SlideShare una empresa de Scribd logo

Meycor cobit estudio de caso

Descargar como DOCX, PDF
Universidad Peruana Unión
Universidad Peruana Unión

Un caso para aprender a utilizar Meycor Cobit

Tecnología
1 de 11
Gestión de Auditoría de TI tomando como referencia Cobit 4.1 utilizando Meycor Cobit para Ecopetrol 1. Descripción del caso Introducción Ecopetrol SA esuna compañía dedicadaa la exploración,desarrolloyproducción de petróleo crudo y gas natural. En 2007, Ecopetrol actualiza su estrategia corporativa con objetivos de crecimientoclaramentedefinidosparalospróximosañosque requeríancambiosimportantes y mejoras en la estructura de la organización y procesos que apoyan los objetivos estratégicos. En consecuencia,hubohitosimportantescomolatransformaciónde la naturaleza jurídica de la empresa, el inicio de las operaciones internacionales y la adopción del marco COSO para fortalecer el sistema de control interno. La compañía cotiza sus acciones en la Bolsa de Valores de Nueva York desde septiembre de 2008. Alineado con el despliegue estratégico y para dar una respuesta oportuna y efectiva a las necesidades generadas por la situación de la empresa, la División de Tecnología de la Información decidió, en 2008, integrar un sistema de gestión de TI, basado en un marco adecuado. COBIT fue seleccionado como el marco de gobierno de TI adecuada para implementar su sistema de gestión de TI. La empresa Ecopetrol SA esla mayor compañía integradade petróleode Colombiaconaproximadamente 7500 empleados directos. Es una de las 40 principales empresas petroleras del mundo y las cuatro compañías petroleras más grandes de América Latina. Además de Colombia, que representael 60 por cientode laproducción total,lacompañía tiene presenciaenactividades de exploración y producción en Brasil, Perú y Estados Unidos (Golfo de México). La revista Forbes la ubica en el puesto 114 de su ranking de empresas líderes (mayo 2013). El código de buen gobierno de Ecopetrol cuenta con las mejores prácticas corporativas necesarias para preservar la ética empresarial, la administración y el control de la compañía de forma correcta. Esto permite que laempresapuedacompetira través del reconocimiento y el respetode losderechosde losaccionistas,losinversoresyotraspartes interesadas sobre la base de políticas claras de transparencia en la gestión y divulgación de la información acerca de laempresa,que a suvezgenerauna mayorconfianzaentre laspartes interesadas y el mercado en general. El sistema de control interno de Ecopetrol se enmarca dentro de los estándares internacionales (COSO). La División de Tecnología de Información de Ecopetrol depende del Vicepresidente de Innovación y Tecnología y está a cargo del proceso de gestión de la información para la empresa en dos frentes principales: soluciones y aprovisionamiento de tecnología de la información y los servicios de infraestructura de desarrollo e implementación de TI para apoyar los procesos de negocio.
La División de Tecnología de la Información, que tiene cerca de 180 empleados directos, es responsable de asegurar el gobierno de TI. Tiene una muy fuerte estructura interna, distribuida de una manera que satisfaga las necesidades de los proyectos de desarrollo de negocios, implementación, operación y soporte de soluciones y proporciona los servicios requeridos. Además,contieneunaunidadde gestiónyde arquitecturayunárea de seguridad de la información en respuesta al más alto nivel de la División de TI. Organigrama de Ecopetrol Gobierno de TI - COBIT En 2008, la Divisiónde Tecnologíade laInformacióneligióCOBITcomo marco de gobierno de TI adecuadapara integrarun sistemade gestiónde TI, en base a las siguientes características de COBIT:  Permite el mapeo de los objetivos de TI con los objetivos empresariales.  Es el resultado de una mejor alineación, basado en un enfoque de negocio.  Proporciona una visión de lo que hace que sea comprensible para la gerencia.  Indicaclaramente lapropiedadylaresponsabilidadbasadaenlaorientacióndel proceso.  En general se acepta por parte de terceros y reguladores.  Proporcionaunentendimientocompartidoentretodoslosinteresados, sobre la base de un lenguaje común.  Cumple conlosrequisitosde COSO y Sarbanes-Oxley para el ambiente de control de TI. En el últimotrimestre de 2008, la Divisiónde TIdefinióloslineamientos,procesosy objetivos de control a implementar. Del mismo modo, la división identificó los recursos internos que apoyarían laimplementacióndel sistema y los recursos asignados para la contratación de los consultores externos requeridos.
El equipo estableció un proyecto, prestando especial atención a las siguientes cuestiones:  La asignaciónde recursos yun equipointerdisciplinario con representantes de las áreas involucradas en TI.  Definición de los puntos de relación con las unidades de negocio y otras unidades de apoyo y la interacción con las áreas clave: Finanzas, Riesgos, Estrategia, Calidad y Auditoría Interna y Externa-de manera continua  Alineación con los proyectos empresariales: el fortalecimiento del sistema de control interno (COSO) y cumplimiento (Ley Sarbanes-Oxley). Se consideraron las distintas iniciativas de negocio y proyectos en curso para asegurar la coordinación e integración de esfuerzos.  Una política de presentación de informes al más alto nivel de gestión, y cada semana reuniones de seguimiento del proyecto  Identificaciónde lasaplicaciones (Sarbanes-Oxley, componente en SAP) y otros críticos de los procesos de negocio. Del mismo modo, la comprensión de las personas, los recursos y las infraestructuras asociadas a estas aplicaciones. Ecopetrol decidió implementar 28 procesos de COBIT, dando prioridad a los objetivos de control que apoyan el cumplimiento de la ley Sarbanes-Oxley. El equipo del proyecto desarrolló el diseño y la documentación de los procesos y, posteriormente, la aplicación y el seguimiento de la operación para la realización de los ajustesnecesarios. Comoresultadode ello,enjuniode 2009, laDivisiónhabía implementado y asegurado14 procesos de COBITde altaprioridad. Para diciembre de 2009, los 28 se habían implementado. Durante el segundo semestre de 2009 y el primer trimestre de 2010, se realizaron auditorías internasyexternas paraevaluarel cumplimientode laley Sarbanes-Oxley. Se implementaron varias medidas para la recuperación y mejora de los procesos y controles de TI clave. Como resultado de ello, el auditor externo informó que no había deficiencias significativas o debilidades materiales en los controles de TI que necesitan ser reportado por el CIO, el director financiero, el director general o el auditor. Durante el último trimestre de 2009, la División de TI contrató a un consultor externo para llevar a cabo la evaluación del nivel de madurez de COBIT para los catorce procesos críticos. La evaluaciónconfirmólaconsecucióndelnivel 3endoce procesosy el nivel 4 en dos procesos. Asimismo,lacompañíareestructuróel áreade Cumplimientode TI, tomando como referencia las buenas prácticas del marco COBIT. Para el año 2011, Ecopetrol tenía implementados los 31 procesos de COBIT integrados en su sistema de gestión de TI, todos operando entre los niveles 3 y 4. Para los siguientes años se espera alcanzar el nivel 4 en todos los procesos. La Divisiónde Tecnologíade la Informaciónestáestudiandolaposibilidadde migrar a COBIT 5 a través de un plan similar a la implementación de COBIT 4.1 lo que consideraron como un caso de éxito.
