento
PruebasPruebas
SustantivasSustantivas
75. © ITGI 2004 - not for commercial use. 75
Un proceso de TI es auditado mediante:
• Obtención de entendimientoObtención de entendimiento de los riesgos relacionados con los
requerimientos de negocios y medidas de control relevantes
• Evaluación de lo apropiadoEvaluación de lo apropiado de los controles establecidos
• Evaluación de cumplimientoEvaluación de cumplimiento probando si los controles
establecidos trabajan según lo prescrito, consistente y
continuamente
• Fundamentación del riesgoFundamentación del riesgo de los objetivos de control
incumplidos mediante técnicas analíticas y/o consultando fuentes
alternativas
76. © ITGI 2004 - not for commercial use. 76
Una directriz genérica yUna directriz genérica y
34 directrices orientadas a procesos34 directrices orientadas a procesos
Una directriz genérica identifica varias tareas a
realizar para evaluar cualquier objetivo de control de
un proceso. Esta directriz genérica es un modelo
para todos los objetivos de control
Otros, son específicos, sugerencias de tareas
orientadas a procesos para proporcionar
seguridad a la gerencia de que existe un control con
un nivel razonable de efectividad
COBIT Directrices de Auditoría
77. © ITGI 2004 - not for commercial use. 77
Obtención de entendimiento
Los pasos de auditoría a ejecutar para documentar las actividades subyacentes a los
objetivos de control e identificar las medidas/procedimientos de control establecidos
Entreviste a las gerencias apropiadas y staff para obtener y adquirir un entendimiento de:
• Requerimientos de negocios y riesgos asociados
• Estructura de la organización
• Roles y responsabilidades
• Políticas y procedimientos
• Leyes y regulaciones
• Medidas de control establecidas
• Informes gerenciales (status, desempeño, acciones)
Documente los recursos de TI relacionados con procesos particularmente afectados por el
proceso en revisión
Confirme el entendimiento del proceso en revisión, las implicancias de control, e.g., mediante
un recorrido del proceso
Directriz Genérica de Auditoría (1 2 3 4)
78. © ITGI 2004 - not for commercial use. 78
Evaluación de Controles
Los pasos de auditoría a ejecutar con miras a evaluar la efectividad de los
controles establecidos o el grado de cumplimiento de los objetivos de control
Evalúe lo apropiado de las medidas de control del proceso en revisión mediante
la consideración de criterios identificados, practicas estándares de la industria y
aplicación
de juicio profesional. Determine si:
• Existe un proceso documentado
• Existen entregables apropiados
• La responsabilidad y rendición de cuentas son claras y efectivas
• Existen controles compensatorios en caso necesario
Concluya señalando el grado de cumplimiento de los objetivos de control
Directriz Genérica de Auditoría (1 2 3
4)
79. © ITGI 2004 - not for commercial use. 79
Evaluación de Cumplimiento
Los pasos de auditoría a ejecutar para asegurar que las medidas de control
establecidas trabajan según lo prescrito, consistente y continuamente
Obtenga evidencia directa o indirecta de ítems/períodos seleccionados para asegurar que
los procedimientos se han cumplido en el período de revisión, empleando tanto evidencia
directa como indirecta
Ejecute una limitada revisión de lo adecuado de los entregables del proceso
Determine el nivel de pruebas sustantivas y trabajo adicional necesarios para
proporcionar
seguridad de que el proceso de TI es adecuado.
Directriz Genérica de Auditoría (1 2 3 4)
80. © ITGI 2004 - not for commercial use. 80
Fundamentación del Riesgo
Los pasos de auditoría a ejecutar para fundamentar el riesgo de no cumplimiento
del objetivo de control mediante el uso de técnicas analíticas y/o consulta de
fuentes alternativas
Documente las debilidades de control y las correspondientes amenazas y
vulnerabilidades.
