CLASE 7: PARA MI GAFITA PRECIOSA...!! ESPEREMOS LOS DOS SALIR BIEN MI HERMOSA...!!

1. © ITGI 2004 - not for commercial use. 1
Introducción a COBIT
¿Por qué las TI necesitan de un¿Por qué las TI necesitan de un
marco de control de Tlmarco de control de Tl??
¿Quién necesita de un marco de control de TI¿Quién necesita de un marco de control de TI??
¿Cómo y por qué se utiliza¿Cómo y por qué se utiliza CCOBIOBIT?T?

2. © ITGI 2004 - not for commercial use. 2
¿Por qué las TI necesitan de un
marco de control?
¿Alguna de estas condiciones le parece¿Alguna de estas condiciones le parece
familiar?familiar?
 Incremento de la presión para aumentar la eficacia de la
tecnología en las estrategias de negocios
 Aumento de la complejidad de los entornos de TI
 Infraestructuras de TI fragmentadas
 Dificultades de comunicación entre los administradores de
negocios y TI
 Niveles de servicio decepcionantes de la función interna o
tercerizada de TI
 Disparada de los Costos de TI
 Ganancias marginales en ROI/productividad de las
inversiones en tecnología
 Disminución de la flexibilidad y agilidad de cambio

3. © ITGI 2004 - not for commercial use. 3
 Aumento de la dependencia en la información y en los sistemas que
producen esta información
 Aumento de las vulnerabilidades y un amplio espectro de amenzas,
tales como ciberamenazas y guerra de información
 Tamaño y costo crecientes de las inversiones actuales y futuras en
información y sistemas de información
 La necesidad de cumplir con las regulaciones
 El potencial de las tecnologías de cambiar dramáticamente las
organizaciones y prácticas de negocios, crear nuevas oportunidades
y reducir costos
 Reconocimiento por muchas organizaciones de los beneficios
potenciales que puede proporcionar la tecnología
Las organizaciones exitosas entienden y gestionanLas organizaciones exitosas entienden y gestionan
los riesgos asociados con la implantación de nuevaslos riesgos asociados con la implantación de nuevas
tecnologíastecnologías
¿Por qué las TI necesitan de un
marco de control?

4. © ITGI 2004 - not for commercial use. 4
 TI proporciona valor
 Costo, tiempo y funcionalidad son los esperados
 TI no da sorpresas
 Riesgos son mitigados
 TI es innovadora
 Nuevas oportunidades e innovaciones de
procesos, productos y servicios
¿Por qué las TI necesitan de un
marco de control?
Para asegurar quePara asegurar que
La gerencia debe mantener las TI bajoLa gerencia debe mantener las TI bajo
controlcontrol..

5. © ITGI 2004 - not for commercial use. 5
 Directorio y Ejecutivos de Primer Nivel
• Para asegurar que la gerencia sigue e implanta la dirección
estratégica de las TI
 Gerencia
• Para tomar decisiones de inversión en TI
• Para equilibrar el riesgo y la inversión en su control
• Para evaluar el entorno actual y futuro de las TI
 Usuarios
• Para garantizar la seguridad y control de los productos y servicios
adquiridos interna o externamente
 Auditores
• Para sustentar opiniones a la gerencia sobre controles internos
• Para recomendar los controles mínimos necesarios
¿Quién necesita de un marco de
control?

6. © ITGI 2004 - not for commercial use. 6
Incorpora los principales
estándares internacionales
Se ha convertido en el
estándar de facto para el
control total de las TI
Parte de los requeri-
mientos de negocios
Está orientado a procesos
IT ProcessesIT Processes
IT Management ProcessesIT Management Processes
IT Governance ProcessesIT Governance Processes
CobiTCobiTbest practices
repository for
Procesos de TI
Gestión de Procesos de TI
Governance de Procesos de TI
COBITCOBITRepositorio de
mejores prácticas
CCOBIOBIT es la respuesta a la necesidadT es la respuesta a la necesidad
¿Por qué y cómo se utiliza COBIT?

7. © ITGI 2004 - not for commercial use. 7
 Ayuda sustancialmente a incrementar la aceptación y reducir el tiempo de
implantación de programas de governance de TI
 Proporciona una guía para auditorías / revisiones formales
 Ayuda en la utilización de resultados de auditoría como oportunidad de
mejoras
 Es un factor poderoso para lograr las metas primarias de governance de TI:
transformar prácticas organizacionales y mejorar procesos
 Proporciona un marco económico de mejora continua
 Proporciona una fuente creíble de decisiones gerenciales sobre controles
 Engancha y ayuda a los administradores de operaciones de TI con su
habilidad para discernir lo que los auditores quieren
 Es ideal para que las gerencias de negocios comuniquen sus
requerimientos y preocupaciones
 Es reconocido como una fuente confiable de referencia que asegura la
identificación de las principales áreas de riesgo
 Mejora la comunicación y relaciones con la administración de TI
Testimonios de Casos EstudioTestimonios de Casos Estudio
¿Por qué y cómo se utiliza COBIT?

8. © ITGI 2004 - not for commercial use. 8
 Para mejorar enfoques / programas de auditoría
 Para apoyar el trabajo de auditoría con directrices
detalladas
 Proporcionar asistencia para la governance de TI
 Como una referencia (benchmark) valiosa de control
de SI/TI
 Para mejorar los controles de SI/TI
 Para estandarizar enfoques / programas de auditoría
Resultados de EncuestasResultados de Encuestas
¿Por qué y cómo se utiliza COBIT?

9. © ITGI 2004 - not for commercial use. 9
El Marco COBIT
ElEl marcomarco CCOBIOBITT incluyeincluye::
Enfoque en el negocioEnfoque en el negocio
Orientación aOrientación a procesprocesosos
Recursos deRecursos de TTII

10. © ITGI 2004 - not for commercial use. 10
Parte de la premisa que TI debe proporcionar
la información que la empresa necesita para
lograr sus objetivos
Promociona enfoque y propiedad de procesos
Divide TI en 34 procesos que corresponden a
cuatro dominios y proporciona objetivos de
control de alto nivel para cada uno
Las necesidades empresariales fiduciarias, de
calidad y seguridad se logran mediante siete
criterios de información utilizados
genéricamente para definir lo que el negocio
requiere de TI
Se apoya en un conjunto de más de 300
objetivos de control detallados
Efectividad
Eficiencia
Disponibilidad
Integridad
Confidencialidad
Fiabilidad
Cumplimiento
Planificar y Organizar
Adquirir e Implementar
Prestar Servicios y Soporte
Monitorizar y Evaluar
¿En qué consiste COBIT? :

11. © ITGI 2004 - not for commercial use. 11
“A fin de proporcionar la información que la organización necesita
para lograr sus objetivos, los recursos de TI deben ser gestionados
mediante un conjunto de procesos naturalmente agrupados”
 Relacionado con requerimientos de negocios
(expresados como criterios de información)
 Ligado con procesos de negocios
 Faculta a los propietarios del negocio
 Descompone TI en cuatro dominios y 34
procesos
 Dominios: (planificar-construir-ejecutar) +
monitorizar
 Control, auditoría, gestión de implementación y
desempeño estructurados por proceso
NegociosProceos
Orientación a Negocios y
Enfoque de Procesos
ITIT
ProcessesProcesses
Business
Requirements
ITIT
ResourcesResources
ITIT
ProcessesProcesses
Business
Requirements
ITIT
ResourcesResources

12. © ITGI 2004 - not for commercial use. 12
Definición del Marco de COBIT
“Para proporcionar la información que la empresa necesita para lograr sus objetivos,
los recursos de TI deben gestionarse mediante un conjunto de procesos
naturalmente agrupados.”
IT
Processes
Business
Requirements
IT
Resources
IT
Processes
Business
Requirements
IT
Resources
I T RESOURCESI T RESOURCESI T RESOURCES
I T PROCESSESI T PROCESSESI T PROCESSES
BUSI NESS
REQUI REMENTS
BUSI NESSBUSI NESS
REQUI REMENTSREQUI REMENTS
I T RESOURCESI T RESOURCESI T RESOURCES
I T PROCESSESI T PROCESSESI T PROCESSES
BUSI NESS
REQUI REMENTS
BUSI NESSBUSI NESS
REQUI REMENTSREQUI REMENTS
I T RESOURCESI T RESOURCESI T RESOURCES
I T PROCESSESI T PROCESSESI T PROCESSES
BUSI NESS
REQUI REMENTS
BUSI NESSBUSI NESS
REQUI REMENTSREQUI REMENTS
Una orientación de procesos es un enfoque de gestión probado para ejercerUna orientación de procesos es un enfoque de gestión probado para ejercer
eficientemente las responsabilidades, lograr las metas establecidas yeficientemente las responsabilidades, lograr las metas establecidas y
gestionar razonablemente los riesgosgestionar razonablemente los riesgos
POR QUÉPOR QUÉ