2. Gestión de auditoría con Meycor Cobit Para alcanzar el nivel 4 en todos los procesos de COBIT, la División de TI debe realizar auditorías internas que le permitan visualizar el cumplimiento de los requisitos en cada proceso. La herramienta de software elegida para gestionar estas auditorías fue Meycor Cobit, utilizando los módulos Router Finder – RF y Audit Guidelines – AG. Meycor Cobit RF Es el módulo central, contiene una guía metodológica para implementar el Gobierno de TI. Este módulo permite a los usuarios:  Adaptarla guía metodológicapordefectoincluida en el software o incluso utilizar varias guías.  Acceder a los diferentes módulos Suite.  Definir permisos de acceso a cada módulo.  Mantener el COBIT COBIT 4.1 y 5 bases de conocimiento.  Definir y realizar múltiples análisis Meycor Cobit AG Permite realizar auditorías de sistemas de información mediante la administración de proyectosy personal de auditoría. Los proyectos pueden abarcar varios centros de análisis y para cada uno de ellos se puede ingresar toda la información necesaria para lograr el entendimientode laorganización.El productopermite realizarauditoríassegún los objetivos de control de CobiT mediante la obtención del entendimiento, evaluación de los controles existentes,realizaciónde pruebasde cumplimientoyrealización de pruebas sustantivas para finalmente decidir si se alcanza ó no el objetivo de control. 2.1.Identificación del negocio Creación de centros de análisis Un centro de análisis, es el objeto de la auditoría, es el escenario sobre el que debe emitirse laopinión.Puedeserfísico,comoel centrode cómputo,unasucursal o puede ser un aplicativo comoel ERP de una industria o incluso una plataforma o sistema operativo. En Meycor Cobit RF realizar las siguientes acciones para crear un centro de análisis: 1. Meycor Cobit viene con una sola cuenta predeterminada para utilizar. Ingresar con cuenta de usuario ADMIN. Con esta cuenta se pueden crear nuevos usuarios y centros de análisis para los diversos proyectos de auditoría. 2. Se debencrearlas cuentasde los usuariosque formaránparte del equipodel proyecto de auditoría. Para esto hacer clic en el menú Permisos/Usuarios, se visualizará la siguiente ventana.
Haz clic en el botón Agregar e ingresa los siguientes datos: Login: SVALLES Nombre: Sandro Valles Cargo: Jefe proyecto Iniciales: SV Contraseña: svalles123 Email: Permisos: asignar todas las opciones de AG y RF pues es el jefe del proyecto y debe tener acceso a la aplicación completa. Una vez creado el usuario lo verás en la lista de la izquierda. Siguiendo los mismos pasosse puedencrearlosdemásusuariosque formaránparte del equipodel proyecto de auditoría. Para el caso de las auditorías a Ecopetrol, crearemos dos usuarios más: Alex Guerra y Gisela López 3. Los centros de análisis los creamos haciendo clic en el menú Permisos/Centro de análisis, se visualizará la siguiente ventana. Como se observa en la imagen, el Meycor Cobit RF viene con 5 centros de análisis predeterminados, cada centro de análisis tiene asignados procesos de Cobit que se tomarán como referencia para la auditoría y los usuarios.
Crearemos el centro de análisis Área de TI – Ecopetrol haciendo clic en el botón Agregar, como el caso dice que se han implementado los 31 procesos de Cobit 4.1 seleccionaremostodos los procesos y asignaremos a los 3 usuarios creados para este proyecto y también la cuenta ADMIN. . Una vez creado el centro de análisis debemos activarlo, esto se logra haciendo clic en Centro de análisis/Activar centro.En la ventanaque se visualizahacerdoble clicsobre el nombre del centro de análisis creado. 2.2.Planificación de la auditoría Creación del proyecto El proyecto es la base de la administración de los procesos de auditoria en Meycor Cobit AG. En el mismo se define nombre, código, objetivo, alcance, fecha de creación, fecha estimada de finalización, auditores asignados, centro de análisis que incluye. En Meycor Cobit AG realizar las siguientes acciones para crear y planificar el proyecto de auditoría: 1. Desde la ventana del Meycor Cobit RF activar el Meycor Cobit AG haciendo clic en el siguiente ícono o en el menú Aplicaciones/Meycor Cobit AG. Ingresar a la aplicación con cuenta de usuario ADMIN. 2. Para crear el proyecto hacer clic en la ruta Proyectos/Mantenimiento/Crear proyecto, al visualizar la ventana ingresar los datos (tal como se muestra en la imagen) En Tipo,elegimosCumplimientopueslaauditoríaconsiste enevaluarel cumplimiento de losrequisitos del nivel 4del modelode madurez. LuegohacemosclicenSiguientey seleccionamoslasopcionessegúnvemosenlaimagen.
Luegohacer clicen Siguiente,yelegirel centrode análisiscorrespondiente. Hacer clic enSiguiente yasignarlosmiembrosdelequipoparael proyectode auditoría. Hacer clic ensiguiente,seleccionarlos10 procesosdel dominioPO.
FinalmentehacerclicenCrear,el Meycor Cobit AG creará el proyectoy le preguntarási deseaactivarlo,hagaclicen Si y luegose mostrarála siguiente ventana,enlaque deberáactivarel centrode análisishaciendodoble clicsobre el. Asignación de objetivos: Una vez creado el proyecto, se deben asignar procesos y objetivos de control a cada uno de los auditores asignados al proyecto. 1. En Meycor Cobit AG, hacer clic en Proyectos/Mantenimiento/Asignar objetivos, se mostrará la siguiente ventana. Por cada usuario asignadoal proyectose deben seleccionar Procesos de COBIT, como se muestra en la siguiente ventana para el usuario Alex Guerra.
Luego por cada Proceso se deben seleccionar los Objetivos de Control que se considerarán en la auditoría, esto debe estar de acuerdo con el objetivo y alcance definidos en la creación del proyecto. En la siguiente imagen vemos que para el proceso PO1 se están seleccionando todos los Objetivos de control. Para el proyecto de auditoría de Ecopetrol seleccionaremos todos los objetivos de control de cada proceso del dominio PO, pues debemos evaluar el cumplimiento de los requisitos para verificar si se ha alcanzado el nivel 4 del modelo de madurez. 2.3.Ejecución de la auditoría Cada auditoringresaráal Meycor CobitAG con su cuentade usuario,al hacerlorecibiráuna notificacióndel proyectoque se le asignóyde lastareas pendientesque tiene. La siguienteimagenmuestralasnotificacionesque el auditorAlex Guerratiene al entrar con su cuentaa la aplicación. Nota importante: Cada vezque el usuarioingrese al MeycorCobitAG deberáactivarel proyectoque va a trabajar,puespuede tenermuchosproyectosasignados. Hacer clic enel menúProyectos/Activarproyecto,enlaventanaque se muestradeberá hacer doble clicsobre el centrode análisiscorrespondiente.
Registro de evaluaciones Una vez que el auditoriniciaconlasevaluacionessobre losprocesosyobjetivosde control que le fueronasignados,deberáregistrarlos“hallazgos” realizandolassiguientesacciones: 1. Hacer clic enel menúEvaluaciones/Mostrarlosobjetivos/Asignados,enlasiguiente imagense muestralosprocesosyobjetivosde control que le fueronasignadosal auditorAlex Guerra. En el ladoizquierdode laventana,vemoslalistade procesosyobjetivosde control asignadosal usuario.Al ladoderechose observalainformacióncorrespondienteal objetivode control seleccionado.Explicaremosdetalladamente este ladode laventana. En la parte superiorse muestrandatosgeneralesdel objetivode control,al procesoque pertenece,el nombre del objetivo,la clasificaciónylacantidadde controlesque seránevaluados,eneste caso son 6. Luegovemosuncuadro Evaluación,al desactivarel check,se activará la escalade medidadel modelode madurez desde Inexistente hastaOptimizado. En la parte inferioresel áreadonde se registranlasobservaciones,documentosy tareascorrespondientesacada objetivode control evaluado. Observaciones:sonaquellasque se producenaraíz de los“hallazgos” y las“no conformidades” 2. Para ingresarunaobservación,seleccionaremosel objetivo4- Planestratégicode TI. Vemosque tiene 5controlesaevaluar. Despuésrealizarlaevaluaciónde laexistenciadel Planestratégicosegúnlos requerimientosde Cobitse procede aregistrarlas“observaciones”de loshallazgos
obtenidos. Hazclicenel botónverde +, ingresalosdatossegúncomose muestraenla siguiente imagen. Se puede registrara losinvolucradoseneste hallazgo.Hazclicenel botónInvolucrados que se ve enla parte superiorderechade laventana.Ingresalossiguientes involucrados:Directorde TI,Directoresde áreasde TI. 3. Para registrarlas“evidencias”utilizamosla opciónDocumentos,ingresamoslos documentosque sustentesloshallazgos obtenidos. Luegorelacionamosestosdocumentosalos hallazgos,asignandolosque correspondena cada Observación. 4. Las recomendacionesse lasregistraenla fichaRecomendaciones.Ingresalas recomendacionessegúnse muestranenla ventanasiguiente:

Recomendados

Auditoria de sistema etapas
Auditoria de sistema etapasAuditoria de sistema etapas
Auditoria de sistema etapasarelyochoa
 
Planificación Auditoria Informática
Planificación Auditoria InformáticaPlanificación Auditoria Informática
Planificación Auditoria InformáticaLuis Eduardo Aponte
 
A2) la auditoría financiera y sus faces
A2) la auditoría financiera y sus facesA2) la auditoría financiera y sus faces
A2) la auditoría financiera y sus facesSandro Buendia
 
Auditoria de sistemas final 1
Auditoria de sistemas final 1Auditoria de sistemas final 1
Auditoria de sistemas final 1SENA810561
 
Auditoria publica
Auditoria publicaAuditoria publica
Auditoria publicaAAX 21
 
TAAC, Técnicas de auditoria asistida por computador
TAAC, Técnicas de auditoria asistida por computadorTAAC, Técnicas de auditoria asistida por computador
TAAC, Técnicas de auditoria asistida por computadorEfraín Pérez
 
Informe con salvedad y abstinencia de opinion
Informe con salvedad y abstinencia de opinionInforme con salvedad y abstinencia de opinion
Informe con salvedad y abstinencia de opinionAndres Miranda
 
ITIL
ITILITIL
ITILuni
 

Recomendados

Auditoria de sistema etapas
Auditoria de sistema etapasAuditoria de sistema etapas
Auditoria de sistema etapasarelyochoa
 
Planificación Auditoria Informática
Planificación Auditoria InformáticaPlanificación Auditoria Informática
Planificación Auditoria InformáticaLuis Eduardo Aponte
 
A2) la auditoría financiera y sus faces
A2) la auditoría financiera y sus facesA2) la auditoría financiera y sus faces
A2) la auditoría financiera y sus facesSandro Buendia
 
Auditoria de sistemas final 1
Auditoria de sistemas final 1Auditoria de sistemas final 1
Auditoria de sistemas final 1SENA810561
 
Auditoria publica
Auditoria publicaAuditoria publica
Auditoria publicaAAX 21
 
TAAC, Técnicas de auditoria asistida por computador
TAAC, Técnicas de auditoria asistida por computadorTAAC, Técnicas de auditoria asistida por computador
TAAC, Técnicas de auditoria asistida por computadorEfraín Pérez
 
Informe con salvedad y abstinencia de opinion
Informe con salvedad y abstinencia de opinionInforme con salvedad y abstinencia de opinion
Informe con salvedad y abstinencia de opinionAndres Miranda
 
ITIL
ITILITIL
ITILuni
 
Auditoria integral
Auditoria integralAuditoria integral
Auditoria integralKarinaMartnez55
 
Capitulo 31 Salvedades, opinión negativa y abstención de opinión
Capitulo 31 Salvedades, opinión negativa y abstención de opiniónCapitulo 31 Salvedades, opinión negativa y abstención de opinión
Capitulo 31 Salvedades, opinión negativa y abstención de opiniónGuadalupe Jasiel López González
 
Fases de la auditoria
Fases de la auditoriaFases de la auditoria
Fases de la auditoriaStefany Paiz Brol Liceo Evangelico Olimpiadas
 
Auditoria informatica e integral
Auditoria informatica e integralAuditoria informatica e integral
Auditoria informatica e integralGustavo Alvarez
 