Identifique y documente el impacto actual y potencial
Directriz Genérica de Auditoría (1 2 3 4)
81. © ITGI 2004 - not for commercial use. 81
OBJETIVOS DE CONTROL
1. Interfaces con proveedores
2. Relaciones con propietarios
3. Contratos con terceros
4. Calificaciones de terceros
5. Contratos de tercerización
6. Continuidad de servicio
7. Relaciones de seguridad
8. Monitoreo
Directriz Detallada de Auditoría (1 de n)
DS2 Administración de servicios prestados
por terceros
82. © ITGI 2004 - not for commercial use. 82
TANTO LOS OBJETIVOS DE CONTROL DE ALTO
NIVEL COMO LOS DETALLADOS SON AUDITADOS
MEDIANTE:
Obtención de entendimiento por medio de:
Entrevistas
El jefe de TI
La dirección senior de TI
El administrador de contratos/niveles de
servicio de TI
La dirección de producción de TI
El oficial de seguridad
Directriz detallada de auditoría (1 de n)
DS2 Administración de servicios prestados
por terceros
83. © ITGI 2004 - not for commercial use. 83
TANTO LOS OBJETIVOS DE CONTROL DE ALTO
NIVEL COMO LOS DETALLADOS SON AUDITADOS
MEDIANTE:
Obtención de entendimiento por medio de:
La obtención de:
Políticas y procedimientos aplicables a toda la organización
relacionadas con los servicios comprados y, en particular,
las relaciones con terceros
Políticas y procedimientos de TI relacionadas con: relaciones con
terceros, procedimientos de selección de proveedores, contenido
del contrato de tales relaciones, seguridad física y lógica,
mantenimiento de calidad de proveedores, planeamiento de
contingencia y tercerización
Directriz detallada de auditoría (1 de n)
DS2 Administración de servicios prestados
por terceros
84. © ITGI 2004 - not for commercial use. 84
TANTO LOS OBJETIVOS DE CONTROL DE ALTO
NIVEL COMO LOS DETALLADOS SON AUDITADOS
MEDIANTE:
Obtención de entendimiento por medio de:
La obtención de (continuación):
La lista de todas las relaciones tercerizadas actuales y los
contratos
reales asociados con cada una
Información de nivel de servicio relacionada con las relaciones y
servicios de terceros
Actas de reuniones en que se discutió la revisión del contrato,
evaluación de desempeño y gestión de la relación
Los acuerdos de confidencialidad de todas las relaciones
tercerizadas
Directriz detallada de auditoría (1 de n)
DS2 Administración de servicios
prestados por terceros
85. © ITGI 2004 - not for commercial use. 85
TANTO LOS OBJETIVOS DE CONTROL DE ALTO
NIVEL COMO LOS DETALLADOS SON AUDITADOS
MEDIANTE:
Obtención de entendimiento por medio de:
La obtención de (continuación):
Los listados de perfiles de acceso de seguridad y recursos de los
proveedores
Directriz detallada de auditoría (1 de n)
DS2 Administración de servicios prestados por terceros
86. © ITGI 2004 - not for commercial use. 86
TANTO LOS OBJETIVOS DE CONTROL DE ALTO
NIVEL COMO LOS DETALLADOS SON AUDITADOS
MEDIANTE:
Evaluación de controles mediante:
Considerando si:
Existen políticas y procedimientos para las relaciones
tercerizadas y éstas son consistentes con las políticas
organizacionales generales
Existen políticas que tratan de la necesidad de contratos,
definición del contenido de los contratos, propietario o
administrador de la relación responsable de asegurar que los
contratos se creen, mantengan, supervisen y renegocien
según sea requerido
Directriz detallado de auditoría (1 de n)
DS2 Administración de servicios prestados por terceros
87. © ITGI 2004 - not for commercial use. 87
TANTO LOS OBJETIVOS DE CONTROL DE ALTO
NIVEL COMO LOS DETALLADOS SON AUDITADOS
MEDIANTE:
Evaluación de controles mediante:
Considerando si (continuación):
Se definen las interfaces con agentes independientes
involucrados en la conducción del proyecto y cualquier otra
parte, tales como subcontratistas
Los contratos representan un registro exhaustivo y completo
