Este documento presenta una introducción al taller de auditoría de sistemas. Brevemente describe cómo la tecnología ha generado nuevas áreas de negocio que requieren soporte continuo. Luego presenta los dominios de entrega y soporte de acuerdo a COBIT, incluyendo roles, responsabilidades y expectativas. Finalmente concluye que COBIT permite alcanzar una mejor visión y organización del negocio al integrar normas de procesos de TI.

1. TALLER
AUDITORIA DE SISTEMAS
NÉSTOR ALEJANDRO PINZÓN LÓPEZ
INGENIERO Y AUDITOR DE SISTEMAS
2016

2. PRESENTACIÓN
DS2 ENTREGAR Y DAR SOPORTE
Actualmente la tecnología es algo que gracias a su evolución, ha
generado muchas áreas de negocio, muchos caminos, y con ellos,
se ha necesitado que una vez, se implemente un proceso en
tecnología, sea soportado, evaluado sobre el cliente, para que
contenga una entrega y un soporte, una vez implementado o en
funcionamiento, requerido en todas o la mayoría de empresas, y
terceros, se requiere personal de soporte básico, o especializado,
quien oriente y solucione los fallos, requerimientos o nuevas
necesidades de cliente. Me atrevo a decir que es la cara de un
servicio en este proceso, pues el cliente genera un fallo, y soporte da
la cara, diferente al arquitecto o programador, quien recibe
instrucciones las codifica y entrega unos resultados.
DS2 logra con los terceros una categorización de los servicios del
proveedor, la identificación de los
Riesgos y el monitoreo y la medición de desempeño, sobre el
mismo, convirtiendo así unas entradas y unas salidas.
IT
Governance
Resource
Management

3. DOMINIO ENTREGAR Y DAR SOPORTE
Sobre los objetivos del gobierno en el
proceso COBIT, encontramos un marco de
trabajo, para implementar sobre los
objetivos del negocio, como son entre
alguno de ellos la entrega y soporte que se
ve en la mayoría de empresas actualmente,
con clientes de terceros, el soporte
valorado como una de las áreas que el
cliente califica como un servicio, muy
evidente, y sensible, por ello su evaluación
se logra a través de la definición de roles,
responsabilidades y expectativas en los
acuerdos con los terceros donde intervienen
unos elementos, como observamos en la
imagen sobre el control del proceso de TI, y
quienes intervienen en el mismo.

4. CÓDIGO DS2
Complementado con el anterior punto de vista, y basado en parte de la lectura de COBIT, podremos decir que:
El enfoque con proveedores calificados de servicio tercerizado, se enfoca hacia las relaciones y responsabilidades
bilaterales, entre los dos, claro esta, con monitorización para ambos, para verificar y asegurar la adherencia de las
quejas, los porcentajes de los proveedores que cumplen claramente los requerimientos ya definidos, y también
identificar aquellos que no cumplen, pero que se somenten a un monitoreo.
Considero que estos procesos son y funcionan únicamente si obtienen una evaluación de calidad sobre los
mismos, pues igual daría implementar cobit, como en un ejemplo si se tienen soluciones de poco alcance o
satisfacción para con el usuario, visto como un soporte.

5. OBJETIVOS DE CONTROL
DS2.1 Identificación de Todas las Relaciones con Proveedores
• Identificar todos los servicios de los proveedores de acuerdo al tipo de proveedor, significado y criticidad. Mantener
relaciones técnicas y organizacionales que cubren los roles y responsabilidades, metas, entregables esperados, y credenciales
de los representantes de estos proveedores.
En este objetivo se busca categorizar los servicios de terceros, o tipos de proveedor, los cuales pueden ser de
reconocimiento, capacidad, o a criterio de nuestras necesidades económicas y de alcance o visión en la empresa.
Las documentación del tipo de relaciones que se mantienen con los proveedores, que en su caso podría ser como una casa de
implementación de software, que relación comercial u otro tipo se tendrían con todas ellas, existentes en esa área, para ello
tener claro y llevar un historial documentado en entregables esperados sobre cada uno, al igual en los proveedores de
elementos para equipos, en sus diferentes ramas, junto con las credenciales de contacto y confiabilidad de los mismos.
EJEMPLO: Aquí se puede citar los proveedores para el área de diseño, donde podemos observar, desde los que suministran
como tal los equipos, el mantenimiento a los mismos, las partes, el software especial o común, teniendo en cuenta los que mas
se ajusten a nuestros entregables esperados en resultado. Se puede citar las áreas de impresión, equipos de dotación en
seguridad y riesgos físicos, entre muchos otros.