Auditoria financiera v nivel i
Auditoria financiera v nivel iAuditoria financiera v nivel i
Auditoria financiera v nivel iDaniel Delgado
 
NIA 200
NIA 200NIA 200
NIA 200Saul Jonathan La Cosmopolitana
 
EVOLUCIÓN DE LA AUDITORIA
EVOLUCIÓN DE LA AUDITORIAEVOLUCIÓN DE LA AUDITORIA
EVOLUCIÓN DE LA AUDITORIACAROLINALTAMAR
 
1 unid fundamentos de auditoria
1 unid fundamentos de auditoria1 unid fundamentos de auditoria
1 unid fundamentos de auditoriaOscar David Ccorimanya Altamirano
 
AUDITORIA INFORMÁTICA
AUDITORIA INFORMÁTICAAUDITORIA INFORMÁTICA
AUDITORIA INFORMÁTICAinnovasisc
 
Herramientas y técnicas para la auditoría informática
Herramientas y técnicas para la auditoría informáticaHerramientas y técnicas para la auditoría informática
Herramientas y técnicas para la auditoría informáticaAcosta Escalante Jesus Jose
 
Modulo1 AUDITORIA INFORMATICA
Modulo1 AUDITORIA INFORMATICA Modulo1 AUDITORIA INFORMATICA
Modulo1 AUDITORIA INFORMATICA Anabel Jaramillo
 
Peti Metodologia
Peti MetodologiaPeti Metodologia
Peti Metodologiafabiolaidrogo
 
Fundamentos de la auditoria informatica
Fundamentos de la auditoria informaticaFundamentos de la auditoria informatica
Fundamentos de la auditoria informaticamppc
 
Auditoria interna
Auditoria internaAuditoria interna
Auditoria internaADY1712
 
Nia 300
Nia 300Nia 300
Nia 300EDITHVERNICA
 
Hallazgos de Auditoría y Cartas de Control Interno
Hallazgos de Auditoría y Cartas de Control InternoHallazgos de Auditoría y Cartas de Control Interno
Hallazgos de Auditoría y Cartas de Control InternoAlvaro Gastañuadi Terrones
 
Pruebas, resultados, seguimiento y supervisión trabajo de auditoria de sistemas
Pruebas, resultados, seguimiento y supervisión trabajo de auditoria de sistemasPruebas, resultados, seguimiento y supervisión trabajo de auditoria de sistemas
Pruebas, resultados, seguimiento y supervisión trabajo de auditoria de sistemasflaca8
 
8. Técnicas y herramientas de auditoria de sistemas
8. Técnicas y herramientas de auditoria de sistemas8. Técnicas y herramientas de auditoria de sistemas
8. Técnicas y herramientas de auditoria de sistemasHector Chajón
 
Auditoria financiera exposicion final (1)
Auditoria financiera exposicion final (1)Auditoria financiera exposicion final (1)
Auditoria financiera exposicion final (1)America SG
 
Auditoria de sistemas
Auditoria de sistemasAuditoria de sistemas
Auditoria de sistemasPaola Yèpez
 
Cobit 5
Cobit 5 Cobit 5
Cobit 5 Edgar Jonathan Villegas
 
asincronica 4.docx
asincronica 4.docxasincronica 4.docx
asincronica 4.docxSilvyAndreaCaicedo
 

Más contenido relacionado

La actualidad más candente

Capitulo 31 Salvedades, opinión negativa y abstención de opinión
Capitulo 31 Salvedades, opinión negativa y abstención de opiniónCapitulo 31 Salvedades, opinión negativa y abstención de opinión
Capitulo 31 Salvedades, opinión negativa y abstención de opiniónGuadalupe Jasiel López González
 
Auditoria informatica e integral
Auditoria informatica e integralAuditoria informatica e integral
Auditoria informatica e integralGustavo Alvarez
 
Auditoria financiera v nivel i
Auditoria financiera v nivel iAuditoria financiera v nivel i
Auditoria financiera v nivel iDaniel Delgado
 
EVOLUCIÓN DE LA AUDITORIA
EVOLUCIÓN DE LA AUDITORIAEVOLUCIÓN DE LA AUDITORIA
EVOLUCIÓN DE LA AUDITORIACAROLINALTAMAR
 
AUDITORIA INFORMÁTICA
AUDITORIA INFORMÁTICAAUDITORIA INFORMÁTICA
AUDITORIA INFORMÁTICAinnovasisc
 
Herramientas y técnicas para la auditoría informática
Herramientas y técnicas para la auditoría informáticaHerramientas y técnicas para la auditoría informática
Herramientas y técnicas para la auditoría informáticaAcosta Escalante Jesus Jose
 
Modulo1 AUDITORIA INFORMATICA
Modulo1 AUDITORIA INFORMATICA Modulo1 AUDITORIA INFORMATICA
Modulo1 AUDITORIA INFORMATICA Anabel Jaramillo
 
Fundamentos de la auditoria informatica
Fundamentos de la auditoria informaticaFundamentos de la auditoria informatica
Fundamentos de la auditoria informaticamppc
 
Auditoria interna
Auditoria internaAuditoria interna
Auditoria internaADY1712
 
Hallazgos de Auditoría y Cartas de Control Interno
Hallazgos de Auditoría y Cartas de Control InternoHallazgos de Auditoría y Cartas de Control Interno
Hallazgos de Auditoría y Cartas de Control InternoAlvaro Gastañuadi Terrones
 
Pruebas, resultados, seguimiento y supervisión trabajo de auditoria de sistemas
Pruebas, resultados, seguimiento y supervisión trabajo de auditoria de sistemasPruebas, resultados, seguimiento y supervisión trabajo de auditoria de sistemas
Pruebas, resultados, seguimiento y supervisión trabajo de auditoria de sistemasflaca8
 
8. Técnicas y herramientas de auditoria de sistemas
8. Técnicas y herramientas de auditoria de sistemas8. Técnicas y herramientas de auditoria de sistemas
8. Técnicas y herramientas de auditoria de sistemasHector Chajón
 
Auditoria financiera exposicion final (1)
Auditoria financiera exposicion final (1)Auditoria financiera exposicion final (1)
Auditoria financiera exposicion final (1)America SG
 
Auditoria de sistemas
Auditoria de sistemasAuditoria de sistemas
Auditoria de sistemasPaola Yèpez
 

La actualidad más candente (20)