de relaciones con proveedor de servicios de terceros
Se establecen contratos específicamente para la continuidad
de servicio, y estos contratos incluyen el planeamiento de
contingencia por el proveedor para asegurar el servicio
Directriz detallado de auditoría (1 de n)
DS2 Administración de servicios prestados por terceros
88. © ITGI 2004 - not for commercial use. 88
TANTO LOS OBJETIVOS DE CONTROL DE ALTO
NIVEL COMO LOS DETALLADOS SON AUDITADOS
MEDIANTE:
Evaluación de controles mediante:
Considerando si (continuación):
El contenido del contrato incluye por lo menos lo siguiente
gestión formal y aprobación legal
entidad legal proveedora de servicios
servicios proporcionados
acuerdos de nivel de servicios tanto cualitativos como
cuantitativos
costo de servicios y frecuencia de pago de los servicios
proceso de resolución de problemas
las multas por faltas de desempeño
Directriz detallada de auditoría (1 de n)
DS2 Administración de servicios prestados por terceros
89. © ITGI 2004 - not for commercial use. 89
TANTO LOS OBJETIVOS DE CONTROL DE ALTO
NIVEL COMO LOS DETALLADOS SON AUDITADOS
MEDIANTE:
Evaluación de controles mediante:
Considerando si (continuación):
El contenido del contrato incluye por lo menos lo
siguiente (continuación)
proceso de disolución
proceso de modificación
informes de servicio - contenido, frecuencia, y distribución
los roles de las partes contratantes durante la vida de
contrato
garantías de continuidad de que los servicios continuarán
siendo proporcionados por el proveedor
Directriz detallada de auditoría (1 de n)
DS2 Administración de servicios prestados por terceros
90. © ITGI 2004 - not for commercial use. 90
TANTO LOS OBJETIVOS DE CONTROL DE ALTO
NIVEL COMO LOS DETALLADOS SON AUDITADOS
MEDIANTE:
Evaluación de controles mediante:
Considerando si (continuación):
El contenido del contrato incluye por lo menos lo
siguiente (continuación)
proceso y frecuencia de comunicación entre el usuario de
servicios y el proveedor
duración del contrato
nivel de acceso proporcionado al proveedor
requisitos de seguridad
garantías de confidencialidad
derecho de acceso y derecho de auditar
Directriz detallada de auditoría (1 de n)
DS2 Administración de servicios prestados por terceros
91. © ITGI 2004 - not for commercial use. 91
TANTO LOS OBJETIVOS DE CONTROL DE ALTO
NIVEL COMO LOS DETALLADOS SON AUDITADOS
MEDIANTE:
Evaluación de controles mediante:
Considerando si:
Se ha negociado los acuerdos de garantía de ser apropiado
Los proveedores potenciales son calificados
apropiadamente
a través de una valoración de su capacidad de prestar el
servicio requerido (diligencia debida)
Directriz detalladao de auditoría (1 de n)
DS2 Administración de servicios prestados por terceros
92. © ITGI 2004 - not for commercial use. 92
TANTO LOS OBJETIVOS DE CONTROL DE ALTO
NIVEL COMO LOS DETALLADOS SON AUDITADOS
MEDIANTE:
Evaluación del cumplimiento mediante:
Probando que:
La lista de contratos, y los contratos reales existentes, es
exacta
Ningún servicio es proporcionado por proveedores que no
están en la lista de contratos
Los proveedores de los contratos están realmente
ejecutando
los servicios definidos
La administración/propietarios del proveedor entienden sus
Directriz detallada de auditoría (1 de n)
DS2 Administración de servicios prestados por terceros
93. © ITGI 2004 - not for commercial use. 93
TANTO LOS OBJETIVOS DE CONTROL DE ALTO
NIVEL COMO LOS DETALLADOS SON AUDITADOS
MEDIANTE:
Evaluación del cumplimiento mediante
Probando que (continuación):
Las políticas y procedimientos que tienen que ver con las
relaciones con terceras partes existen y son consistente con
las políticas generales de la organización
Existen políticas que tratan específicamente de la necesidad
de contratos, definición del contenido de contratos,
