14. DEFINICIONES CPC. Eduardo Miranda Valdivia Las Pólíticas , Procedimientos , Prácticas y Estructuras Organizacionales , diseñadas para asegurar razonablemente el logro de los objetivos del negocio y que los eventos indeseables serán prevenidos o detectados o corregidos. CONTROL Son declaraciones del resultado esperado o del próposito a lograr mediante la implementación de los controles en una actividad de IT específica. Objetivos de Control de IT
15. PRINCIPIOS CPC. Eduardo Miranda Valdivia Se refiere a la información que es relevante para el negocio y que debe ser entregada de manera correcta, oportuna, consistente y usable. Efectividad Se refiere a la provisión de información a través del óptimo (más productivo y económico) uso de los recursos. Eficiencia Relativa a la protección de la información sensitiva de su revelación no autorizada. Confidencialidad Se refiere a la exactitud y completitud de la información, así como su validez , en concordancia con los valores y expectativas del negocio. Integridad
16. PRINCIPIOS CPC. Eduardo Miranda Valdivia Se refiere a la que la información debe estar disponible cuando es requerida por los procesos del negocio ahora y en el futuro. Involucra la salvaguarda de los recursos y sus capacidades asociadas. Disponibilidad Se refiere a cumplir con aquellas leyes, regulaciones y acuerdos contractuales, a los que están sujetos los procesos del negocio. Cumplimiento Se refiere a la provisión de la información apropiada a la alta gerencia , para operar la entidad y para ejercer sus responsabilidades finacieras y de cumplir con los reportes de su gestión. Confiabilidad
17.
18.
19.
20.
21.
22.
23.
24.
25.
26.
27. EL MODELO DEL MARCO DE TRABAJO DE COBIT El marco de trabajo COBIT, relaciona los requerimientos de información y de gobierno a los objetivos de la función de servicio de TI. El modelo de procesos COBIT permite que las actividades de TI y los recursos que los soportan sean administrados y controlados basados en los objetivos de control de COBIT, y alineados y monitoreados usando las métricas KGI y KPI de COBIT Administración, Control, Alineación y Monitoreo de Cobit. OBJETIVOS DE NEGOCIO Aplicaciones Información Infraestructura Gente Criterios de Información Recursos de TI Procesos de TI Objetivos de Control de Alto Nivel Indicadores clave de Objetivos Indicadores clave de Rendiemiento Resultados de Negocio Drivers de Gobernabilidad Procesos de TI Objetivos de TI
28. ALINEANDO CRITERIOS, PROCESOS, RECURSOS Y OBJETIVOS DE CONTROL Dominios Procesos Actividades Efectividad Procesos y Objetivos de Control de TI Recursos TI Personas Aplicaciones Infraestructura Dominios Procesos Actividades Información Eficiencia Integridad Disponibilidad Confidencialidad Confiabilidad Cumplimiento Criterios de Información CPC. Eduardo Miranda Valdivia
29.
30. COBIT Estructura del Modelo CPC. Eduardo Miranda Valdivia Dominios de Control en Tecnología de Información
31.
32. Dominios TI (4) Objetivos de control (318) Guías Auditoria De TI (34) GERENCIA - UNIDADES DE NEGOCIO - IT PERSONALIZACIÓN DE LAS GUIAS EJECUCIÓN DE LA AUDITORIA EVALUACION ADMINISTRATIVA EVALUACION AUDITORIA 2 1 :Nivel Control General 2 :Nivel Detallado Control 3 :Nivel Detallado Auditoría 2 1 1 2 2 Procesos/ Actividades (34) 3 COBIT Aplicación del modelo CPC. Eduardo Miranda Valdivia
33.
34. DOMINIO Planificación y Organizaión Proceso: PO1 Definición de un plan estratégico de TI Proceso: PO2 Definición de la arquitectura de la información Proceso: PO3 Determinación de la dirección tecnológica Proceso: PO4 Definición de la organización y el relacionamiento en TI Proceso: PO5 Administración de la inversión en TI Proceso: PO6 Comunicación de los objetivos y directivas de la gerencia Proceso: PO7 Administración de los recursos humanos Proceso: PO8 Aseguramiento del cumplimiento de los requerimientos externos Proceso: PO9 Evaluación de riesgos Proceso: PO10 Administración de proyectos Proceso: PO11 Administración de la calidad CPC. Eduardo Miranda Valdivia
35.