Auditoria integral
Auditoria integralAuditoria integral
Auditoria integral
 
Capitulo 31 Salvedades, opinión negativa y abstención de opinión
Capitulo 31 Salvedades, opinión negativa y abstención de opiniónCapitulo 31 Salvedades, opinión negativa y abstención de opinión
Capitulo 31 Salvedades, opinión negativa y abstención de opinión
 
Fases de la auditoria
Fases de la auditoriaFases de la auditoria
Fases de la auditoria
 
Auditoria informatica e integral
Auditoria informatica e integralAuditoria informatica e integral
Auditoria informatica e integral
 
Auditoria financiera v nivel i
Auditoria financiera v nivel iAuditoria financiera v nivel i
Auditoria financiera v nivel i
 
NIA 200
NIA 200NIA 200
NIA 200
 
EVOLUCIÓN DE LA AUDITORIA
EVOLUCIÓN DE LA AUDITORIAEVOLUCIÓN DE LA AUDITORIA
EVOLUCIÓN DE LA AUDITORIA
 
1 unid fundamentos de auditoria
1 unid fundamentos de auditoria1 unid fundamentos de auditoria
1 unid fundamentos de auditoria
 
AUDITORIA INFORMÁTICA
AUDITORIA INFORMÁTICAAUDITORIA INFORMÁTICA
AUDITORIA INFORMÁTICA
 
Herramientas y técnicas para la auditoría informática
Herramientas y técnicas para la auditoría informáticaHerramientas y técnicas para la auditoría informática
Herramientas y técnicas para la auditoría informática
 
Modulo1 AUDITORIA INFORMATICA
Modulo1 AUDITORIA INFORMATICA Modulo1 AUDITORIA INFORMATICA
Modulo1 AUDITORIA INFORMATICA
 
Peti Metodologia
Peti MetodologiaPeti Metodologia
Peti Metodologia
 
Fundamentos de la auditoria informatica
Fundamentos de la auditoria informaticaFundamentos de la auditoria informatica
Fundamentos de la auditoria informatica
 
Auditoria interna
Auditoria internaAuditoria interna
Auditoria interna
 
Nia 300
Nia 300Nia 300
Nia 300
 
Hallazgos de Auditoría y Cartas de Control Interno
Hallazgos de Auditoría y Cartas de Control InternoHallazgos de Auditoría y Cartas de Control Interno
Hallazgos de Auditoría y Cartas de Control Interno
 
Pruebas, resultados, seguimiento y supervisión trabajo de auditoria de sistemas
Pruebas, resultados, seguimiento y supervisión trabajo de auditoria de sistemasPruebas, resultados, seguimiento y supervisión trabajo de auditoria de sistemas
Pruebas, resultados, seguimiento y supervisión trabajo de auditoria de sistemas
 
8. Técnicas y herramientas de auditoria de sistemas
8. Técnicas y herramientas de auditoria de sistemas8. Técnicas y herramientas de auditoria de sistemas
8. Técnicas y herramientas de auditoria de sistemas
 
Auditoria financiera exposicion final (1)
Auditoria financiera exposicion final (1)Auditoria financiera exposicion final (1)
Auditoria financiera exposicion final (1)
 
Auditoria de sistemas
Auditoria de sistemasAuditoria de sistemas
Auditoria de sistemas
 

Similar a Meycor cobit estudio de caso

COBIT 4.1
COBIT 4.1COBIT 4.1
COBIT 4.1RMVTITO
 
Cobit 4.1
Cobit 4.1Cobit 4.1
Cobit 4.1RMVTITO
 
PRESENTACION TRABAJO ASINCRONICO 6.pptx
PRESENTACION TRABAJO ASINCRONICO 6.pptxPRESENTACION TRABAJO ASINCRONICO 6.pptx
PRESENTACION TRABAJO ASINCRONICO 6.pptxSilvyAndreaCaicedo
 
PRESENTACION TRABAJO ASINCRONICO 6.pptx
PRESENTACION TRABAJO ASINCRONICO 6.pptxPRESENTACION TRABAJO ASINCRONICO 6.pptx
PRESENTACION TRABAJO ASINCRONICO 6.pptxSilvyAndreaCaicedo
 
Cobit 4.1 resumen
Cobit 4.1 resumenCobit 4.1 resumen
Cobit 4.1 resumenAlex Diaz
 
Estándares cobit e informe coso
Estándares cobit e informe cosoEstándares cobit e informe coso
Estándares cobit e informe cosoArmando Pomaire
 
C O B I T - Sistema de Investigación
C O B I T - Sistema de InvestigaciónC O B I T - Sistema de Investigación
C O B I T - Sistema de InvestigaciónJasik
 
COBIT JASIK
COBIT JASIKCOBIT JASIK
COBIT JASIKIngrid11
 
Pp Sistema (Cobit)
Pp Sistema (Cobit)Pp Sistema (Cobit)
Pp Sistema (Cobit)guest202852
 
MODELOS COBIT Y ITIL (generalidades)
MODELOS COBIT Y ITIL (generalidades)MODELOS COBIT Y ITIL (generalidades)
MODELOS COBIT Y ITIL (generalidades)Jairo Márquez
 
Sesion_15-Auditoria-Redes-COBITDSFSDFA.ppt
Sesion_15-Auditoria-Redes-COBITDSFSDFA.pptSesion_15-Auditoria-Redes-COBITDSFSDFA.ppt
Sesion_15-Auditoria-Redes-COBITDSFSDFA.pptSANTOS400018
 

Similar a Meycor cobit estudio de caso (20)

Cobit 5
Cobit 5 Cobit 5
Cobit 5
 
asincronica 4.docx
asincronica 4.docxasincronica 4.docx
asincronica 4.docx
 
COBIT 4.1
COBIT 4.1COBIT 4.1
COBIT 4.1
 
Cobit 4.1
Cobit 4.1Cobit 4.1
Cobit 4.1
 
PRESENTACION TRABAJO ASINCRONICO 6.pptx
PRESENTACION TRABAJO ASINCRONICO 6.pptxPRESENTACION TRABAJO ASINCRONICO 6.pptx
PRESENTACION TRABAJO ASINCRONICO 6.pptx
 
PRESENTACION TRABAJO ASINCRONICO 6.pptx
PRESENTACION TRABAJO ASINCRONICO 6.pptxPRESENTACION TRABAJO ASINCRONICO 6.pptx
PRESENTACION TRABAJO ASINCRONICO 6.pptx
 
Cobit 4.1 resumen
Cobit 4.1 resumenCobit 4.1 resumen
Cobit 4.1 resumen
 
Estándares cobit e informe coso
Estándares cobit e informe cosoEstándares cobit e informe coso
Estándares cobit e informe coso
 