propietario o administrador de la relación responsable de
asegurar que los contratos se creen, mantengan, supervisen
Directriz detallada de auditoría (1 de n)
DS2 Administración de servicios prestados por terceros
94. © ITGI 2004 - not for commercial use. 94
TANTO LOS OBJETIVOS DE CONTROL DE ALTO
NIVEL COMO LOS DETALLADOS SON AUDITADOS
MEDIANTE:
Evaluación del cumplimiento mediante
Probando que (continuación):
Los contratos representan un registro exhaustivo y completo
de relaciones tercerizadas con proveedores
Se establecen contratos específicamente para continuidad
de
servicios, y que estos contratos incluyen el planeamiento de
contingencia por el proveedor para asegurar el servicio
continuo al usuario de servicios
Directriz detallada de auditoría (1 de n)
DS2 Administración de servicios prestados por terceros
95. © ITGI 2004 - not for commercial use. 95
TANTO LOS OBJETIVOS DE CONTROL DE ALTO
NIVEL COMO LOS DETALLADOS SON AUDITADOS
MEDIANTE:
Evaluación del cumplimiento mediante
Probando que (continuación):
El contenido del contrato incluye por lo menos lo siguiente:
gestión formal y aprobación legal
entidad legal proveedora de servicios
servicios proporcionados
acuerdos de nivel de servicios tanto cualitativos como
cuantitativos
costo de servicios y frecuencia de pago de los servicios
proceso de resolución de problemas
las multas por faltas de desempeño
Directriz detallada de auditoría (1 de n)
DS2 Administración de servicios prestados por terceros
96. © ITGI 2004 - not for commercial use. 96
TANTO LOS OBJETIVOS DE CONTROL DE ALTO
NIVEL COMO LOS DETALLADOS SON AUDITADOS
MEDIANTE:
Evaluación del cumplimiento mediante:
Probando que (continuación):
El contenido del contrato incluye por lo menos lo
siguiente (continuación)
proceso de disolución
proceso de modificación
informes de servicio - contenido, frecuencia, y distribución
los roles de las partes contratantes durante la vida del
contrato
garantías de continuidad de que los servicios continuarán
siendo proporcionados por el proveedor
Directriz detallada de auditoría (1 de n)
DS2 Administración de servicios prestados por terceros
97. © ITGI 2004 - not for commercial use. 97
TANTO LOS OBJETIVOS DE CONTROL DE ALTO
NIVEL COMO LOS DETALLADOS SON AUDITADOS
MEDIANTE:
Evaluación del cumplimiento mediante:
El contenido del contrato incluye por lo menos lo
siguiente (continuación)
proceso y frecuencia de comunicación entre el usuario de
servicios y el proveedor
duración del contrato
nivel de acceso proporcionado al proveedor
requisitos de seguridad
garantías de confidencialidad
derecho de acceso y derecho de auditar
Directriz detallada de auditoría (1 de n)
DS2 Administración de servicios prestados por terceros
98. © ITGI 2004 - not for commercial use. 98
TANTO LOS OBJETIVOS DE CONTROL DE ALTO
NIVEL COMO LOS DETALLADOS SON AUDITADOS
MEDIANTE:
Evaluación del cumplimiento mediante:
Probando que (continuación):
Los usuarios son conscientes y entienden la necesidad de
las
políticas de contratos y de los contratos para proporcionar
servicios
Existe independencia apropiada entre el proveedor y la
organización
Existe independencia entre la búsqueda y los procesos de
selección del proveedor
Las listas de accesos de seguridad incluyen sólo el número
mínimo de personal del proveedor requerido, y el acceso es
el mínimo necesario
Directriz detallada de auditoría (1 de n)
DS2 Administración de servicios prestados por terceros
99. © ITGI 2004 - not for commercial use. 99
TANTO LOS OBJETIVOS DE CONTROL DE ALTO
NIVEL COMO LOS DETALLADOS SON AUDITADOS
MEDIANTE:
Evaluación del cumplimiento mediante:
Probando que (continuación):
El acceso vía hardware y software a los recursos de la
organización es administrado y controlado para minimizar el
uso del proveedor
El nivel real de servicio logrado se compara favorablemente