6. OBJETIVOS DE CONTROL
DS2.2 Gestión de Relaciones con P
Formalizar el proceso de gestión de relaciones con proveedores para cada proveedor. Los dueños de las relaciones deben
enlazar las cuestiones del cliente y proveedor y asegurar la calidad de las relaciones basadas en la confianza y
transparencia.
Considero que se puede con un contrato escrito entre un proveedor de servicio y su cliente con objeto de fijar el nivel
acordado para la calidad de dicho servicio, dígase el de en el caso de soporte de impresión, suministro de personal de
tecnología, partes y suministros, lideres y empresas de desarrollo.
Esta herramienta que ayuda a ambas partes a llegar a un consenso en términos del nivel de calidad del servicio, en
aspectos tales como tiempo de respuesta, disponibilidad horaria, documentación disponible, personal asignado al servicio,
etc. La calidad de relación entre ambas partes: proveedor y cliente, debería basarse en las P.
EJEMPLO: Entre el proveedor de suministros para impresora SUYAKI, hemos establecido una relación de confianza,
basado en la puntualidad que reza el documento de contrato que hicimos hace un años, por las entregas de nuestras
solicitudes, en los tiempos indicados, así para tóner de marca HP, se entregaran en 8 horas hábiles, a partir de la gestión
aprobada de solicitud con mesa de ayuda.

7. OBJETIVOS DE CONTROL
DS2.3 Administración de Riesgos del Proveedor
Identificar y mitigar los riesgos relacionados con la habilidad de los proveedores para mantener un efectivo servicio de
entrega de forma segura y eficiente sobre una base de continuidad. Asegurar que los contratos están de acuerdo con los
requerimientos legales y regulatorios de los estándares universales del negocio. La administración del riesgo debe
considerar además acuerdos de confidencialidad (NDAs), contratos de garantía, viabilidad de la continuidad del proveedor,
conformidad con los requerimientos de seguridad, proveedores alternativos, penalizaciones e incentivos, etc.
Aprender a identificar cuales son los riesgos de mi proveedor, de impresoras, como pueden llegar a surgir, entre ellos
horarios, transporte, atención a mi cliente por personal, garantías, contingencias, cambios en las partes y tiempos de
respuesta de los mismos, asegurándose el cumplimiento de cada uno de estos, y en la continuidad frente al tiempo,
con claridad al momento de establecer los contratos, aplicando el segundo objetivo de control, y optando por si es
posible premiar al proveedor.
EJEMPLO: Mi proveedor de suministros de impresoras SUYAKI, me aclara que solo dispone de dos vehículos que
entregan todas las partes solicitadas por garantías, todos los días 15 de cada mes, cuando se trata de kits de
mantenimiento, el cual acordaremos en el contrato, hacer una excepción para nuestra empresa, premiando así con un
adelanto del próximo pedido en el área hasta del 30 %, por compras superiores a $300000, consignados en los 5 primeros
días cada 2 meses.

8. IMPORTANCIA DS2
COBIT se utiliza a menudo en el más alto nivel de gobierno de TI Armoniza prácticas y estándares como ITIL ,
ISO 27001 y 27002 , y PMBOK.
Mejora su alineación con las necesidades del negocio cubre el espectro completo de las actividades
relacionadas con las TI.
27001/2

9. CONCLUSIONES
• Por tener integrado un anillo de normas sobre procesos, permite alcanzar no sola una visión mejorada y desarrollada
en el negocio, si no su organización, evaluación, para el ente humano que relaciona las tecnologías modernas, en
ambientes de TI modernos y exigentes.
• En el gobierno TI se ha traducido en la creación de una familia creciente de publicaciones y productos diseñados para
ayudar en la implementación de un gobierno efectivo en toda la empresa.
• Tiene las herramientas de apoyo que permite a los administradores para cerrar la brecha entre los requisitos de control,
las cuestiones técnicas y los riesgos de negocio.
• Considero que aporta en un gran porcentaje para las áreas no solo de TI, si no también emprendedores con temas a
manera de conocimiento y alcance con los objetivos del negocio a emprender.
• Entre algunas de las reacciones en los objetivos de control es identificany define las necesidades del cliente a la vez que
controla sus expectativas de servicio en relación a la capacidad del proveedor, proporciona un marco de entendimiento,
simplifica asuntos complicados, reduce las áreas de conflicto y favorece el diálogo ante la disputa.

10. AUDITORIA DE SISTEMAS
ARBEY TOVAR ÁLVAREZ
ESTUDIANTE INGENIERÍA DE SISTEMAS
2016
GRACIAS