Cobit asignacion especial
Cobit asignacion especialCobit asignacion especial
Cobit asignacion especial
 
AUDITORIA INFORMATICA.pptx
AUDITORIA INFORMATICA.pptxAUDITORIA INFORMATICA.pptx
AUDITORIA INFORMATICA.pptx
 
C O B I T - Sistema de Investigación
C O B I T - Sistema de InvestigaciónC O B I T - Sistema de Investigación
C O B I T - Sistema de Investigación
 
COBIT JASIK
COBIT JASIKCOBIT JASIK
COBIT JASIK
 
Cobit 4
Cobit 4Cobit 4
Cobit 4
 
Cobit 4
Cobit 4Cobit 4
Cobit 4
 
Metodología COBIT
Metodología COBITMetodología COBIT
Metodología COBIT
 
Pp Sistema (Cobit)
Pp Sistema (Cobit)Pp Sistema (Cobit)
Pp Sistema (Cobit)
 
MODELOS COBIT Y ITIL (generalidades)
MODELOS COBIT Y ITIL (generalidades)MODELOS COBIT Y ITIL (generalidades)
MODELOS COBIT Y ITIL (generalidades)
 
Sesion_15-Auditoria-Redes-COBITDSFSDFA.ppt
Sesion_15-Auditoria-Redes-COBITDSFSDFA.pptSesion_15-Auditoria-Redes-COBITDSFSDFA.ppt
Sesion_15-Auditoria-Redes-COBITDSFSDFA.ppt
 
CUADRO COMPARATIVO DE BUENAS PRACTICAS DE GOBIERNO DE TI
CUADRO COMPARATIVO DE BUENAS PRACTICAS DE GOBIERNO DE TICUADRO COMPARATIVO DE BUENAS PRACTICAS DE GOBIERNO DE TI
CUADRO COMPARATIVO DE BUENAS PRACTICAS DE GOBIERNO DE TI
 
Cobit
CobitCobit
Cobit
 

Último

Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricKeyla Dolores Méndez
 
Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíaTrabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíassuserf18419
 
Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptxProyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx241521559
 
trabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdftrabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdfIsabellaMontaomurill
 
Plan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docxPlan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docxpabonheidy28
 
Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024GiovanniJavierHidalg
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveFagnerLisboa3
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan JosephBRAYANJOSEPHPEREZGOM
 
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...silviayucra2
 
KELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesKELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesFundación YOD YOD
 
La era de la educación digital y sus desafios
La era de la educación digital y sus desafiosLa era de la educación digital y sus desafios
La era de la educación digital y sus desafiosFundación YOD YOD
 
9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudiante9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudianteAndreaHuertas24
 
Redes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfRedes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfsoporteupcology
 
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIACLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIAWilbisVega
 
Hernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptxHernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptxJOSEMANUELHERNANDEZH11
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)GDGSucre
 

Último (16)

Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
 
Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíaTrabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnología
 
Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptxProyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx
 
trabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdftrabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdf
 
Plan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docxPlan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docx
 
Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial Uninove
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Joseph
 
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
 
KELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesKELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento Protégeles
 
La era de la educación digital y sus desafios
La era de la educación digital y sus desafiosLa era de la educación digital y sus desafios
La era de la educación digital y sus desafios
 
9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudiante9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudiante
 
Redes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfRedes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdf
 
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIACLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
 
Hernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptxHernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptx
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)
 