con las obligaciones contractuales
Las instalaciones de outsourcing, personal, operaciones y
control aseguran el nivel requerido de desempeño
comparable a lo esperado
La administración realiza un monitoreo continuo de la
Directriz detallada de auditoría (1 de n)
DS2 Administración de servicios prestados por terceros
100. © ITGI 2004 - not for commercial use. 100
TANTO LOS OBJETIVOS DE CONTROL DE ALTO
NIVEL COMO LOS DETALLADOS SON AUDITADOS
MEDIANTE:
Evaluación del cumplimiento mediante:
Probando que (continuación):
Ocurren auditorías independientes de las operaciones del
contratista
Existen informes de valoración de terceras partes potenciales
para evaluar su capacidad de entregar el servicio requerido
Historia de actividad de litigación - pasada y actual
Las interfaces con agentes independientes involucrados en
la
conducción del proyecto se documentan en el contrato
Los contratos con proveedores de Private Branch Exchange
(PBX) se incluyen
Directriz detallada de auditoría (1 de n)
DS2 Administración de servicios prestados por terceros
101. © ITGI 2004 - not for commercial use. 101
TANTO LOS OBJETIVOS DE CONTROL DE ALTO
NIVEL COMO LOS DETALLADOS SON AUDITADOS
MEDIANTE:
Fundamentando el riesgo de incumplimiento de los
objetivos control mediante:
La ejecución de:
Benchmarking de servicios tercerizados contra los
proporcionados por organizaciones similares o estándares
internacionales apropiados /mejores prácticas reconocidas
de la industria
Una revisión detallada de cada contrato con terceros para
determinar las provisiones cualitativas y cuantitativas que
confirmen que las obligaciones están definidas
Directriz detallada de auditoría (1 de n)
DS2 Administración de servicios prestados por terceros
102. © ITGI 2004 - not for commercial use. 102
TANTO LOS OBJETIVOS DE CONTROL DE ALTO
NIVEL COMO LOS DETALLADOS SON AUDITADOS
MEDIANTE:
Fundamentando el riesgo de incumplimiento de los
objetivos control mediante:
Identificando:
Provisiones que describen la coordinación y comunicación
de
la relación entre proveedor y usuario de los servicios de
información
Las facturas de terceros reflejan los cargos exactos por los
servicios de los contratos seleccionados
El enlace de la organización con los proveedores
tercerizados
asegura la comunicación de problemas del contrato entre las
Directriz detallada de auditoría (1 de n)
DS2 Administración de servicios prestados por terceros
103. © ITGI 2004 - not for commercial use. 103
TANTO LOS OBJETIVOS DE CONTROL DE ALTO
NIVEL COMO LOS DETALLADOS SON AUDITADOS
MEDIANTE:
Fundamentando el riesgo de incumplimiento de los
objetivos control mediante:
Identificando:
Se realiza una valoración continuada de riesgo para
confirmar
la necesidad de la relación o la necesidad de modificar la
relación
Ocurre la revisión y la acción correctiva continua por parte de
la dirección basada en informes de contratos
Se compara la razonabilidad de los cargos con medidas de
desempeño internas, externas y de industrias comparables
Todos los servicios contratados tienen planes de
contingencia
Directriz detallada de auditoría (1 de n)
DS2 Administración de servicios prestados por terceros
104. © ITGI 2004 - not for commercial use. 104
TANTO LOS OBJETIVOS DE CONTROL DE ALTO
NIVEL COMO LOS DETALLADOS SON AUDITADOS
MEDIANTE:
Fundamentando el riesgo de incumplimiento de los
objetivos control mediante:
Identificando (conclusión):
Para las funciones tercerizadas, las limitaciones claras o las
oportunidades de mejorar desempeño o reducir los costos
que existen
Ocurre la implementación de recomendaciones resultado de
las auditorías independientes del contratista
Directriz detallada de auditoría (1 de n)
DS2 Administración de servicios prestados por terceros
105. © ITGI 2004 - not for commercial use. 105