36. DOMINIO Adquisición e Implementación Proceso: AI12 Identificación de soluciones Proceso: AI13 Adquisición y mantenimiento de software de aplicación Proceso: AI14 Adquisición y mantenimiento de la infraestructura tecnológica Proceso: AI15 Desarrollo y mantenimiento de procedimientos de TI Proceso: AI16 Instalación y certificación de sistemas Proceso: AI17 Administración de cambios CPC. Eduardo Miranda Valdivia
37.
38. DOMINIO Entrega y Soporte Proceso: DS18 Definición de los niveles del servicio Proceso: DS19 Administración de los servicios prestados terceros Proceso: DS20 Administración de la capacidad y del desempeño del sistema Proceso: DS21 Aseguramiento de la continuidad del servicio Proceso: DS22 Establecimiento de pautas para la seguridad de los sistemas Proceso: DS23 Identificación e imputación de costos CPC. Eduardo Miranda Valdivia
39. DOMINIO Entrega y Soporte Proceso: DS24 Educación y capacitación de los usuarios Proceso: DS25 Asistencia y asesoramiento a los clientes de TI Proceso: DS26 Administración de la configuración Proceso: DS27 Administración de problemas e incidentes Proceso: DS28 Administración de datos Proceso: DS29 Administración de instalaciones Proceso: DS30 Administración de las operaciones CPC. Eduardo Miranda Valdivia
40.
41. DOMINIO Monitoreo Proceso: ME31 Monitoreo de los procesos Proceso: ME32 Evaluación de la adecuación del control interno Proceso: ME33 Obtención de aseguramiento independiente Proceso: ME34 Provisión de auditoria independiente CPC. Eduardo Miranda Valdivia
42. PROCESOS AI1 Identificar soluciones de IT Administrar los cambios Adquirir y mantener software aplicativo Adquirir y mantener arquitectura tecnológica Desarrollar y mantener procedimientos de IT Instalar y acreditar sistemas AI2 AI3 AI4 AI5 AI6 P S P P S S P P S S P P S S S P S S P P P S P CRITERIOS RECURSOS EFECTIVIDAD EFICIENCIA CONFIDENCIALIDAD INTEGRIDAD DISPONIBILIDAD CUMPLIMIENTO CONFIABILIDAD APLICACIONES TECNOCLOGÍA FACILIDADES DATOS PERSONAS DOMINIO AI : Adquisición e Implementación COBIT Navegación (Matriz) CPC. Eduardo Miranda Valdivia
43.
44. OBJETIVOS DE CONTROL DE TI - DETALLADOS 1 La TI como parte de los planes a corto/largo plazo de la empresa 2 Plan a largo plazo de la TI 3 Enfoque y estructura del Plan a largo plazo de la TI 4 Cambios al Plan a largo plazo de la TI Plan corto plazo de la función de servicios de TI 5 PROCESO: PO1: Definir el Plan Estratégico de TI DOMINIO PO : Planeación y Organización Objetivos de Control - Detallados Y tiene en consideración: Evaluación objetivos de control detallados CPC. Eduardo Miranda Valdivia
46. INTERRELACIÓN DE LOS COMPONENTES DE COBIT Negocio Procesos de TI Requerimientos Información Objetivos de Control Practicas de Control Guías de Auditoría Metas de las Actividades Modelo de Madurez Indicadores Clave de Metas Indicadores Clave de Desempeño Auditado por Medida para … Implementado con Transformado en Para desempeño Para Madurez Controlado por Logrando Efectividad y Eficiencia con Para resultados CPC. Eduardo Miranda Valdivia
47. CONTROLES GENERALES Controles Generales sobre procesos de TI Controles sobre procesos de negocio que utilizan TI Desarrollo de soluciones Administración de Cambios Seguridad Operación del Computador Integridad (completitud) Precisión Validez Autorización Segregación de Funciones CPC. Eduardo Miranda Valdivia
48.
49.
50.
51.
52.
53.
54.
55.
56.