13. © ITGI 2004 - not for commercial use. 13
RequRequeerriimmiiententooss de Calidadde Calidad
• Calidad
• Entrega
• Costo
RequiremRequirem iiententooss dede
SeSegguriuridaddad
• Confidencialidad
• Integridad
• Disponibilidad
RequRequeerriimmiiententooss FiduciarFiduciar iosios
(Informe COSO)
• Efectividad y eficiencia de
operaciones
• Cumplimiento de leyes y
regulaciones
• Fiabilidad de información finaciera
Efectividad
Eficiencia
Confidencialidad
Integridad
Disponibilidad
Cumplimiento
Fiabilidad de la
información
Requerimientos de Negocios
IT
Processes
Business
Requirements
IT
Resources
IT
Processes
Business
Requirements
IT
Resources

14. © ITGI 2004 - not for commercial use. 14
Efectividad –Se relaciona con la relevancia y pertinencia de la información
para el proceso de negocios así como también con su entrega de manera
oportuna, correcta, consistente y utilizable
Eficiencia –Se relaciona con la provisión de información mediante la óptima
(más productiva y economica) utilización de los recursos
Confidencialidad –Se relaciona con la protección de información sensible
para evitar su divulgación
Integridad –Se relaciona con la exactitud y compleción de la información
así como su validez de acuerdo con el conjunto de valores y expectativas del
negocio
Disponibilidad –Se relaciona con la disponibilidad de la información cuando
sea requerida por el proceso de negocios, y por ende con la protección de los
recursos
Cumplimiento –Trata del cumplimiento de leyes, regulaciones y contratos a
que están sujetos los procesos de negocios, es decir, con criterios de
negocios externamente impuestos
Fiabildad de la información –Se relaciona con que los sistemas provean
a la gerencia de información apropiada para la operación de la entidad,
proporcionen información financiera a quienes la requieran e información a los
organismos reguladores relacionada con el cumplimiento de leyes y
regulaciones
Requerimientos de Negocios
IT
Processes
Business
Requirements
IT
Resources
IT
Processes
Business
Requirements
IT
Resources

15. © ITGI 2004 - not for commercial use. 15
Procesos
Una serie de actividades
conjuntas con puntos de
control naturales
Actividades
o Tareas
Acciones requeridas para
lograr un resultado medible.
Las actividades tiene un ciclo
de vida, mientras que las
tareas son discretas
Dominios
Agrupamiento natural de
procesos, a menudo
coincidente con un dominio
organizacional de
responsabilidades
Orientación de Procesos
IT
Processes
Business
Requirements
IT
Resources
IT
Processes
Business
Requirements
IT
Resources

16. © ITGI 2004 - not for commercial use. 16
Dominios de TI
• Planificar y
Organizar
• Adquirir e
Implementar
• Prestar
Servicios y
Soporte
• Monitorizar y
Evaluar
Procesos de TI
• Estrategia de TI
• Operaciones
• Manejo de incidencias
• Pruebas de aceptación
• Gestión de cambios
• Planes de contingencia
• Gestión de problemas
Actividades
• Registrar nuevo problema
• Analizar
• Proponer solución
• Monitorizar solución
• Registrar problema conocido
• Etc.
Agrupamiento natural de
procesos, a menudo
coincidente con un dominio
organizacional de
responsabilidad
Una serie de actividades
conjuntas con puntos
naturales de control Acciones requeridas para lograr un
resultado medible. Las
actividadeies tiene un ciclo de vida,
mientras que las tareas son
discretas
Orientación de Procesos
IT
Processes
Business
Requirements
IT
Resources
IT
Processes
Business
Requirements
IT
Resources

17. © ITGI 2004 - not for commercial use. 17
Descripción
 Este dominio incluye estrategias y tácticas, y se relaciona con la identificación
de cómo las TI pueden contribuir mejor al logro de los objetivos de negocios.
Además, la consecución de la visión estratégica necesita ser planificada,
comunicada y gestionada desde diferentes perspectivas. Finalmente, debe
existir una organización apropiada y una infraestructura tecnológica
Tópicos
 Estrategias y tácticas
 Visión planificada
 Organización e infraestructura
Preguntas
 ¿Están alineadas las estrategias de negocios y TI?
 ¿Está la empresa utilizando óptimamente sus recursos?
 ¿Todos en la organización comprenden los objetivos de TI?
 ¿Se comprenden y gestionan los riesgos de TI?
 ¿Es la calidad de los sistemas de Ti apropiada para las necesidades de
negocios?
DominiosOrientación de
Procesos
Planificar yPlanificar y
OrganizarOrganizar
IT
Processes
Business
Requirements
IT
Resources
IT
Processes
Business
Requirements
IT
Resources

18. © ITGI 2004 - not for commercial use. 18
 PO1 Definir un plan estratégico de
tecnologías de información
 PO2 Definir la arquitectura de información
 PO3 Determinar la dirección tecnológica
 PO4 Definir la organización y relaciones de TI
 PO5 Administrar las inversiones en tecnología de información
 PO6 Comunicar las metas y dirección de la gerencia
 PO7 Administrar recursos humanos
 PO8 Asegurar cumplimiento de requerimientos externos
 PO9 Evaluar riesgos
 PO10 Gestionar proyectos
 PO11 Gestionar calidad.
Orientación de
Procesos
Planificar yPlanificar y
OrganizarOrganizar

19. © ITGI 2004 - not for commercial use. 19
Adquirir e ImplementAdquirir e Implementar
Descripción
 Para ejecutar la estrategia de TI, las soluciones de TI deben ser identificadas,
desarrolladas o adquiridas, así como implementadas e integradas con el
proceso de negocios. Además, este dominio cubre los cambios y mantenimiento
de los sistemas existentes para asegurar el cumplimiento del ciclo de vida de
los sistemas.
Tópicos
 Soluciones de TI
 Cambios y mantenimiento
Preguntas
 ¿Los nuevos proyectos entregarán soluciones que atiendan las
necesidades de negocios?
 ¿Se terminarán puntualmente los nuevos proyectos respetando su
presupuesto?
 ¿Trabajará apropiadamente el nuevo sistema al ser implementado?
 ¿Se harán los cambios sin alterar las operaciones actuales de
negocios?
Dominios
Orientación de Procesos
IT
Processes
Business
Requirements
IT
Resources
IT
Processes
Business
Requirements
IT
Resources

20. © ITGI 2004 - not for commercial use. 20
 AI1 Identificar soluciones automatizadas
 AI2 Adquirir y mantener software de aplicaciones
 AI3 Adquirir y mantener infraestructura tecnológica
 AI4 Desarrollar y mantener procedimientos de TI
 AI5 Instalar y acreditar sistemas
 AI6 Gestionar cambios
Orientación de Procesos
Adquirir e ImplementAdquirir e Implementar

21. © ITGI 2004 - not for commercial use. 21
Descripción
 Este dominio se encarga de la prestación real de los servicios requeridos, que varían desde
operaciones tradicionales, seguridad, aspectos de continuidad hasta entrenamiento. Para
prestar servicios, deben establecerse los procesos necesarios de apoyo. Este dominio
incluye el procesamiento real de los datos por las aplicaciones de sistemas, a menudo
clasificado como controles de aplicaciones.
Tópicos
 Prestación de los servicios requeridos
 Establecimiento de procesos de apoyo
 Procesamiento mediante las aplicaciones de sistemas
Preguntas
 ¿Los servicios de TI se proporcionan de acuerdo con las prioridades de
negocios?
 ¿Están optimizados los costos de TI?
 ¿La fuerza de trabajo tiene la habilidad de usar los sistemas de TI productiva y
seguramente?
 ¿Se cuenta con seguridad, integridad y disponibilidad adecuadas?
DominiosOrientación de Procesos
Prestar Servicios y SoportePrestar Servicios y Soporte
IT
Processes
Business
Requirements
IT
Resources
IT
Processes
Business
Requirements
IT
Resources