Cómo se enlazan los Directrices de
Auditoría y los Objetivos de Control
Obtención de entendimientoObtención de entendimiento
Evaluación de apropiabilidadEvaluación de apropiabilidad
Evaluación de cumplimientoEvaluación de cumplimiento
Fundamentación del riesgoFundamentación del riesgo
Objetivos de control traducidos para verificar si son
tratados y si se toma en cuenta su apropiabilidad para la
empresa y las afirmaciones de la gerencia sobre su
presencia
Objetivos de control traducidos para probar y/o medir si
los controles de apoyo de los objetivos de control están
presentes como se afirma y si operan satisfactoriamente
• Compilar información relacionada con procesos de negocios, riesgos, infraestructura, etc.
• Ilustrar objetivos de negocios incumplidos, pérdidas, etc, debido a la ausencia de
control
106. © ITGI 2004 - not for commercial use. 106
Negocio
Procesos
de TI
Directrices de
Auditoría
Objetivos
de Control
Prácticas de
Control
Factores
Críticos
de Éxito
Indicadores
Claves de
Desempeño
Indicadores
Claves de
Metas
Modelos de
Madurez
requerimientos información
m
edidas
con
controlados por
implementad
con
auditados
por
de
desem
peño
deresultados
de
m
adurez
hechosefectivos
yeficientescon
se
traducen
en
= considera
Cómo se enlazan las directrices de
auditoría y los demás elementos de
COBIT
Notas del editor To satisfy business objectives, information needs to conform to certain criteria, which COBIT refers to as “business requirements for information.” In establishing the list of requirements, COBIT combines the principles embedded in existing and known reference models:
QUALITY requirements include quality, cost and delivery. This is no different than the historical “better, cheaper and faster” approach.
FIDUCIARY requirements recently have been outlined by the Committee of Sponsoring Organisations (Treadway Commission) indicating that management must attest to its organisation’s effectiveness and efficiency of operations, reliability of financial reporting (not financial reports), and compliance with laws and regulations.
SECURITY requirements require confidentiality, integrity and availability of all information.
Present the 11 high-level objectives contained in the Plan and Organise domain.
Present the six high-level objectives contained in the Acquire and Implement domain.
Present the 13 high-level objectives contained in the Deliver and Support domain.
Please give personal comments or experience with this process.
Based on the IT governance model, to ensure that management reaches its business objectives, it must direct and manage IT activities to reach an effective balance between managing risks and realising benefits. To accomplish this, management needs to identify the most important activities to be performed, measure progress towards achieving goals and determine how well the IT processes are performing.
The critical success factors (CSFs) were defined to support the objectives of the IT governance model. The key goal indicators (KGIs) and key performance indicators (KPIs) presented in the next sections are defined to support monitoring the performance of the organisation relative to these objectives.
This slide outlines the first of the four-part generic audit guideline—Obtaining Understanding.
The audit steps to be performed to document the activities underlying the control objectives as well as to identify the control measures/procedures put in place.
(READ STEPS ALOUD IF YOU LIKE.)
Reference: Page 20 of COBIT Audit Guidelines
This slide outlines the second of the four-part generic audit guideline—Evaluating Controls.
The audit steps to be performed, in light of assessing the effectiveness of control measures in place or the degree to which the control objective is achieved.
(READ STEPS ALOUD IF YOU LIKE.)