57. ÁREAS DE REVISIÓN AUDITORÍA DE SISTEMAS DE INFORMACIÓN 1.3 Plan a largo plazo de TI - Enfoque y Estructura OBJETIVO DE CONTROL La Gerencia de TI y los dueños del proceso de negocio deberán establecer y aplicar un enfoque estructurado al proceso de planeación a largo plazo. Esto deberá traer como resultado un plan de alta calidad que cubra las preguntas básicas de qué, quién, cómo, cuándo y por qué el proceso de planeación de TI debe tomar en cuenta los resultados del análisis del riesgo, incluyendo los riesgos del negocio, entorno, tecnología y recursos humanos . Los aspectos que necesitan ser tomados en cuenta y ser cubiertos adecuadamente durante el proceso de planeación incluyen el modelo de organización y sus cambios, la distribución geográfica,la evolución tecnológica , los costos, los requerimientos legales y regulatorios, requerimientos de terceras partes o del mercado, el horizonte de planeación, reingeniería de procesos del negocio, la asignación de personal, outsourcing, datos, sistemas de aplicación y arquitecturas de la tecnología. Los planes de TI, de largo y corto alcance deberán incorporar indicadores y objetivos de desempeño. El plan mismo deberá hacer referencia a otros planes tales como el plan de calidad de la organización y el plan de manejo de riesgos de información.
58.
59.
60.
61.
62.
63.
64.
65.
66.
67.
68.
69.
70.
71.
72.
73.
74.
75.
76.
77.
78.
79.
80.
81.
82.
83.
84.
85.
86.
87.
88.
89.
90.
91. ÁREAS DE REVISIÓN AUDITORÍA DE SISTEMAS DE INFORMACIÓN CPC. Eduardo Miranda Valdivia
92.
93.
94. Directrices de Auditoría 1 Directriz genérica 34 Directrices orientadas a procesos ÁREAS DE REVISIÓN AUDITORÍA DE SISTEMAS DE INFORMACIÓN CPC. Eduardo Miranda Valdivia
95. ÁREAS DE REVISIÓN AUDITORÍA DE SISTEMAS DE INFORMACIÓN CPC. Eduardo Miranda Valdivia
96. ÁREAS DE REVISIÓN AUDITORÍA DE SISTEMAS DE INFORMACIÓN CPC. Eduardo Miranda Valdivia
97. Directriz Genérica de Auditoría ÁREAS DE REVISIÓN AUDITORÍA DE SISTEMAS DE INFORMACIÓN CPC. Eduardo Miranda Valdivia
98.
99.
100. ÁREAS DE REVISIÓN AUDITORÍA DE SISTEMAS DE INFORMACIÓN 3) VALORACIÓN DEL CUMPLIMIENTO Los pasos de auditoría a realizar para asegurar que las medidas de control establecidas estén funcionando como es debido, de manera consistente y continua, y concluir sobre la conveniencia del ambiente de control. Obtener evidencia directa o indirecta de puntos/períodos seleccionados para asegurarse que se ha cumplido con los procedimientos durante el período de revisión, utilizando evidencia tanto directa como indirecta. Realizar una revisión limitada de la suficiencia de los resultados del proceso. Determinar el nivel de pruebas sustantivas y trabajo adicional necesarios para asegurar que el proceso de TI es adecuado.
101. ÁREAS DE REVISIÓN AUDITORÍA DE SISTEMAS DE INFORMACIÓN 4) JUSTIFICAR/COMPROBAR EL RIESGO Los pasos de auditoría a realizar para justificar el riesgo de que no se cumpla el objetivo de control mediante el uso de técnicas analíticas y/o consultas a fuentes alternativas. El objetivo es respaldar la opinión e “impresionar” a la administración para que tome acción. Los auditores tienen que ser creativos para encontrar y presentar esta información que con frecuencia es sensible y confidencial. Documentar las debilidades de control y las amenazas y vulnerabilidades resultantes. Identificar y documentar el impacto real y potencial; por ejemplo, mediante el análisis de causa-efecto. Brindar información comparativa; por ejemplo, mediante benchmarks.