22. © ITGI 2004 - not for commercial use. 22
 DS1 Definir y administrar niveles de servicio
 DS2 Administrar servicios de terceros
 DS3 Administrar desempeño y capacidad
 DS4 Asegurar continuidad del servicio
 DS5 Garantizar seguridad de los sistemas
 DS6 Identificar y asignar costos
 DS7 Educar y entrenar usuarios
 DS8 Apoyar y asistir a los clientes de TI
 DS9 Administrar configuración
 DS10 Administrar problemas e incidencias
 DS11 Administrar datos
 DS12 Administrar instalaciones
 DS13 Administrar operaciones
Orientación de Procesos
Prestar servicios y MantenerPrestar servicios y Mantener

23. © ITGI 2004 - not for commercial use. 23
Descripción
 La calidad y el cumplimiento de los requerimientos de control de todos los
processes de TI deben ser periódicamente evaluados. Este dominio, en
consecuencia, trata de la supervisión por gerencia del proceso de control de la
organización y la garantía independiente proporcionada por auditorías internas
o externas u obtenidas de fuentes alternativas.
Tópicos
 Evaluación periódica, prestación de garantías
 Supervisión gerencial del sistema de control
 Medición de desempeño
Preguntas
 ¿Puede ser medido el desempeño de TI y pueden detectarse los
problemas antes de que sea demasiado tarde?
 ¿Se necesita garantía independiente para asegurar que las áreas
críticas funcionan de la manera pretendida?
DominiosOrientación de
Procesos
Monitorizar y EvaluarMonitorizar y Evaluar
IT
Processes
Business
Requirements
IT
Resources
IT
Processes
Business
Requirements
IT
Resources

24. © ITGI 2004 - not for commercial use. 24
M1 Monitorizar los procesos
M2 Evaluar la adecuación del control interno
M3 Obtener aseguramiento independiente
M4 Proporcionar auditoría independiente
Orientación de Procesos
Monitorizar y EvaluarMonitorizar y Evaluar

25. © ITGI 2004 - not for commercial use. 25
Datos: Objetos de datos en su sentido más amplio, i.e., externos e
internos, estructurados y no estructurados, gráficos, sonido, etc.
Aplicaciones de Sistemas: Entendidas como la suma de
procedimientos manuales y programados
Tecnología: Incluye hardware, sistemas operativos, sistemas de gestión
de base de datos, redes, multimedia, etc.
Instalaciones: Recursos que alojan y soportan los sistemas de
informacion
Gente: Habilidades del staff, conciencia y productividad para planificar,
organizar, adquirir, prestar, apoyar, monitorizar y evaluar sistemas y
servicios de información
Recursos de TI
IT
Processes
Business
Requirements
IT
Resources
IT
Processes
Business
Requirements
IT
Resources

26. © ITGI 2004 - not for commercial use. 26
Procesos
de TI
Recursos
de TI
Requerimientos
Negocios
 Datos
 Aplicaciones
de Sistemas
 Tecnología
 Instalaciones
 Gente
 Planificar y
Organizar
 Adquirir e
Implementar
 Prestar Servicios y
Soporte
 Monitorizar y
Evaluar
 Efectividad
 Eficiencia
 Confidencialidad
 Integridad
 Disponibilidad
 Cumplimiento
 Fiabilidad de la
información
¿Cómo se relacionan?
IT
Processes
Business
Requirements
IT
Resources
IT
Processes
Business
Requirements
IT
Resources

27. © ITGI 2004 - not for commercial use. 27
IT
Processes
IT
Resources
Business
Requirements
 Data
 Application
systems
 Technology
 Facilities
 People
 Plan and Organise
 Aquire and
Implement
 Deliver and
Support
 Monitor and
Evaluate
 Effectiveness
 Efficiency
 Confidentiality
 Integrity
 Availability
 Compliance
 Information
reliability
Como se organizaComo se organiza
TI para responder aTI para responder a
los requerimientoslos requerimientos
Como se organizaComo se organiza
TI para responder aTI para responder a
los requerimientoslos requerimientos
Lo que losLo que los
accionistasaccionistas
esperan de TIesperan de TI
Lo que losLo que los
accionistasaccionistas
esperan de TIesperan de TI
Los recursosLos recursos
disponibles ydisponibles y
acumulados por TIacumulados por TI
Los recursosLos recursos
disponibles ydisponibles y
acumulados por TIacumulados por TI

28. © ITGI 2004 - not for commercial use. 28
PO1 Definir un plan estratégico de TI
PO2 Definir la arquitectura de información
PO3 Determinar la dirección tecnológica
PO4 Definir la organización y relaciones de TI
PO5 Administrar la inversión de TI
PO6 Comunicar las metas y dirección de la gerencia
PO7 Administrar recursos humanos
PO8 Asegurar cumplimiento de requerimientos externos
PO9 Evaluar riesgos
PO10 Administrar proyectos
PO11 Administrar calidad
AI1 Identificar soluciones automatizadas
AI2 Adquirir y mantener software de aplicaciones
AI3 Adquirir y mantener infraestructura tecnológica
AI4 Desarrollar y mantener procedimientos de TI
AI5 Instalar y acreditar sistemas
AI6 Administrar cambios
M1 Monitorizar los procesos
M2 Evaluar adecuación del control interno
M3 Obtener aseguramiento independiente
M4 Proveer de auditoría independiente
DS1 Definir niveles de servicio
DS2 Administrar servicios de terceros
DS3 Administrar desempeño y capacidad
DS4 Asegurar continuidad de servicio
DS5 Garantizar seguridad de sistemas
DS6 Identificar y asignar costos
DS7 Educar y entrenar usuarios
DS8 Apoyar y asistir a clientes de TI
DS9 Administrar la configuración
DS10 Administrar problemas e incidentes
DS11 Administrar datos
DS12 Administrar instalaciones
DS13 Administrar operaciones
RECURSOS
DE TI
• Datos
• Aplicaciones
• Tecnología
• Instalaciones
• Gente PLANIFICAR Y
ORGANIZAR
ADQUIRIR E
IMPLEMENTAR
PRESTAR SERV
Y SOPORTE
• Efectividad
• Eficiencia
• Confidencialidad
• Integridad
• Disponibilidad
• Cumplimiento
• Fiabilidad
Criterios
Objetivos de Negocios
Marco de
COBIT
MONITORIZAR
Y EVALUAR

29. © ITGI 2004 - not for commercial use. 29
PROCESOS
DE NEGOCIOS
INFORMACIÓN
• Efectividad
• Eficiencia
• Confidencialidad
• Integridad
• Disponibilidad
• Cumplimiento
• Fiabilidad
Criterios
COBIT
RECURSOS
DE TI
• Datos
• Aplicación de sistemas
• Tecnología
• Instalaciones
• Gente PLANIFICAR
Y ORGANIZAR
ADQUIRIR E
IMPLEMENTAR
PRESTAR SERV
Y SOPORTE
Marco de
COBIT
Para proporcionarPara proporcionar
la informaciónla información
que laque la
organizaciónorganización
necesita paranecesita para
lograr suslograr sus
objetivosobjetivos,, loslos
recursos de TIrecursos de TI
deben serdeben ser
administrados poradministrados por
un conjunto deun conjunto de
procesosprocesos
naturalmentenaturalmente
agrupadosagrupados
MONITORIZAR
Y EVALUAR

30. © ITGI 2004 - not for commercial use. 30
Resumen hasta el momento
 TI es indispensable para la supervivencia y crecimiento de las
empresas.
 La gerencia es responsable del control.
 Dicha responsabilidad requiere de un marco:
Los requerimientos de negocio pueden ser expresados como criterios
de información.
TI generalmente es organizada como un conjunto de procesos.
TI requiere de un conjunto de recursos.
 COBIT es un estándar aceptado internacionalmente
Para proporcionar la información que la organizaciónPara proporcionar la información que la organización
necesita para lograr sus objetivosnecesita para lograr sus objetivos ,, los recursos de TIlos recursos de TI
deben ser administrados pordeben ser administrados por un conjunto naturalmenteun conjunto naturalmente
agrupado de procesosagrupado de procesos
Marco de COBIT