Reference: Page 20 of COBIT Audit Guidelines
This slide outlines the third of the four-part generic audit guideline—Assessing Compliance
The audit steps to be performed to ensure that the control measure established are working as prescribed consistently and continuously.
(READ STEPS ALOUD IF YOU LIKE.)
Reference: Page 20 of COBIT Audit Guidelines
This slide outlines the last and fourth part of the generic audit guideline—Substantiating Risk
The audit steps to be performed to substantiate the risk of the control objective not being met by using analytical techniques and/or consulting alternative sources.
(READ STEPS ALOUD IF YOU LIKE.)
Reference: Page 20 of COBIT Audit Guidelines
This slide outlines the first of the four-part generic audit guideline—Obtaining Understanding.
The audit steps to be performed to document the activities underlying the control objectives as well as to identify the control measures/procedures put in place.
(READ STEPS ALOUD IF YOU LIKE.)
Reference: Page 20 of COBIT Audit Guidelines
This slide outlines the first of the four-part generic audit guideline—Obtaining Understanding.
The audit steps to be performed to document the activities underlying the control objectives as well as to identify the control measures/procedures put in place.
(READ STEPS ALOUD IF YOU LIKE.)
Reference: Page 20 of COBIT Audit Guidelines
This slide outlines the first of the four-part generic audit guideline—Obtaining Understanding.
The audit steps to be performed to document the activities underlying the control objectives as well as to identify the control measures/procedures put in place.
(READ STEPS ALOUD IF YOU LIKE.)
Reference: Page 20 of COBIT Audit Guidelines
This slide outlines the first of the four-part generic audit guideline—Obtaining Understanding.
The audit steps to be performed to document the activities underlying the control objectives as well as to identify the control measures/procedures put in place.
(READ STEPS ALOUD IF YOU LIKE.)
Reference: Page 20 of COBIT Audit Guidelines
This slide outlines the first of the four-part generic audit guideline—Obtaining Understanding.
The audit steps to be performed to document the activities underlying the control objectives as well as to identify the control measures/procedures put in place.
(READ STEPS ALOUD IF YOU LIKE.)
Reference: Page 20 of COBIT Audit Guidelines
This slide outlines the first of the four-part generic audit guideline—Obtaining Understanding.
The audit steps to be performed to document the activities underlying the control objectives as well as to identify the control measures/procedures put in place.
(READ STEPS ALOUD IF YOU LIKE.)
Reference: Page 20 of COBIT Audit Guidelines
This slide outlines the first of the four-part generic audit guideline—Obtaining Understanding.
The audit steps to be performed to document the activities underlying the control objectives as well as to identify the control measures/procedures put in place.
(READ STEPS ALOUD IF YOU LIKE.)
Reference: Page 20 of COBIT Audit Guidelines
This slide outlines the first of the four-part generic audit guideline—Obtaining Understanding.
The audit steps to be performed to document the activities underlying the control objectives as well as to identify the control measures/procedures put in place.
(READ STEPS ALOUD IF YOU LIKE.)
Reference: Page 20 of COBIT Audit Guidelines
This slide outlines the first of the four-part generic audit guideline—Obtaining Understanding.
The audit steps to be performed to document the activities underlying the control objectives as well as to identify the control measures/procedures put in place.
(READ STEPS ALOUD IF YOU LIKE.)
Reference: Page 20 of COBIT Audit Guidelines
This slide outlines the first of the four-part generic audit guideline—Obtaining Understanding.
The audit steps to be performed to document the activities underlying the control objectives as well as to identify the control measures/procedures put in place.
(READ STEPS ALOUD IF YOU LIKE.)
Reference: Page 20 of COBIT Audit Guidelines
This slide outlines the first of the four-part generic audit guideline—Obtaining Understanding.
The audit steps to be performed to document the activities underlying the control objectives as well as to identify the control measures/procedures put in place.
(READ STEPS ALOUD IF YOU LIKE.)