102. ÁREAS DE REVISIÓN AUDITORÍA DE SISTEMAS DE INFORMACIÓN CPC. Eduardo Miranda Valdivia
103. ÁREAS DE REVISIÓN AUDITORÍA DE SISTEMAS DE INFORMACIÓN CPC. Eduardo Miranda Valdivia
104. Directrices de auditoría Son sólo un punto de inicio para identificar tareas asociadas con determinados objetivos de control de proceso. ÁREAS DE REVISIÓN AUDITORÍA DE SISTEMAS DE INFORMACIÓN CPC. Eduardo Miranda Valdivia
105. ÁREAS DE REVISIÓN AUDITORÍA DE SISTEMAS DE INFORMACIÓN CPC. Eduardo Miranda Valdivia
106. ÁREAS DE REVISIÓN AUDITORÍA DE SISTEMAS DE INFORMACIÓN PO 1 DEFINIR UN PLAN ESTRATÉGICO DE TI Objetivos de control 1.- TI como parte del Plan a largo y corto plazo 2.- Plan a largo plazo de TI 3.- Plan a largo plazo de TI - Enfoque y Estructura 4.- Cambios al Plan a largo plazo de TI 5.- Planeación a corto plazo para la Función de Servicios de Información 6.- Comunicación de los planes de TI 7.- Monitoreo y evaluación de los planes de TI 8.- Evaluación de los sistemas existentes CPC. Eduardo Miranda Valdivia
107.
108.
109. ÁREAS DE REVISIÓN AUDITORÍA DE SISTEMAS DE INFORMACIÓN Los cambios organizacionales, la evolución tecnológica, los requerimientos regulatorios, la reingeniería de los procesos de negocios, el in-sourcing y el outsourcing, las áreas de apoyo, etc. están siendo consideradas y dirigidas adecuadamente en el proceso de planeación. Existen planes de tecnología de información a corto y largo plazo, están actualizados, están dirigidos adecuadamente a toda la empresa, su misión y funciones clave de negocios. Los proyectos de TI están soportados por la documentación apropiada según lo definido en la metodología de planeación de tecnología de información. Existen puntos de revisión para asegurar que los objetivos de tecnología de información y los planes a corto y largo plazo continúan satisfaciendo los objetivos y los planes a corto y largo plazo de la organización.
110. ÁREAS DE REVISIÓN AUDITORÍA DE SISTEMAS DE INFORMACIÓN Los propietarios de procesos y la Gerencia llevan a cabo revisiones y aprobaciones formales a los planes de TI. El plan de tecnología de información evalúa los sistemas de información existentes en términos del grado de automatización, funcionalidad, estabilidad, complejidad, costos, fortalezas y debilidades del negocio. La ausencia de planeación a largo plazo para los sistemas de información y la estructura que lo soporta resulta en sistemas que no soportan los objetivos de la empresa ni los procesos del negocio, o no proveen integridad, seguridad y control apropiados. CPC. Eduardo Miranda Valdivia
111. ÁREAS DE REVISIÓN AUDITORÍA DE SISTEMAS DE INFORMACIÓN Evaluar la suficiencia: Probando que: Las minutas de las reuniones del comité de Planeación de la función de servicios de información reflejan el proceso de planeación. Los entregables de la metodología de planeación existen según lo indicado. Se incluyen iniciativas de tecnología de información relevantes en los planes a corto y largo plazos de la función de servicios de información (por ejemplo, cambios de hardware, planeación de capacidad, arquitectura de información, desarrollo u obtención de nuevos sistemas, planeación de recuperación en caso de desastre, instalación de plataformas para nuevos procesamientos, etc.). Las iniciativas de tecnología de información soportan la investigación, el entrenamiento, la asignación de personal, las instalaciones, el hardware y el software.
112. ÁREAS DE REVISIÓN AUDITORÍA DE SISTEMAS DE INFORMACIÓN Evaluar la suficiencia: Probando que: Se han identificado las implicaciones técnicas para las iniciativas de tecnología de información Se ha tomado en consideración la optimización de las inversiones de tecnología de información actuales y futuras Los planes a corto y largo plazo de tecnología de información son consistentes con los planes a corto y largo plazo de la organización, así como con los requerimientos de ésta. Se han modificado los planes para reflejar condiciones cambiantes. Los planes a largo plazo de tecnología de información son traducidos periódicamente en planes a corto plazo. Existen tareas para implementar los planes.