31. © ITGI 2004 - not for commercial use. 31
El Cubo COBIT

32. © ITGI 2004 - not for commercial use. 32
Dominios TI
RecursosTI
Criterios de
Información
Planificar y
Organizar
Adquirir e
Implementar
Entregar y
Mantener
Monitorizar
y Evaluar
GenteApliccaciónTecnologíaInstalaciones
Daosa
Efectividad
Eficiencia
C
onfidencialidad
Integridad
D
isponibilidad
C
um
plim
iento
Fiabilidad
S P
Ayudas de
Navegación
Cubo COBIT

33. © ITGI 2004 - not for commercial use. 33
ResumenResumen
ProcesProcesoos,s,
CriteriCriterios yos y
ReReccurursososs

34. © ITGI 2004 - not for commercial use. 34
ResumenResumen
ProcesProcesoos,s,
CriteriCriterios yos y
ReReccurursososs

35. © ITGI 2004 - not for commercial use. 35
EfectividadEficienciaConfidencialidad
IntegridadDisponibilidad
Cumplimiento
Fiabilidad
Gente
Aplicaciones
TecnologíaInstalaciones
Datos
Dominio Proceso
Adquirir e
Implementar
AI1 Identificar soluciones automatizadas P S
AI2 Adquirir y mantener software de aplicacines P P S S S
AI3 Adquirir y mantener infraestructura tecnológica P P S
AI4 Desarrollar y mantener procedimientos P P S S S
AI5 Instalar y acreditar sistemas P S S
AI6 Administrar cambios P P P P S
COBIT Resumen de Procesos, Criterios y Recursos
AI6

36. © ITGI 2004 - not for commercial use. 36
Tarea
El proceso CEl proceso COBIOBIT más importanteT más importante
““En un negocio con el cual esté familiarizadoEn un negocio con el cual esté familiarizado,,
¿cuál sería¿cuál sería elel procesproceso de TIo de TI mmásás importantimportantee?? ¿Por¿Por
quéqué?”?”

37. © ITGI 2004 - not for commercial use. 37
Productos COBIT Importantes
Objetivos de Control—Objetivos de Control—
““Los controles mínimosLos controles mínimos
son...”son...”
Directrices Gerenciales—Directrices Gerenciales—
““Así es como se mide…”Así es como se mide…”
Directrices de Auditoría—Directrices de Auditoría—
““Así es como se audita...”Así es como se audita...”

38. © ITGI 2004 - not for commercial use. 38
Definiciones de Control y Objetivos de Control
Las políticas, procedimientos, prácticas y estructuras
organizacionales diseñadas para proporcionar certeza razonable
de la consecución de los objetivos de negocios y prevención,
detección o corrección de eventos indeseables
Definición deDefinición de
ControlControl
Definición deDefinición de
Objetivo deObjetivo de
Control de TIControl de TI
Un enunciado del resultado deseado o propósito a lograr mediante
la implementación de prácticas de control en una actividad
particular de TI

39. © ITGI 2004 - not for commercial use. 39
Objetivo de control de alto nivel
• Uno por proceso
Objetivos de control detallados
• De tres a 30 por proceso
Prácticas de control
• De cinco a siete por objetivo de
control
Objetivos de Control y Prácticas de
Control

40. © ITGI 2004 - not for commercial use. 40
El control de
Procesos de TI que satisfacen
es habilitado por
Enunciados
de Control que consideran
Prácticas
de Control
El Modelo de Cascada
4 Domin4 Dominioios - 34 Process - 34 Proces oos - 318 Objetivs - 318 Objetiv ooss dede ControlControl
Requerimientos
de negocios

41. © ITGI 2004 - not for commercial use. 41
AI6AI6 Administrar cambiosAdministrar cambios
La administración de cambios a los programas de
computador es necesaria para asegurar la integridad
de procesamiento entre versiones, y la consistencia de
resultados entre períodos. Los cambios deben ser
formalmente administrados vía controles de solicitud
de cambio, evaluación de impacto, documentación,
políticas y procedimientos de autorización, liberación, y
distribución
Objetivo de Control de Alto Nivel

42. © ITGI 2004 - not for commercial use. 42
AI6
Objetivo
de Control
de Alto
Nivel

43. © ITGI 2004 - not for commercial use. 43
AI6
Objetivo
de Control
de Alto
Nivel

44. © ITGI 2004 - not for commercial use. 44
AI6 Administrar cambios
6.1 Solicitud de inicio de cambio y control
La administración de TI debe asegurar que todas las solicitudes de cambios, mantenimiento de
sistemas y mantenimiento de proveedores sean estandarizadas y sujetas a procedimientos
formales de administración de cambios. Los cambios deben ser categorizados y priorizados, y debe
haber procedimientos específicos para manejar cambios de urgencia. Los solicitantes de cambios
deben ser informados del estado de su solicitud.
6.2 Evaluación de impacto
Debe existir un procedimiento para asegurar que todas las solicitudes de cambio son evaluadas de
manera estructurada para determinar todos los posibles impactos sobre el sistema operacional y su
funcionalidad
6.3 Control de cambios
La administración de TI debe asegurar que la administración de cambios y el control y distribución
del software están integradas apropiadamente con un sistema comprehensivo de gestión de
configuración. El sistema utilizado para monitorizar los cambios a las aplicaciones de sistemas
debe ser automatizado para apoyar el registro y seguimiento de cambios hechos en sistemas de
información grandes y complejos.
6.4 Cambios de emergencia
La administración de TI debe establecer parámetros de definición de cambios de emergencia y
procedimientos para controlar estos cambios cuando obvien el proceso normal de evaluación
técnica, operacional y administrativa previo a su implementación. Los cambios de emergencia
deben ser registrados y autorizados por la administración de TI antes de ser implementados.
Objetivos de Control Detallados

45. © ITGI 2004 - not for commercial use. 45
Objetivos de Control Detallados
AI6 Administrar Cambios (continución)
6.5 Documentación y procedimientos
El proceso de cambios debe asegurar que, cada vez que se implementan cambios en el
sistema, la documentación y procedimientos asociados son documentados consiguientemente.
6.6 Mantenimiento autorizado
La administración de TI debe asegurar que el personal de mantenimiento tiene tareas
específicas y su trabajo es apropiadamente monitorizado. Además, sus derechos de acceso al
sistema deben ser controlados para evitar riesgos de acceso no autorizados a los sistemas
automatizados.
6.7 Política de liberación de software
La administración de TI debe asegurar que la liberación de software se controla con
procedimientos formales—garantiza corte, empaquetado, pruebas de regresión, instalación,
etc.
6.8 Distribución de software
Debe establecerse medidas específicas de control interno para asegurar la distribución del
elemento correcto de software, al lugar correcto, con integridad, oportunamente y con pistas de
auditoría adecuadas.

46. © ITGI 2004 - not for commercial use. 46
COBIT
AI6
Objetivos
de Control
Detallados

47. © ITGI 2004 - not for commercial use. 47
COBIT
AI6
Objetivos
de Control
Detallados

48. © ITGI 2004 - not for commercial use. 48
 Prácticas de control. Son mecanismos claves de
control que apoyan:
• El logro de los objetivos de control
• La prevención, detección y corrección de eventos
indeseables
 Prácticas de control. Logran lo anterior mediante:
• Utilización responsable de recursos
• Administración apropiada de riesgos
• Alineación de TI con el negocio
Traducen los objetivos de control de CTraducen los objetivos de control de COBIOBIT en prácticas detalladas eT en prácticas detalladas e
implementables y proporcionan la argumentación de negocios para suimplementables y proporcionan la argumentación de negocios para su
implementación, a partir de una perspectiva de valor y riesgosimplementación, a partir de una perspectiva de valor y riesgos
Prácticas de Control

49. © ITGI 2004 - not for commercial use. 49
1. La administración define parámetros, características y
procedimientos que identifican y declaran emergencias.
2. Todos los cambios de emergencia son documentados,
sino antes, después de la implementación.
3. Todos los cambios de emergencia son probados, sino
antes. después de la implementación.
4. Todos los cambios de emergencia son formalmente
autorizados por el propietario del sistema y la
administración antes de su implementación.
5. Imágenes antes y después así como logs de intervención
se guardan para revisión subsiguiente.
El control de cambios de emergen-
cia mediante la implementación de
prácticas control:
 Asegurará que los procedi-
mientos de emergencia se usen
solo en emergencias declaradas
 Asegurará que los cambios
urgentes se implementen sin
comprometer la integridad,
disponibilidad, fiabilidad,
seguridad, confidencialidad o
exactitud
AI6 Administrar cambiosAI6 Administrar cambios
AI6.4 Cambios de emergenciaAI6.4 Cambios de emergencia
La administración de TI debe establecer parámetros de definición de cambios de emergencia y
procedimientos para controlar estos cambios cuando obvien el proceso normal de evaluación técnica,
operacional y administrativa previo a su implementación. Los cambios de emergencia deben ser
registrados y autorizados por la administración de TI antes de ser implementados.
Prácticas de Control ¿Por qué se ejecutan?
Prácticas de Control

50. © ITGI 2004 - not for commercial use. 50
Productos COBIT Importantes
Objetivos de Control—Objetivos de Control—
““Los controles mínimos son...”Los controles mínimos son...”
Directrices Gerenciales—Directrices Gerenciales—
““Así es como se mide…”Así es como se mide…”
Directrices de Auditoría—Directrices de Auditoría—
““Así es como se audita...”Así es como se audita...”

51. © ITGI 2004 - not for commercial use. 51
Modelo de Governance de TI
Governance de TI ayuda a determinar la manera en
que los sistemas automatizados :
• Simplifican operaciones
• Reducen costos
• Aumentan las utilidades
Requiere de un marco de
control de TI

52. © ITGI 2004 - not for commercial use. 52
¿Cómo se enlaza COBIT con
Governance de TI?
Metas Responsabilidades
Objetivos
de control
Requerimientos
NegocioNegocio TITI GovernanceGovernance
Información que el
negocio necesita
para lograr sus
objetivos
Información que los
Ejecutivos y
Directorio necesitan
para ejercer sus
responsabilidades
Dirección y
Recursos

53. © ITGI 2004 - not for commercial use. 53
Governance de TIGovernance de TI
Metas Responsabilidades
Objetivos
de Control
Requerimientos
Negocio ITTI Governance
Información que
negocio necesita para
lograr sus objetivos
Dirección
(Estrategia de TI y Políticas)
Información
(Control de TI, Riesgos
y Seguridades)
¿Cómo se enlaza COBIT con
Governance de TI?

54. © ITGI 2004 - not for commercial use. 54
Sin embargo, la gerencia tiene preguntas
que sobrepasan el marco de control:
¿Cómo "mantiene el curso de la nave"
un gerente responsable? TABLERO DE CONTROL
 ¿Cómo lograr resultados satisfactorios para el
mayor segmento posible de nuestros stakeholders? SCORECARDS
¿Cómo adaptar oportunamente la organización
a las tendencias y desarrollos en el entorno de la
empresa?
BENCHMARKING
¿Indicadores?¿Indicadores?
¿Medidas?¿Medidas?
¿Escalas?¿Escalas?
Directrices Gerenciales

55. © ITGI 2004 - not for commercial use. 55
Control
Statements
Control
Practices
is enabled by
and considers
IT Processes
The control of
Business
Requirements
which satisfy
Descripción de Procesos
Factores Críticos de Éxito
(CSF)





Indicadores
Claves de Metas
(KGI)


Indicadores
Claves de
Desempeño
(KPI)


Criterios de
Información
Recursos
00 - No se aplican procesos de
administración.
11 - Procesos son ad hoc y desorganizados.
22 - Procesos siguen un patrón regular.
33 - Procesos se documentan y comunican.
44 - Procesos se monitorizan y miden.
55 – Se siguen las mejores prácticas y se
automatizan.
Modelo de Madurez
Marco de Directrices Gerenciales

56. © ITGI 2004 - not for commercial use. 56
Describen el resultado del proceso
(i.e., medibles después del hecho);
son medidas de “qué,” y pueden
describir el impacto de no lograr la
meta del proceso
Son indicadores del éxito del
proceso y su contribución al
negocio
Se enfocan en las dimensiones
cliente y financiera del balanced
scorecard
Indicadores Claves de Metas, KGI
Control
Statements
Control
Practices
is enabled by
and considers
IT Processes
The control of
Business
Requirements
which satisfy
Definiciones

57. © ITGI 2004 - not for commercial use. 57
Nivel incrementado de entrega de servicio
Número de clientes y costo por cliente atendido
Disponibilidad de sistemas y servicios
Ausencia de riesgos de integridad y confidencialidad
Eficiencia de costos de procesos y operaciones
Confirmación de fiabilidad y efectividad
Adherencia a costos y cronograma de desarrollo
Eficiencia de costos del proceso
Productividad y moral del staff
Número de cambios oportunos a procesos y sistemas
Productividad mejorada (e.g., producción de valor por empleado)
Indicadores Claves de Metas, KGI
Ejemplos

58. © ITGI 2004 - not for commercial use. 58
Son medidas de “cuán bien” se
desempeña un proceso
Predicen la probabilidad de éxito
o fracaso (lead indicators)
Se enfocan en las dimensiones
de proceso y aprendizaje del
balanced scorecard
Se expresan en términos
precisos y medibles
Deben servir para mejorar el
proceso de TI
Indicadores Claves de Desempeño, KPI
Control
Statements
Control
Practices
is enabled by
and considers
IT Processes
The control of
Business
Requirements
which satisfy
Definiciones

59. © ITGI 2004 - not for commercial use. 59
• Número de clientes de
TI
• Costo por cliente de TI
• Costo eficiencia de los
procesos de TI
• Entrega de valor de TI
por empleado
Información
• Disponibilidad de
sistemas y servicios
• Desarrollos a tiempo y
dentro de presupuesto
• “Throughput” y
tiempos de respuesta
• Cantidad de errores y
reproceso
• Nivel de servicio
entregado
• Satisfacción de los
clientes existentes
• Número de nuevos
clientes logrados
• Número de nuevos
canales de servicio
FFinanciera
ClienteCliente
• Productividad y moral del
staff
• Número de staff entrenados
en nuevas tecnologías /
servicios
• Entrega de valor por
empleado
• Disponibilidd aumentada de
sistemas de conocimiento
AprendizajeAprendizaje
PProceso
Indicadores Claves de Desempeño, KPI
Ejemplos

60. © ITGI 2004 - not for commercial use. 60
Son las cosas más importantes
que hacer para incrementar la
probabilidad de éxito del
proceso
Son características observables
—a menudo medibles—de la
organización y proceso
Se enfocan en obtener,
mantener y potenciar
capacidades, habilidades y
comportamiento
Factores Críticos de Éxito, CSF
Control
Statements
Control
Practices
is enabled by
and considers
IT Processes
The control of
Business
Requirements
which satisfy
Definiciones

61. © ITGI 2004 - not for commercial use. 61
Son lineamientos de implementación dirigidos a la gerencia e
identifican las cosas más importantes que hacer estratégica,
técnica, organizacional o procedimentalmente
Ejemplos de CSFs incluyen:
Los procesos de TI son definidos y alineados con las
estrategias de TI y los objetivos de negocios
Los clientes del proceso y sus expectativas son conocidos
Los procesos son escalables y sus recursos son gestionados y
desplegados apropiadamente
Factores Críticos de Éxito, CSF
Definiciones (cont.)

62. © ITGI 2004 - not for commercial use. 62
• El plan estratégico de TI claramente enuncia una
posicion de riesgo tal como uso de la tecnología de
punta o tecnología probada, innovador o seguidor,
con el consiguiente equilibrio entre tiempo para
mercadear, costo de propiedad y calidad de servicio.
• Si no está listo para hacer cumplir la política, no la
emita.
• Un programa de permisos de construcción para
construir sistemas de TI y un programa de “licencias
de conducir” para los constructores
• Un buen plan de seguridad demora en evolucionar.
EstrategiaEstrategia
PolíticaPolítica
CumplimientoCumplimiento
SeguridadSeguridad
Ejemplos
Factores Críticos de Éxito

63. © ITGI 2004 - not for commercial use. 63
Se refieren a los requerimientos de negocios (KGI en inglés) y a
los aspectos habilitadores (KPI en inglés) en los diferentes niveles
Son una escala que se presta a comparaciones prácticas, que
permite medir fácilmente la diferencia
Son reconocibles como un perfil de la empresa con relación a
governance y control de TI
Asisten en determinar como están y como serán las posiciones
relativas a governance y control de madurez y en analizar la
brecha
No son específicos de cada industria ni aplicables con
generalidad. La naturaleza del negocio determina cual es un nivel
apropiado
Modelos de Madurez
Definiciones

64. © ITGI 2004 - not for commercial use. 64
0 1 2 3 4 5
Inexistente Inicial Repetible Definido Administrado Optimizado
Status actual de la empresa
Lineamientos estándares internacionales
Mejores prácticas de la industria
Estrategia empresarial
Leyenda de Símbolos Usados Leyenda de Escala Usada
0 – No se aplica la administración de procesos
1 - Procesos son ad hoc y desorganizados
2 - Procesos siguen un patrón regular
3 - Procesos se documentan y comunican.
4 - Processes se monitorizan y miden
5 – Se siguen las mejores prácticas y se automatizan
Modelos de Madurez
Uso

65. © ITGI 2004 - not for commercial use. 65
AI6
Directrices
Gerenciales

66. © ITGI 2004 - not for commercial use. 66
AI6
Directrices
Gerenciales

67. © ITGI 2004 - not for commercial use. 67
AI6
Directrices
Gerenciales

68. © ITGI 2004 - not for commercial use. 68
AI6
Directrices
Gerenciales

69. © ITGI 2004 - not for commercial use. 69
AI6
Directrices
Gerenciales

70. © ITGI 2004 - not for commercial use. 70
AI6
Directrices
Gerenciales

71. © ITGI 2004 - not for commercial use. 71
AI6
Directrices
Gerenciales

72. © ITGI 2004 - not for commercial use. 72
Productos COBIT Importantes
Objetivos de Control—Objetivos de Control—
““Los controles mínimos son...”Los controles mínimos son...”
Lineamientos de Gerenciales—Lineamientos de Gerenciales—
““Así es como se mide…”Así es como se mide…”
Directrices de Auditoría—Directrices de Auditoría—
““Así es como se audita...”Así es como se audita...”

73. © ITGI 2004 - not for commercial use. 73
 Proporcionar a la gerencia seguridad
razonable del cumplimiento de los objetivos de
control
 Donde existan debilidades significativas de
control, fundamentar los riesgos resultantes
 Proponer a la gerencia las acciones
correctivas
Objetivos de la Auditoría
““¿¿Estoy bien? Y, si no, ¿cómo lo arreglo? Estoy bien? Y, si no, ¿cómo lo arreglo? ””““¿¿Estoy bien? Y, si no, ¿cómo lo arreglo? Estoy bien? Y, si no, ¿cómo lo arreglo? ””

74. © ITGI 2004 - not for commercial use. 74
Estructura del Proceso de Auditoría
Identificación
y
Documentación
Evaluación Pruebas de
Cumplimiento
PruebasPruebas
SustantivasSustantivas

75. © ITGI 2004 - not for commercial use. 75
Un proceso de TI es auditado mediante:
• Obtención de entendimientoObtención de entendimiento de los riesgos relacionados con los
requerimientos de negocios y medidas de control relevantes
• Evaluación de lo apropiadoEvaluación de lo apropiado de los controles establecidos
• Evaluación de cumplimientoEvaluación de cumplimiento probando si los controles
establecidos trabajan según lo prescrito, consistente y
continuamente
• Fundamentación del riesgoFundamentación del riesgo de los objetivos de control
incumplidos mediante técnicas analíticas y/o consultando fuentes
alternativas

76. © ITGI 2004 - not for commercial use. 76
Una directriz genérica yUna directriz genérica y
34 directrices orientadas a procesos34 directrices orientadas a procesos
 Una directriz genérica identifica varias tareas a
realizar para evaluar cualquier objetivo de control de
un proceso. Esta directriz genérica es un modelo
para todos los objetivos de control
 Otros, son específicos, sugerencias de tareas
orientadas a procesos para proporcionar
seguridad a la gerencia de que existe un control con
un nivel razonable de efectividad
COBIT Directrices de Auditoría

77. © ITGI 2004 - not for commercial use. 77
Obtención de entendimiento
Los pasos de auditoría a ejecutar para documentar las actividades subyacentes a los
objetivos de control e identificar las medidas/procedimientos de control establecidos
 Entreviste a las gerencias apropiadas y staff para obtener y adquirir un entendimiento de:
• Requerimientos de negocios y riesgos asociados
• Estructura de la organización
• Roles y responsabilidades
• Políticas y procedimientos
• Leyes y regulaciones
• Medidas de control establecidas
• Informes gerenciales (status, desempeño, acciones)
 Documente los recursos de TI relacionados con procesos particularmente afectados por el
proceso en revisión
 Confirme el entendimiento del proceso en revisión, las implicancias de control, e.g., mediante
un recorrido del proceso
Directriz Genérica de Auditoría (1 2 3 4)

78. © ITGI 2004 - not for commercial use. 78
Evaluación de Controles
Los pasos de auditoría a ejecutar con miras a evaluar la efectividad de los
controles establecidos o el grado de cumplimiento de los objetivos de control
 Evalúe lo apropiado de las medidas de control del proceso en revisión mediante
la consideración de criterios identificados, practicas estándares de la industria y
aplicación
de juicio profesional. Determine si:
• Existe un proceso documentado
• Existen entregables apropiados
• La responsabilidad y rendición de cuentas son claras y efectivas
• Existen controles compensatorios en caso necesario
 Concluya señalando el grado de cumplimiento de los objetivos de control
Directriz Genérica de Auditoría (1 2 3
4)

79. © ITGI 2004 - not for commercial use. 79
Evaluación de Cumplimiento
Los pasos de auditoría a ejecutar para asegurar que las medidas de control
establecidas trabajan según lo prescrito, consistente y continuamente
 Obtenga evidencia directa o indirecta de ítems/períodos seleccionados para asegurar que
los procedimientos se han cumplido en el período de revisión, empleando tanto evidencia
directa como indirecta
 Ejecute una limitada revisión de lo adecuado de los entregables del proceso
 Determine el nivel de pruebas sustantivas y trabajo adicional necesarios para
proporcionar
seguridad de que el proceso de TI es adecuado.
Directriz Genérica de Auditoría (1 2 3 4)

80. © ITGI 2004 - not for commercial use. 80
Fundamentación del Riesgo
Los pasos de auditoría a ejecutar para fundamentar el riesgo de no cumplimiento
del objetivo de control mediante el uso de técnicas analíticas y/o consulta de
fuentes alternativas
 Documente las debilidades de control y las correspondientes amenazas y
vulnerabilidades.
 Identifique y documente el impacto actual y potencial
Directriz Genérica de Auditoría (1 2 3 4)

81. © ITGI 2004 - not for commercial use. 81
OBJETIVOS DE CONTROL
1. Interfaces con proveedores
2. Relaciones con propietarios
3. Contratos con terceros
4. Calificaciones de terceros
5. Contratos de tercerización
6. Continuidad de servicio
7. Relaciones de seguridad
8. Monitoreo
Directriz Detallada de Auditoría (1 de n)
DS2 Administración de servicios prestados
por terceros

82. © ITGI 2004 - not for commercial use. 82
TANTO LOS OBJETIVOS DE CONTROL DE ALTO
NIVEL COMO LOS DETALLADOS SON AUDITADOS
MEDIANTE:
Obtención de entendimiento por medio de:
Entrevistas
El jefe de TI
La dirección senior de TI
El administrador de contratos/niveles de
servicio de TI
La dirección de producción de TI
El oficial de seguridad
Directriz detallada de auditoría (1 de n)
DS2 Administración de servicios prestados
por terceros