Reference: Page 20 of COBIT Audit Guidelines
This slide outlines the first of the four-part generic audit guideline—Obtaining Understanding.
The audit steps to be performed to document the activities underlying the control objectives as well as to identify the control measures/procedures put in place.
(READ STEPS ALOUD IF YOU LIKE.)
Reference: Page 20 of COBIT Audit Guidelines
This slide outlines the first of the four-part generic audit guideline—Obtaining Understanding.
The audit steps to be performed to document the activities underlying the control objectives as well as to identify the control measures/procedures put in place.
(READ STEPS ALOUD IF YOU LIKE.)
Reference: Page 20 of COBIT Audit Guidelines
This slide outlines the first of the four-part generic audit guideline—Obtaining Understanding.
The audit steps to be performed to document the activities underlying the control objectives as well as to identify the control measures/procedures put in place.
(READ STEPS ALOUD IF YOU LIKE.)
Reference: Page 20 of COBIT Audit Guidelines
This slide outlines the first of the four-part generic audit guideline—Obtaining Understanding.
The audit steps to be performed to document the activities underlying the control objectives as well as to identify the control measures/procedures put in place.
(READ STEPS ALOUD IF YOU LIKE.)
Reference: Page 20 of COBIT Audit Guidelines
This slide outlines the first of the four-part generic audit guideline—Obtaining Understanding.
The audit steps to be performed to document the activities underlying the control objectives as well as to identify the control measures/procedures put in place.
(READ STEPS ALOUD IF YOU LIKE.)
Reference: Page 20 of COBIT Audit Guidelines
This slide outlines the first of the four-part generic audit guideline—Obtaining Understanding.
The audit steps to be performed to document the activities underlying the control objectives as well as to identify the control measures/procedures put in place.
(READ STEPS ALOUD IF YOU LIKE.)
Reference: Page 20 of COBIT Audit Guidelines
This slide outlines the first of the four-part generic audit guideline—Obtaining Understanding.
The audit steps to be performed to document the activities underlying the control objectives as well as to identify the control measures/procedures put in place.
(READ STEPS ALOUD IF YOU LIKE.)
Reference: Page 20 of COBIT Audit Guidelines
This slide outlines the first of the four-part generic audit guideline—Obtaining Understanding.
The audit steps to be performed to document the activities underlying the control objectives as well as to identify the control measures/procedures put in place.
(READ STEPS ALOUD IF YOU LIKE.)
Reference: Page 20 of COBIT Audit Guidelines
This slide outlines the first of the four-part generic audit guideline—Obtaining Understanding.
The audit steps to be performed to document the activities underlying the control objectives as well as to identify the control measures/procedures put in place.
(READ STEPS ALOUD IF YOU LIKE.)
Reference: Page 20 of COBIT Audit Guidelines
This slide outlines the first of the four-part generic audit guideline—Obtaining Understanding.
The audit steps to be performed to document the activities underlying the control objectives as well as to identify the control measures/procedures put in place.
(READ STEPS ALOUD IF YOU LIKE.)
Reference: Page 20 of COBIT Audit Guidelines
This slide outlines the first of the four-part generic audit guideline—Obtaining Understanding.
The audit steps to be performed to document the activities underlying the control objectives as well as to identify the control measures/procedures put in place.
(READ STEPS ALOUD IF YOU LIKE.)
Reference: Page 20 of COBIT Audit Guidelines
This slide outlines the first of the four-part generic audit guideline—Obtaining Understanding.
The audit steps to be performed to document the activities underlying the control objectives as well as to identify the control measures/procedures put in place.
(READ STEPS ALOUD IF YOU LIKE.)
Reference: Page 20 of COBIT Audit Guidelines
This slide outlines the first of the four-part generic audit guideline—Obtaining Understanding.
The audit steps to be performed to document the activities underlying the control objectives as well as to identify the control measures/procedures put in place.
(READ STEPS ALOUD IF YOU LIKE.)
Reference: Page 20 of COBIT Audit Guidelines