113. ÁREAS DE REVISIÓN AUDITORÍA DE SISTEMAS DE INFORMACIÓN Comprobar el riesgo de los objetivos de control no cumplidos: Llevando a cabo : Mediciones ("Benchmarking") de planes estratégicos de tecnología de información contra organizaciones similares o apropiados estándares internacionales reconocidos como buenas prácticas de la industria. Una revisión detallada de los planes de TI para asegurar que las iniciativas de tecnología de información reflejen la misión y las metas de la organización. Una revisión detallada de los planes de TI para determinar si, como parte de las soluciones de tecnología de información contenidas en los planes, se han identificado áreas débiles dentro de la organización que requieren ser mejoradas.
114. ÁREAS DE REVISIÓN AUDITORÍA DE SISTEMAS DE INFORMACIÓN Comprobar el riesgo de los objetivos de control no cumplidos: Identificando: Fallas en la tecnología de información para satisfacer la misión y las metas de la organización. Fallas en la tecnología de información para concordar con los planes a corto y largo plazo. Fallas en los proyectos de TI para satisfacer los planes a corto plazo. Fallas en la tecnología de información para satisfacer lineamientos de costos y tiempos. Oportunidades de negocios no aprovechadas. Oportunidades no aprovechadas por TI.
115.
116. ÁREAS DE REVISIÓN AUDITORÍA DE SISTEMAS DE INFORMACIÓN CPC. Eduardo Miranda Valdivia
117.
118. ÁREAS DE REVISIÓN AUDITORÍA DE SISTEMAS DE INFORMACIÓN Factores críticos de éxito CPC. Eduardo Miranda Valdivia
119. Indicadores clave de desempeño (KPI) ÁREAS DE REVISIÓN AUDITORÍA DE SISTEMAS DE INFORMACIÓN CPC. Eduardo Miranda Valdivia
120.
121.
122. Modelos de madurez para autoevaluación ÁREAS DE REVISIÓN AUDITORÍA DE SISTEMAS DE INFORMACIÓN CPC. Eduardo Miranda Valdivia
123. DIMENSIONES DEL MODELO DE MADUREZ • Entendimiento y conocimiento de los riesgos y de los problemas de control • Capacitación y comunicación aplicadas a los problemas • Proceso y prácticas que son implementados • Técnicas y automatización para hacer los procesos más efectivos y eficientes • Grado de cumplimiento de la política interna, las leyes y las reglamentaciones • Tipo y grado de pericia empleada. ÁREAS DE REVISIÓN AUDITORÍA DE SISTEMAS DE INFORMACIÓN CPC. Eduardo Miranda Valdivia
124.
125.
126.
127.
128. - Mejorar los procesos de costo-eficiencia de TI (costos versus entregables o servicios) - Incrementar el número de planes de acción de TI para las iniciativas de mejora de procesos - Incrementar la utilización de la infraestructura de TI - Incrementar la satisfacción de los socios y accionistas (encuestas y número de reclamaciones). - Incrementar la productividad de los funcionarios de TI (número de entregables) y su moral (encuesta) - Incrementar la disponibilidad de conocimiento e información para administrar la empresa. - Incrementar las relaciones entre el gobierno de la empresa y el gobierno de TI - Incrementar el desempeño mediante mediciones utilizando tarjetas de medición (Balanced Scorecards) Indicadores clave de desempeño ÁREAS DE REVISIÓN AUDITORÍA DE SISTEMAS DE INFORMACIÓN
129.
130. ÁREAS DE REVISIÓN AUDITORÍA DE SISTEMAS DE INFORMACIÓN CPC. Eduardo Miranda Valdivia
131. ÁREAS DE REVISIÓN AUDITORÍA DE SISTEMAS DE INFORMACIÓN CPC. Eduardo Miranda Valdivia
132. ÁREAS DE REVISIÓN AUDITORÍA DE SISTEMAS DE INFORMACIÓN CPC. Eduardo Miranda Valdivia
133. ÁREAS DE REVISIÓN AUDITORÍA DE SISTEMAS DE INFORMACIÓN CPC. Eduardo Miranda Valdivia
134. ÁREAS DE REVISIÓN AUDITORÍA DE SISTEMAS DE INFORMACIÓN PO1 Modelo de Madurez El control sobre el proceso de TI de Definir un Plan Estratégico de TI con el objetivo del negocio de alcanzar un balance óptimo de oportunidades de tecnología de la información y requerimientos de TI del negocio así como también asegurando su posterior cumplimiento 0 Inexistente . No
Notas del editor
Management has traditionally asked these basic questions: How do I keep the ship on course? How do I achieve results that are satisfactory to all my stakeholders, shareholders, customers and partners? How can I adapt my organization in a timely manner? Current management toolsets talk about dashboards, scorecards and benchmarks. The elements that are missing are that for dashboards one needs indicators, for scorecards one needs measures and for benchmarks one needs scales. This is the basic premise used in the development of the Management Guidelines.
This table illustrates how the dimensions identified earlier can be introduced into the maturity model. Additional and better practices are then integrated at certain levels of maturity. Of course, new dimensions can be added by each organisation as it implements these management guidelines, depending on what management considers to be strategic in accomplishing its goals. By defining the resulting maturity model, the organisation can then assess where it is along the desired dimensions and processes and then decide where it wants to be. Comparisons with external benchmarks and industry best practices can provide additional capabilities to identify the most effective use of the organisation’s resources.
Some guidance in defining CSFs comes from the standard control model, where management sets objectives for activities and the activities provide control information, which is then compared against defined norms and action is taken when a deviation occurs. This simple model defines a number of requirements for control over processes, including responsibility for the activity and reporting, good standards of operation, documented control process and clear accountability.
In defining how to measure the performance of IT processes and their alignment with the overall organisation goals, the basic concepts of the balanced business scorecard provide insights. The balanced business scorecard, first defined by Robert Kaplan and David Norton, includes the following perspectives: Customer, Financial, Internal Process, and Learn and Innovate. The customer and financial perspectives emphasise the organisations’ response to external factors, while the internal processes, and the learn and innovate perspectives address how the organisation is managing its resources to achieve overall objectives and goals.
The balanced business scorecard provides for two types of measures, one which looks at the performance of the enablers, henceforth called a KPI, and another, which looks at the goals (measures of outcome), called a KGI. KGIs need to be defined to support measuring the outcome in satisfying the business requirement of the C OBI T high-level control objective. The ‘Substantiating Risk’ section in the C OBI T Audit Guidelines also provides direction on how to express to management the absence or inefficiency of control; it provides goal measurements, usually in negative terms, because this is used if there are problems in the control environment found by an auditor.
The basic intent of the Management Guidelines is to provide generic and action oriented guidelines for the purpose of: defining what is important for management increasing awareness about risk and risk management creating the tool to answer the question: What are the others doing? This toolset was built to help management’s decision support process through defining KPIs of IT processes (What are the right indicators that tell me that the process is working?), critical success factors (What is the most important thing to do?), benchmarks (Where am I, where do I want to be and what are others doing?) and then a tool set to help make the right choices. The Management Guidelines assist enterprise and IT management in determining the appropriate level of control over IT so that it supports enterprise objectives. They support self-assessment of strategic organisational status, identification of actions to improve IT processes and monitoring the performance of these IT processes.
The development was guided by the Software Engineering Institute’s efforts in the late 80’s in building maturity models for software development. The Management Guidelines expand this basic concept by applying it to the management of IT processes. The principles were used to define a set of levels that allow an organisation to assess where it is relative to the control and governance over IT. These levels are presented on a scale that moves from non-existent, on the left, to optimized, on the right. By using such a scale, an organisation can determine where it is, define where it wants to go and, if it identifies a gap, it can do an analysis to translate the findings into projects. Reference points can be added to the scale. Comparisons can be performed with what others are doing, if that data is available, and the organisation can determine where emerging international standards and industry best practices are pointing for the effective management of security and control.
The basic maturity model presented was expanded by adding key new dimensions, such as the ones presented here.
To support the overall organisation, IT needs to address business goals, support them with the required information and perform its activities effectively by leveraging IT resources. Performance measures are defined for managing progress towards the goal.