83. © ITGI 2004 - not for commercial use. 83
TANTO LOS OBJETIVOS DE CONTROL DE ALTO
NIVEL COMO LOS DETALLADOS SON AUDITADOS
MEDIANTE:
Obtención de entendimiento por medio de:
La obtención de:
 Políticas y procedimientos aplicables a toda la organización
relacionadas con los servicios comprados y, en particular,
las relaciones con terceros
 Políticas y procedimientos de TI relacionadas con: relaciones con
terceros, procedimientos de selección de proveedores, contenido
del contrato de tales relaciones, seguridad física y lógica,
mantenimiento de calidad de proveedores, planeamiento de
contingencia y tercerización
Directriz detallada de auditoría (1 de n)
DS2 Administración de servicios prestados
por terceros

84. © ITGI 2004 - not for commercial use. 84
TANTO LOS OBJETIVOS DE CONTROL DE ALTO
NIVEL COMO LOS DETALLADOS SON AUDITADOS
MEDIANTE:
Obtención de entendimiento por medio de:
La obtención de (continuación):
 La lista de todas las relaciones tercerizadas actuales y los
contratos
reales asociados con cada una
 Información de nivel de servicio relacionada con las relaciones y
servicios de terceros
 Actas de reuniones en que se discutió la revisión del contrato,
evaluación de desempeño y gestión de la relación
 Los acuerdos de confidencialidad de todas las relaciones
tercerizadas
Directriz detallada de auditoría (1 de n)
DS2 Administración de servicios
prestados por terceros

85. © ITGI 2004 - not for commercial use. 85
TANTO LOS OBJETIVOS DE CONTROL DE ALTO
NIVEL COMO LOS DETALLADOS SON AUDITADOS
MEDIANTE:
Obtención de entendimiento por medio de:
La obtención de (continuación):
 Los listados de perfiles de acceso de seguridad y recursos de los
proveedores
Directriz detallada de auditoría (1 de n)
DS2 Administración de servicios prestados por terceros

86. © ITGI 2004 - not for commercial use. 86
TANTO LOS OBJETIVOS DE CONTROL DE ALTO
NIVEL COMO LOS DETALLADOS SON AUDITADOS
MEDIANTE:
Evaluación de controles mediante:
Considerando si:
 Existen políticas y procedimientos para las relaciones
tercerizadas y éstas son consistentes con las políticas
organizacionales generales
 Existen políticas que tratan de la necesidad de contratos,
definición del contenido de los contratos, propietario o
administrador de la relación responsable de asegurar que los
contratos se creen, mantengan, supervisen y renegocien
según sea requerido
Directriz detallado de auditoría (1 de n)
DS2 Administración de servicios prestados por terceros

87. © ITGI 2004 - not for commercial use. 87
TANTO LOS OBJETIVOS DE CONTROL DE ALTO
NIVEL COMO LOS DETALLADOS SON AUDITADOS
MEDIANTE:
Evaluación de controles mediante:
Considerando si (continuación):
 Se definen las interfaces con agentes independientes
involucrados en la conducción del proyecto y cualquier otra
parte, tales como subcontratistas
 Los contratos representan un registro exhaustivo y completo
de relaciones con proveedor de servicios de terceros
 Se establecen contratos específicamente para la continuidad
de servicio, y estos contratos incluyen el planeamiento de
contingencia por el proveedor para asegurar el servicio
Directriz detallado de auditoría (1 de n)
DS2 Administración de servicios prestados por terceros

88. © ITGI 2004 - not for commercial use. 88
TANTO LOS OBJETIVOS DE CONTROL DE ALTO
NIVEL COMO LOS DETALLADOS SON AUDITADOS
MEDIANTE:
Evaluación de controles mediante:
Considerando si (continuación):
 El contenido del contrato incluye por lo menos lo siguiente
gestión formal y aprobación legal
entidad legal proveedora de servicios
servicios proporcionados
acuerdos de nivel de servicios tanto cualitativos como
cuantitativos
costo de servicios y frecuencia de pago de los servicios
proceso de resolución de problemas
las multas por faltas de desempeño
Directriz detallada de auditoría (1 de n)
DS2 Administración de servicios prestados por terceros

89. © ITGI 2004 - not for commercial use. 89
TANTO LOS OBJETIVOS DE CONTROL DE ALTO
NIVEL COMO LOS DETALLADOS SON AUDITADOS
MEDIANTE:
Evaluación de controles mediante:
Considerando si (continuación):
El contenido del contrato incluye por lo menos lo
siguiente (continuación)
proceso de disolución
proceso de modificación
informes de servicio - contenido, frecuencia, y distribución
los roles de las partes contratantes durante la vida de
contrato
garantías de continuidad de que los servicios continuarán
siendo proporcionados por el proveedor
Directriz detallada de auditoría (1 de n)
DS2 Administración de servicios prestados por terceros

90. © ITGI 2004 - not for commercial use. 90
TANTO LOS OBJETIVOS DE CONTROL DE ALTO
NIVEL COMO LOS DETALLADOS SON AUDITADOS
MEDIANTE:
Evaluación de controles mediante:
Considerando si (continuación):
El contenido del contrato incluye por lo menos lo
siguiente (continuación)
proceso y frecuencia de comunicación entre el usuario de
servicios y el proveedor
duración del contrato
nivel de acceso proporcionado al proveedor
requisitos de seguridad
garantías de confidencialidad
derecho de acceso y derecho de auditar
Directriz detallada de auditoría (1 de n)
DS2 Administración de servicios prestados por terceros

91. © ITGI 2004 - not for commercial use. 91
TANTO LOS OBJETIVOS DE CONTROL DE ALTO
NIVEL COMO LOS DETALLADOS SON AUDITADOS
MEDIANTE:
Evaluación de controles mediante:
Considerando si:
 Se ha negociado los acuerdos de garantía de ser apropiado
 Los proveedores potenciales son calificados
apropiadamente
a través de una valoración de su capacidad de prestar el
servicio requerido (diligencia debida)
Directriz detalladao de auditoría (1 de n)
DS2 Administración de servicios prestados por terceros

92. © ITGI 2004 - not for commercial use. 92
TANTO LOS OBJETIVOS DE CONTROL DE ALTO
NIVEL COMO LOS DETALLADOS SON AUDITADOS
MEDIANTE:
Evaluación del cumplimiento mediante:
Probando que:
 La lista de contratos, y los contratos reales existentes, es
exacta
 Ningún servicio es proporcionado por proveedores que no
están en la lista de contratos
 Los proveedores de los contratos están realmente
ejecutando
los servicios definidos
 La administración/propietarios del proveedor entienden sus
Directriz detallada de auditoría (1 de n)
DS2 Administración de servicios prestados por terceros

93. © ITGI 2004 - not for commercial use. 93
TANTO LOS OBJETIVOS DE CONTROL DE ALTO
NIVEL COMO LOS DETALLADOS SON AUDITADOS
MEDIANTE:
Evaluación del cumplimiento mediante
Probando que (continuación):
 Las políticas y procedimientos que tienen que ver con las
relaciones con terceras partes existen y son consistente con
las políticas generales de la organización
 Existen políticas que tratan específicamente de la necesidad
de contratos, definición del contenido de contratos,
propietario o administrador de la relación responsable de
asegurar que los contratos se creen, mantengan, supervisen
Directriz detallada de auditoría (1 de n)
DS2 Administración de servicios prestados por terceros

94. © ITGI 2004 - not for commercial use. 94
TANTO LOS OBJETIVOS DE CONTROL DE ALTO
NIVEL COMO LOS DETALLADOS SON AUDITADOS
MEDIANTE:
Evaluación del cumplimiento mediante
Probando que (continuación):
 Los contratos representan un registro exhaustivo y completo
de relaciones tercerizadas con proveedores
 Se establecen contratos específicamente para continuidad
de
servicios, y que estos contratos incluyen el planeamiento de
contingencia por el proveedor para asegurar el servicio
continuo al usuario de servicios
Directriz detallada de auditoría (1 de n)
DS2 Administración de servicios prestados por terceros

95. © ITGI 2004 - not for commercial use. 95
TANTO LOS OBJETIVOS DE CONTROL DE ALTO
NIVEL COMO LOS DETALLADOS SON AUDITADOS
MEDIANTE:
Evaluación del cumplimiento mediante
Probando que (continuación):
 El contenido del contrato incluye por lo menos lo siguiente:
gestión formal y aprobación legal
entidad legal proveedora de servicios
servicios proporcionados
acuerdos de nivel de servicios tanto cualitativos como
cuantitativos
costo de servicios y frecuencia de pago de los servicios
proceso de resolución de problemas
las multas por faltas de desempeño
Directriz detallada de auditoría (1 de n)
DS2 Administración de servicios prestados por terceros

96. © ITGI 2004 - not for commercial use. 96
TANTO LOS OBJETIVOS DE CONTROL DE ALTO
NIVEL COMO LOS DETALLADOS SON AUDITADOS
MEDIANTE:
Evaluación del cumplimiento mediante:
Probando que (continuación):
El contenido del contrato incluye por lo menos lo
siguiente (continuación)
proceso de disolución
proceso de modificación
informes de servicio - contenido, frecuencia, y distribución
los roles de las partes contratantes durante la vida del
contrato
garantías de continuidad de que los servicios continuarán
siendo proporcionados por el proveedor
Directriz detallada de auditoría (1 de n)
DS2 Administración de servicios prestados por terceros

97. © ITGI 2004 - not for commercial use. 97
TANTO LOS OBJETIVOS DE CONTROL DE ALTO
NIVEL COMO LOS DETALLADOS SON AUDITADOS
MEDIANTE:
Evaluación del cumplimiento mediante:
 El contenido del contrato incluye por lo menos lo
siguiente (continuación)
proceso y frecuencia de comunicación entre el usuario de
servicios y el proveedor
duración del contrato
nivel de acceso proporcionado al proveedor
requisitos de seguridad
garantías de confidencialidad
derecho de acceso y derecho de auditar
Directriz detallada de auditoría (1 de n)
DS2 Administración de servicios prestados por terceros

98. © ITGI 2004 - not for commercial use. 98
TANTO LOS OBJETIVOS DE CONTROL DE ALTO
NIVEL COMO LOS DETALLADOS SON AUDITADOS
MEDIANTE:
Evaluación del cumplimiento mediante:
Probando que (continuación):
 Los usuarios son conscientes y entienden la necesidad de
las
políticas de contratos y de los contratos para proporcionar
servicios
 Existe independencia apropiada entre el proveedor y la
organización
 Existe independencia entre la búsqueda y los procesos de
selección del proveedor
 Las listas de accesos de seguridad incluyen sólo el número
mínimo de personal del proveedor requerido, y el acceso es
el mínimo necesario
Directriz detallada de auditoría (1 de n)
DS2 Administración de servicios prestados por terceros

99. © ITGI 2004 - not for commercial use. 99
TANTO LOS OBJETIVOS DE CONTROL DE ALTO
NIVEL COMO LOS DETALLADOS SON AUDITADOS
MEDIANTE:
Evaluación del cumplimiento mediante:
Probando que (continuación):
 El acceso vía hardware y software a los recursos de la
organización es administrado y controlado para minimizar el
uso del proveedor
 El nivel real de servicio logrado se compara favorablemente
con las obligaciones contractuales
 Las instalaciones de outsourcing, personal, operaciones y
control aseguran el nivel requerido de desempeño
comparable a lo esperado
 La administración realiza un monitoreo continuo de la
Directriz detallada de auditoría (1 de n)
DS2 Administración de servicios prestados por terceros

100. © ITGI 2004 - not for commercial use. 100
TANTO LOS OBJETIVOS DE CONTROL DE ALTO
NIVEL COMO LOS DETALLADOS SON AUDITADOS
MEDIANTE:
Evaluación del cumplimiento mediante:
Probando que (continuación):
 Ocurren auditorías independientes de las operaciones del
contratista
 Existen informes de valoración de terceras partes potenciales
para evaluar su capacidad de entregar el servicio requerido
 Historia de actividad de litigación - pasada y actual
 Las interfaces con agentes independientes involucrados en
la
conducción del proyecto se documentan en el contrato
 Los contratos con proveedores de Private Branch Exchange
(PBX) se incluyen
Directriz detallada de auditoría (1 de n)
DS2 Administración de servicios prestados por terceros

101. © ITGI 2004 - not for commercial use. 101
TANTO LOS OBJETIVOS DE CONTROL DE ALTO
NIVEL COMO LOS DETALLADOS SON AUDITADOS
MEDIANTE:
Fundamentando el riesgo de incumplimiento de los
objetivos control mediante:
La ejecución de:
 Benchmarking de servicios tercerizados contra los
proporcionados por organizaciones similares o estándares
internacionales apropiados /mejores prácticas reconocidas
de la industria
 Una revisión detallada de cada contrato con terceros para
determinar las provisiones cualitativas y cuantitativas que
confirmen que las obligaciones están definidas
Directriz detallada de auditoría (1 de n)
DS2 Administración de servicios prestados por terceros

102. © ITGI 2004 - not for commercial use. 102
TANTO LOS OBJETIVOS DE CONTROL DE ALTO
NIVEL COMO LOS DETALLADOS SON AUDITADOS
MEDIANTE:
Fundamentando el riesgo de incumplimiento de los
objetivos control mediante:
Identificando:
 Provisiones que describen la coordinación y comunicación
de
la relación entre proveedor y usuario de los servicios de
información
 Las facturas de terceros reflejan los cargos exactos por los
servicios de los contratos seleccionados
 El enlace de la organización con los proveedores
tercerizados
asegura la comunicación de problemas del contrato entre las
Directriz detallada de auditoría (1 de n)
DS2 Administración de servicios prestados por terceros

103. © ITGI 2004 - not for commercial use. 103
TANTO LOS OBJETIVOS DE CONTROL DE ALTO
NIVEL COMO LOS DETALLADOS SON AUDITADOS
MEDIANTE:
Fundamentando el riesgo de incumplimiento de los
objetivos control mediante:
Identificando:
 Se realiza una valoración continuada de riesgo para
confirmar
la necesidad de la relación o la necesidad de modificar la
relación
 Ocurre la revisión y la acción correctiva continua por parte de
la dirección basada en informes de contratos
 Se compara la razonabilidad de los cargos con medidas de
desempeño internas, externas y de industrias comparables
 Todos los servicios contratados tienen planes de
contingencia
Directriz detallada de auditoría (1 de n)
DS2 Administración de servicios prestados por terceros

104. © ITGI 2004 - not for commercial use. 104
TANTO LOS OBJETIVOS DE CONTROL DE ALTO
NIVEL COMO LOS DETALLADOS SON AUDITADOS
MEDIANTE:
Fundamentando el riesgo de incumplimiento de los
objetivos control mediante:
Identificando (conclusión):
 Para las funciones tercerizadas, las limitaciones claras o las
oportunidades de mejorar desempeño o reducir los costos
que existen
 Ocurre la implementación de recomendaciones resultado de
las auditorías independientes del contratista
Directriz detallada de auditoría (1 de n)
DS2 Administración de servicios prestados por terceros

105. © ITGI 2004 - not for commercial use. 105
Cómo se enlazan los Directrices de
Auditoría y los Objetivos de Control
 Obtención de entendimientoObtención de entendimiento
 Evaluación de apropiabilidadEvaluación de apropiabilidad
 Evaluación de cumplimientoEvaluación de cumplimiento
 Fundamentación del riesgoFundamentación del riesgo
Objetivos de control traducidos para verificar si son
tratados y si se toma en cuenta su apropiabilidad para la
empresa y las afirmaciones de la gerencia sobre su
presencia
Objetivos de control traducidos para probar y/o medir si
los controles de apoyo de los objetivos de control están
presentes como se afirma y si operan satisfactoriamente
• Compilar información relacionada con procesos de negocios, riesgos, infraestructura, etc.
• Ilustrar objetivos de negocios incumplidos, pérdidas, etc, debido a la ausencia de
control

106. © ITGI 2004 - not for commercial use. 106
Negocio
Procesos
de TI
Directrices de
Auditoría
Objetivos
de Control
Prácticas de
Control
Factores
Críticos
de Éxito
Indicadores
Claves de
Desempeño
Indicadores
Claves de
Metas
Modelos de
Madurez
requerimientos información
m
edidas
con
controlados por
implementad
con
auditados
por
de
desem
peño
deresultados
de
m
adurez
hechosefectivos
yeficientescon
se
traducen
en
= considera
Cómo se enlazan las directrices de
auditoría y los demás elementos de
COBIT