Meycor cobit estudio de caso

  • 1. Gestión de Auditoría de TI tomando como referencia Cobit 4.1 utilizando Meycor Cobit para Ecopetrol 1. Descripción del caso Introducción Ecopetrol SA esuna compañía dedicadaa la exploración,desarrolloyproducción de petróleo crudo y gas natural. En 2007, Ecopetrol actualiza su estrategia corporativa con objetivos de crecimientoclaramentedefinidosparalospróximosañosque requeríancambiosimportantes y mejoras en la estructura de la organización y procesos que apoyan los objetivos estratégicos. En consecuencia,hubohitosimportantescomolatransformaciónde la naturaleza jurídica de la empresa, el inicio de las operaciones internacionales y la adopción del marco COSO para fortalecer el sistema de control interno. La compañía cotiza sus acciones en la Bolsa de Valores de Nueva York desde septiembre de 2008. Alineado con el despliegue estratégico y para dar una respuesta oportuna y efectiva a las necesidades generadas por la situación de la empresa, la División de Tecnología de la Información decidió, en 2008, integrar un sistema de gestión de TI, basado en un marco adecuado. COBIT fue seleccionado como el marco de gobierno de TI adecuada para implementar su sistema de gestión de TI. La empresa Ecopetrol SA esla mayor compañía integradade petróleode Colombiaconaproximadamente 7500 empleados directos. Es una de las 40 principales empresas petroleras del mundo y las cuatro compañías petroleras más grandes de América Latina. Además de Colombia, que representael 60 por cientode laproducción total,lacompañía tiene presenciaenactividades de exploración y producción en Brasil, Perú y Estados Unidos (Golfo de México). La revista Forbes la ubica en el puesto 114 de su ranking de empresas líderes (mayo 2013). El código de buen gobierno de Ecopetrol cuenta con las mejores prácticas corporativas necesarias para preservar la ética empresarial, la administración y el control de la compañía de forma correcta. Esto permite que laempresapuedacompetira través del reconocimiento y el respetode losderechosde losaccionistas,losinversoresyotraspartes interesadas sobre la base de políticas claras de transparencia en la gestión y divulgación de la información acerca de laempresa,que a suvezgenerauna mayorconfianzaentre laspartes interesadas y el mercado en general. El sistema de control interno de Ecopetrol se enmarca dentro de los estándares internacionales (COSO). La División de Tecnología de Información de Ecopetrol depende del Vicepresidente de Innovación y Tecnología y está a cargo del proceso de gestión de la información para la empresa en dos frentes principales: soluciones y aprovisionamiento de tecnología de la información y los servicios de infraestructura de desarrollo e implementación de TI para apoyar los procesos de negocio.
  • 2. La División de Tecnología de la Información, que tiene cerca de 180 empleados directos, es responsable de asegurar el gobierno de TI. Tiene una muy fuerte estructura interna, distribuida de una manera que satisfaga las necesidades de los proyectos de desarrollo de negocios, implementación, operación y soporte de soluciones y proporciona los servicios requeridos. Además,contieneunaunidadde gestiónyde arquitecturayunárea de seguridad de la información en respuesta al más alto nivel de la División de TI. Organigrama de Ecopetrol Gobierno de TI - COBIT En 2008, la Divisiónde Tecnologíade laInformacióneligióCOBITcomo marco de gobierno de TI adecuadapara integrarun sistemade gestiónde TI, en base a las siguientes características de COBIT:  Permite el mapeo de los objetivos de TI con los objetivos empresariales.  Es el resultado de una mejor alineación, basado en un enfoque de negocio.  Proporciona una visión de lo que hace que sea comprensible para la gerencia.  Indicaclaramente lapropiedadylaresponsabilidadbasadaenlaorientacióndel proceso.  En general se acepta por parte de terceros y reguladores.  Proporcionaunentendimientocompartidoentretodoslosinteresados, sobre la base de un lenguaje común.  Cumple conlosrequisitosde COSO y Sarbanes-Oxley para el ambiente de control de TI. En el últimotrimestre de 2008, la Divisiónde TIdefinióloslineamientos,procesosy objetivos de control a implementar. Del mismo modo, la división identificó los recursos internos que apoyarían laimplementacióndel sistema y los recursos asignados para la contratación de los consultores externos requeridos.
  • 3. El equipo estableció un proyecto, prestando especial atención a las siguientes cuestiones:  La asignaciónde recursos yun equipointerdisciplinario con representantes de las áreas involucradas en TI.  Definición de los puntos de relación con las unidades de negocio y otras unidades de apoyo y la interacción con las áreas clave: Finanzas, Riesgos, Estrategia, Calidad y Auditoría Interna y Externa-de manera continua  Alineación con los proyectos empresariales: el fortalecimiento del sistema de control interno (COSO) y cumplimiento (Ley Sarbanes-Oxley). Se consideraron las distintas iniciativas de negocio y proyectos en curso para asegurar la coordinación e integración de esfuerzos.  Una política de presentación de informes al más alto nivel de gestión, y cada semana reuniones de seguimiento del proyecto  Identificaciónde lasaplicaciones (Sarbanes-Oxley, componente en SAP) y otros críticos de los procesos de negocio. Del mismo modo, la comprensión de las personas, los recursos y las infraestructuras asociadas a estas aplicaciones. Ecopetrol decidió implementar 28 procesos de COBIT, dando prioridad a los objetivos de control que apoyan el cumplimiento de la ley Sarbanes-Oxley. El equipo del proyecto desarrolló el diseño y la documentación de los procesos y, posteriormente, la aplicación y el seguimiento de la operación para la realización de los ajustesnecesarios. Comoresultadode ello,enjuniode 2009, laDivisiónhabía implementado y asegurado14 procesos de COBITde altaprioridad. Para diciembre de 2009, los 28 se habían implementado. Durante el segundo semestre de 2009 y el primer trimestre de 2010, se realizaron auditorías internasyexternas paraevaluarel cumplimientode laley Sarbanes-Oxley. Se implementaron varias medidas para la recuperación y mejora de los procesos y controles de TI clave. Como resultado de ello, el auditor externo informó que no había deficiencias significativas o debilidades materiales en los controles de TI que necesitan ser reportado por el CIO, el director financiero, el director general o el auditor. Durante el último trimestre de 2009, la División de TI contrató a un consultor externo para llevar a cabo la evaluación del nivel de madurez de COBIT para los catorce procesos críticos. La evaluaciónconfirmólaconsecucióndelnivel 3endoce procesosy el nivel 4 en dos procesos. Asimismo,lacompañíareestructuróel áreade Cumplimientode TI, tomando como referencia las buenas prácticas del marco COBIT. Para el año 2011, Ecopetrol tenía implementados los 31 procesos de COBIT integrados en su sistema de gestión de TI, todos operando entre los niveles 3 y 4. Para los siguientes años se espera alcanzar el nivel 4 en todos los procesos. La Divisiónde Tecnologíade la Informaciónestáestudiandolaposibilidadde migrar a COBIT 5 a través de un plan similar a la implementación de COBIT 4.1 lo que consideraron como un caso de éxito.
  • 4. 2. Gestión de auditoría con Meycor Cobit Para alcanzar el nivel 4 en todos los procesos de COBIT, la División de TI debe realizar auditorías internas que le permitan visualizar el cumplimiento de los requisitos en cada proceso. La herramienta de software elegida para gestionar estas auditorías fue Meycor Cobit, utilizando los módulos Router Finder – RF y Audit Guidelines – AG. Meycor Cobit RF Es el módulo central, contiene una guía metodológica para implementar el Gobierno de TI. Este módulo permite a los usuarios:  Adaptarla guía metodológicapordefectoincluida en el software o incluso utilizar varias guías.  Acceder a los diferentes módulos Suite.  Definir permisos de acceso a cada módulo.  Mantener el COBIT COBIT 4.1 y 5 bases de conocimiento.  Definir y realizar múltiples análisis Meycor Cobit AG Permite realizar auditorías de sistemas de información mediante la administración de proyectosy personal de auditoría. Los proyectos pueden abarcar varios centros de análisis y para cada uno de ellos se puede ingresar toda la información necesaria para lograr el entendimientode laorganización.El productopermite realizarauditoríassegún los objetivos de control de CobiT mediante la obtención del entendimiento, evaluación de los controles existentes,realizaciónde pruebasde cumplimientoyrealización de pruebas sustantivas para finalmente decidir si se alcanza ó no el objetivo de control. 2.1.Identificación del negocio Creación de centros de análisis Un centro de análisis, es el objeto de la auditoría, es el escenario sobre el que debe emitirse laopinión.Puedeserfísico,comoel centrode cómputo,unasucursal o puede ser un aplicativo comoel ERP de una industria o incluso una plataforma o sistema operativo. En Meycor Cobit RF realizar las siguientes acciones para crear un centro de análisis: 1. Meycor Cobit viene con una sola cuenta predeterminada para utilizar. Ingresar con cuenta de usuario ADMIN. Con esta cuenta se pueden crear nuevos usuarios y centros de análisis para los diversos proyectos de auditoría. 2. Se debencrearlas cuentasde los usuariosque formaránparte del equipodel proyecto de auditoría. Para esto hacer clic en el menú Permisos/Usuarios, se visualizará la siguiente ventana.
  • 5. Haz clic en el botón Agregar e ingresa los siguientes datos: Login: SVALLES Nombre: Sandro Valles Cargo: Jefe proyecto Iniciales: SV Contraseña: svalles123 Email: Permisos: asignar todas las opciones de AG y RF pues es el jefe del proyecto y debe tener acceso a la aplicación completa. Una vez creado el usuario lo verás en la lista de la izquierda. Siguiendo los mismos pasosse puedencrearlosdemásusuariosque formaránparte del equipodel proyecto de auditoría. Para el caso de las auditorías a Ecopetrol, crearemos dos usuarios más: Alex Guerra y Gisela López 3. Los centros de análisis los creamos haciendo clic en el menú Permisos/Centro de análisis, se visualizará la siguiente ventana. Como se observa en la imagen, el Meycor Cobit RF viene con 5 centros de análisis predeterminados, cada centro de análisis tiene asignados procesos de Cobit que se tomarán como referencia para la auditoría y los usuarios.
  • 6. Crearemos el centro de análisis Área de TI – Ecopetrol haciendo clic en el botón Agregar, como el caso dice que se han implementado los 31 procesos de Cobit 4.1 seleccionaremostodos los procesos y asignaremos a los 3 usuarios creados para este proyecto y también la cuenta ADMIN. . Una vez creado el centro de análisis debemos activarlo, esto se logra haciendo clic en Centro de análisis/Activar centro.En la ventanaque se visualizahacerdoble clicsobre el nombre del centro de análisis creado. 2.2.Planificación de la auditoría Creación del proyecto El proyecto es la base de la administración de los procesos de auditoria en Meycor Cobit AG. En el mismo se define nombre, código, objetivo, alcance, fecha de creación, fecha estimada de finalización, auditores asignados, centro de análisis que incluye. En Meycor Cobit AG realizar las siguientes acciones para crear y planificar el proyecto de auditoría: 1. Desde la ventana del Meycor Cobit RF activar el Meycor Cobit AG haciendo clic en el siguiente ícono o en el menú Aplicaciones/Meycor Cobit AG. Ingresar a la aplicación con cuenta de usuario ADMIN. 2. Para crear el proyecto hacer clic en la ruta Proyectos/Mantenimiento/Crear proyecto, al visualizar la ventana ingresar los datos (tal como se muestra en la imagen) En Tipo,elegimosCumplimientopueslaauditoríaconsiste enevaluarel cumplimiento de losrequisitos del nivel 4del modelode madurez. LuegohacemosclicenSiguientey seleccionamoslasopcionessegúnvemosenlaimagen.
  • 7. Luegohacer clicen Siguiente,yelegirel centrode análisiscorrespondiente. Hacer clic enSiguiente yasignarlosmiembrosdelequipoparael proyectode auditoría. Hacer clic ensiguiente,seleccionarlos10 procesosdel dominioPO.
  • 8. FinalmentehacerclicenCrear,el Meycor Cobit AG creará el proyectoy le preguntarási deseaactivarlo,hagaclicen Si y luegose mostrarála siguiente ventana,enlaque deberáactivarel centrode análisishaciendodoble clicsobre el. Asignación de objetivos: Una vez creado el proyecto, se deben asignar procesos y objetivos de control a cada uno de los auditores asignados al proyecto. 1. En Meycor Cobit AG, hacer clic en Proyectos/Mantenimiento/Asignar objetivos, se mostrará la siguiente ventana. Por cada usuario asignadoal proyectose deben seleccionar Procesos de COBIT, como se muestra en la siguiente ventana para el usuario Alex Guerra.
  • 9. Luego por cada Proceso se deben seleccionar los Objetivos de Control que se considerarán en la auditoría, esto debe estar de acuerdo con el objetivo y alcance definidos en la creación del proyecto. En la siguiente imagen vemos que para el proceso PO1 se están seleccionando todos los Objetivos de control. Para el proyecto de auditoría de Ecopetrol seleccionaremos todos los objetivos de control de cada proceso del dominio PO, pues debemos evaluar el cumplimiento de los requisitos para verificar si se ha alcanzado el nivel 4 del modelo de madurez. 2.3.Ejecución de la auditoría Cada auditoringresaráal Meycor CobitAG con su cuentade usuario,al hacerlorecibiráuna notificacióndel proyectoque se le asignóyde lastareas pendientesque tiene. La siguienteimagenmuestralasnotificacionesque el auditorAlex Guerratiene al entrar con su cuentaa la aplicación. Nota importante: Cada vezque el usuarioingrese al MeycorCobitAG deberáactivarel proyectoque va a trabajar,puespuede tenermuchosproyectosasignados. Hacer clic enel menúProyectos/Activarproyecto,enlaventanaque se muestradeberá hacer doble clicsobre el centrode análisiscorrespondiente.
  • 10. Registro de evaluaciones Una vez que el auditoriniciaconlasevaluacionessobre losprocesosyobjetivosde control que le fueronasignados,deberáregistrarlos“hallazgos” realizandolassiguientesacciones: 1. Hacer clic enel menúEvaluaciones/Mostrarlosobjetivos/Asignados,enlasiguiente imagense muestralosprocesosyobjetivosde control que le fueronasignadosal auditorAlex Guerra. En el ladoizquierdode laventana,vemoslalistade procesosyobjetivosde control asignadosal usuario.Al ladoderechose observalainformacióncorrespondienteal objetivode control seleccionado.Explicaremosdetalladamente este ladode laventana. En la parte superiorse muestrandatosgeneralesdel objetivode control,al procesoque pertenece,el nombre del objetivo,la clasificaciónylacantidadde controlesque seránevaluados,eneste caso son 6. Luegovemosuncuadro Evaluación,al desactivarel check,se activará la escalade medidadel modelode madurez desde Inexistente hastaOptimizado. En la parte inferioresel áreadonde se registranlasobservaciones,documentosy tareascorrespondientesacada objetivode control evaluado. Observaciones:sonaquellasque se producenaraíz de los“hallazgos” y las“no conformidades” 2. Para ingresarunaobservación,seleccionaremosel objetivo4- Planestratégicode TI. Vemosque tiene 5controlesaevaluar. Despuésrealizarlaevaluaciónde laexistenciadel Planestratégicosegúnlos requerimientosde Cobitse procede aregistrarlas“observaciones”de loshallazgos
  • 11. obtenidos. Hazclicenel botónverde +, ingresalosdatossegúncomose muestraenla siguiente imagen. Se puede registrara losinvolucradoseneste hallazgo.Hazclicenel botónInvolucrados que se ve enla parte superiorderechade laventana.Ingresalossiguientes involucrados:Directorde TI,Directoresde áreasde TI. 3. Para registrarlas“evidencias”utilizamosla opciónDocumentos,ingresamoslos documentosque sustentesloshallazgos obtenidos. Luegorelacionamosestosdocumentosalos hallazgos,asignandolosque correspondena cada Observación. 4. Las recomendacionesse lasregistraenla fichaRecomendaciones.Ingresalas recomendacionessegúnse muestranenla ventanasiguiente: