Interesante 202917203 co bi-t-directrices-de-auditoria
1. ®
COBIT
DIRECTRICES DE AUDITORIA
Julio de 2000
3a Edición
Emitido por el Comité Directivo de COBIT y
El IT Governance Institute TM
La Misión de COBIT:
Investigar, desarrollar, publicar y promover un conjunto de objetivos de con-trol
en tecnología de información con autoridad, actualizados, de carácter in-ternacional
y aceptados generalmente para el uso cotidiano de gerentes de
empresas y auditores.
2. ARGENTINA
ARUBA
AUSTRALIA
AUSTRIA
BAHAMAS
BAHRAIN
BANGLEDESH
BARBADOS
BÉLGICA
BERMUDA
BOLIVIA
BOSTSWANA
BRASIL
BRUENI
CANADÁ
CHILE
CHINA
COLOMBIA
COSTA RICA
CROATA
CURAZAO
CYPRUS
REPÚBLICA CHECA
DINAMARCA
REPÚBLICA DOMI-NICANA
ECUADOR
EGIPTO
ESTONIA
ISLAS FAEROE
FINLANDIA
FRANCIA
ALEMANIA
GHANA
GRECIA
GUAM
GUATEMALA
HONDURAS
HONG KONG
HUNGRÍA
ISLANDIA
INDIA
INDONESIA
IRLANDA
ISRAEL
ITALIA
IVORY COAST
JAMAICA
JAPÓN
JORDÁN
KENYA
COREA
KUWAIT
LATVIA
LEBANON
LIECHTENSTEIN
LITUANIA
LUXEMBURGO
MALASIA
MALTA
MALAWI
MÉXICO
PAÍSES BAJOS
NUEVA GUINEA
NUEVA ZELANDA
NIGERIA
NORUEGA
OMÁN
PAKISTÁN
PANAMÁ
PERÚ
FILIPINAS
POLONIA
PORTUGAL
QATAR
RUSIA
SAIPAN
ARABIA SAUDITA
ESCOCIA
SEYCHELLES
SINGAPUR
REP. ESLOVACA
ESLOVENIA
SUDÁFRICA
ESPAÑA
SRI LANKA
ST. KITTS
ST. LUCIA
SUECIA
SUIZA
SIRIA
TAIWAN
TANZANIA
TASMANIA
TAILANDIA
TRINIDAD & TO-BAGO
TURQUÍA
UGANDA
EMIRATOS ARAB
UNIDOS
REINO UNIDO
ESTADOS UNI-DOS
URUGUAY
VENEZUELA
VIETNAM
GALES
YEMEN
ZAMBIA
ZIMBABWE
INFORMATION SYSTEMS AUDIT AND
CONTROL ASSOCIATION
Una sola Fuente Internacional para los Controles
de la Tecnología de Información
Information Systems Audit and Control
Association es una organización global
líder de profesionales que representa a
individuos en más de 100 países y compren-de
todos los niveles de la tecnología de
información Dirección ejecutiva, geren-cia
media y practicantes. La Asociación
está únicamente posesionada para cubrir el
papel de generador central que armoniza
los estándares de las prácticas de control
de TI a nivel mundial. Sus alianzas estraté-gicas
con otros grupos dentro del ámbito
profesional financiero, contable, de audito-ría
y de TI aseguran a los dueños del proce-so
del negocio un nivel sin paralelo de inte-gración
y compromiso.
Programas y Servicios
de la Asociación
Los Programas y Servicios de la Asociación
han ganado prestigio al establecer los nive-les
más altos de excelencia en certificación,
estándares, educación profesional y publici-dad
técnica.
• su programa de certificación (el Audi-tor
de Sistemas de Información Certi-ficado)
es la única designación global
en toda la comunidad de control y
auditoría de la TI.
• sus actividades estándar establecen la
base de calidad mediante la cual otras
actividades de control y auditoría de TI
se miden.
• su programa de educación profesional
ofrece conferencias técnicas y adminis-trativas
en cinco continentes, así como
seminarios en todo el mundo para
ayudar a los profesionistas de todas
partes a recibir educación continúa de
alta calidad.
• su área de publicidad técnica propor-ciona
materiales de desarrollo profe-sional
y referencias con el fin de au-mentar
su distinguida selección de
programas y servicios.
La Information Systems Audit and Control
Association se creó en 1969 para cubrir las
necesidades únicas, diversas y de alta tecno-logía
en el naciente campo de la TI. En una
industria donde el progreso se mide en na-nosegundos,
ISACA se ha movido ágil y
velozmente para satisfacer las necesidades
de la comunidad de negocios internaciona-les
y de la profesión de controles de la TI.
Para más Información
Para recibir información adicional, puede
llamar al (+1.847.253.1545), enviar un e-mail
a (research@isaca.org) o visitar los
siguientes sitios web:
www.itgovernance.org
www.isaca.org
3. CONTENIDO
Reconocimientos 4-5
Resumen Ejecutivo 7-8
Antecedentes 9-10
El Marco Referencial de COBIT
Estableciendo la escena.........................................11-13
Los Principios del Marco Referencial...................14-18
Guía para la utilización del Marco
Referencial y Objetivos de Control.......................19-20
Tabla Resumen 21
Introducción a los Lineamientos
de Auditoria 23-27, 29-31
Lineamiento General de Auditoria 28
Lineamientos de Auditoría 33
Planeación y Organización....................................35-86
Adquisición e Implementación............................87-118
Entrega de Servicios y Soporte..........................119-188
Monitoreo...........................................................189-204
Apéndice I
Lista de Dominios, Procesos y
Objetivos de Control..........................................205-209
Apéndice II
Material de Referencia Primaria........................210-211
Apéndice III
Glosario de Términos................................................212
Apéndice IV
Proceso de Auditoría..........................................213-216
Apéndice V
Cumplimiento del Año 2000..............................217-219
Índice 220-222
DIIRECTRIICES DE AUDIITORIIA
Límite de Responsabilidad
La Information Systems Audit and Control Foundation, el IT Governance
Institute y los patrocinadores de COBIT: Objetivos de Control para la Informa-ción
y Tecnologías Relacionadas, han diseñado y creado las publicaciones
tituladas Resumen Ejecutivo, Marco Referencial, Objetivos de Control, Direc-trices
Gerenciales, Directrices de Auditoría, y el Conjunto de Herramientas de
Implementación (llamado colectivamente el “Producto”) principalmente como
una fuente de instrucción para los profesionales dedicados a las actividades de
control. La Information Systems Audit and Control Foundation, el IT Gover-nance
Institute y los patrocinadores no garantizan que el uso de este producto
asegurará un resultado exitoso. No deberá considerarse que este producto
incluye todos los procedimientos o pruebas apropiados o que excluye otros
procedimientos y pruebas que estén razonablemente dirigidos hacia la obten-ción
de los mismos resultados. Para determinar la conveniencia de cualquier
prueba o procedimiento específico, los expertos en control deberán aplicar su
propio juicio profesional a las circunstancias de control especiales presentadas
por cada entorno de sistemas en particular.
Acuerdo de Licencia de uso (disclosure)
Copyright 1996, 1998, 2000, de la Information Systems Audit and Control
Foundation (ISACF). La reproducción para fines comerciales no está permitida
sin el previo consentimiento por escrito de la ISACF. Se otorga permiso para
reproducir el Resumen Ejecutivo, el Marco Referencial, los Objetivos de Con-trol,
las Directrices Gerenciales y el Conjunto de Herramientas de Implemen-tación
para uso interno no comercial, incluyendo almacenamiento en medios
de recuperación de datos y transmisión en cualquier medio, incluyendo electró-nico,
mecánico, grabado u otro medio. Todas las copias del Resumen Ejecuti-vo,
el Marco Referencial, los Objetivos de Control, las Directrices Gerenciales
y el Conjunto de Herramientas de Implementación deben incluir el siguiente
reconocimiento y leyenda de derechos de autor: “Copyright 1996, 1998, 2000
Information Systems Audit and Control Foundation. Reimpreso con la autori-zación
de la Information Systems Audit and Control Foundation, y el IT Go-vernance
Institute”.
Las Guías/Directrices de Auditoría no pueden ser usadas, copiadas, reproduci-das,
almacenadas, modificadas en un sistema de recuperación de datos o trans-mitido
en ninguna forma ni por ningún medio (electrónico, mecánico, fotoco-piado,
grabado u otro medio) sin la previa autorización por escrito de la
ISACF. Sin embargo, las Directrices de Auditoría pueden ser usadas con fines
no comerciales internos únicamente. Excepto por lo indicado, no se otorga
ningún otro derecho o permiso relacionado con esta obra. Todos los derechos
de esta obra son reservados.
Information Systems Audit and Control Foundation
IT Governance Institute
3701 Algonquin Road, Suite 1010
Rolling Meadows, Illinois 60008 USA.
Teléfono: 1+847.253.1525
Fax: 1+847.253.1443
E-mail: research@isaca.org
Web sites: www.isaca.org
www.Itgovernance.org
ISBN 1-893209-18-0 (Audit Guidelines, English)
ISBN 1-893209-13-X (Paquete completo de los 6 libros y CD)
Impreso en los Estados Unidos de América
IT GOVERNANCE INSTITUTE 3
4. COBIIT
RECONOCIMIENTOS
COMITÉ DIRECTIVO DE COBIT
ERIK GULDENTOPS, S.W.I.F.T. SC, BÉLGICA
JOHN LAINHART, PRICEWATERHOUSECOOPERS, USA
EDDY SCHUERMANS, PRICEWATERHOUSECOOPERS, BÉLGICA
JOHN BEVERIDGE, STATE AUDITOR´S OFFICE, MASSACHUSETTS, USA
MICHAEL DONAHUE, PRICEWATERHOUSECOOPERS, USA
GARY HARDY, ARTHUR ANDERSEN, REINO UNIDO
RONALD SAULL, GREAT-WEST LIFE ASSURANCE, LONDON LIFE AND INVESTORS GROUP, CANADA
MARK STANLEY, SUN AMERICA INC., USA
Especiales Agradecimientos a los miembros de la Mesa Directiva de la Information Systems Audit and
Control Association y a los Fideicomisarios de la Information Systems Audit and Control Foundation, enca-bezados
por el Presidente Internacional Paul Williams, por su contínuo y firme apoyo al Cobit
4 IT GOVERNANCE INSTITUTE
5. RESUMEN EJECUTIIVO
Un elemento crítico para el éxito y la supervivencia de las
organizaciones, es la administración efectiva de la informa-ción
y de la Tecnología de Información (TI) Relacionada. En
esta sociedad global (donde la información viaja a través del
“ciberespacio” sin las restricciones de tiempo, distancia y ve-locidad)
IT GOVERNANCE INSTITUTE 5
esta criticidad emerge de:
z La creciente dependencia en información y en los siste-mas
que proporcionan dicha información
z La creciente vulnerabilidad y un amplio espectro de ame-nazas,
tales como las “ciber amenazas” y la guerra de
información1
z La escala y el costo de las inversiones actuales y futuras
en información y en tecnología de información; y
z El potencial que tienen las tecnologías para cambiar radi-calmente
las organizaciones y las prácticas de negocio,
crear nuevas oportunidades y reducir costos
Para muchas organizaciones, la información y la tecnología
que la soporta, representan los activos mas valiosos de la em-presa.
Es más, en nuestro competitivo y rápidamente cambian-te
ambiente actual, la Gerencia ha incrementado sus expectati-vas
relacionadas con la entrega de servicios de TI. Por lo tan-to,
la Administración requiere niveles de servicio que presen-ten
incrementos en calidad, en funcionalidad y en facilidad de
uso, así como un mejoramiento continuo y una disminución de
los tiempos de entrega; al tiempo que demanda que esto se
realice a un costo más bajo.
Muchas organizaciones reconocen los beneficios potencia-les
que la tecnología puede proporcionar. Las organizacio-nes
exitosas, sin embargo, también comprenden y adminis-tran
los riesgos asociados con la implementación de nuevas
tecnologías.
Hay numerosos cambios en TI y en su ambiente de operación
que enfatiza la necesidad de un mejor manejo relacionado con
los riesgos de TI. La dependencia en la información electróni-ca
y en los sistemas de TI son esenciales para soportar los pro-cesos
críticos del negocio. Adicionalmente, el ambiente regu-latorio
demanda control estricto sobre la información. Esto a
su vez conduce a un incremento de los desastres en los siste-mas
de información y al incremento del fraude electrónico. La
Administración de los riesgos relacionados con TI está siendo
entendido como un aspecto clave en el gobierno o dirección
empresarial.
Dentro del Gobierno Empresarial, el Gobierno / Gobernabili-dad
de TI2 se está volviendo mas y mas importante y está defi-nido
como una estructura de relaciones y procesos para dirigir
y controlar a la empresa con el fin que ésta pueda cumplir sus
metas dando valor agregado mientras balancea sus riesgos
versus el retorno sobre TI y sus procesos. El Gobierno de TI
es parte integral del éxito de la Gerencia de la Empresa al ase-gurar
mejoras medibles, eficientes y efectivas de los procesos
relacionados de la empresa. El Gobierno de TI provee las es-tructuras
que unen los procesos de TI, los recursos de TI y la
información con las estrategias y los objetivos de la empresa.
Además, el Gobierno de TI integra e institucionaliza buenas (o
mejores) prácticas de planeación y organización, adquisición e
implementación, entrega de servicios y soporte y monitorea el
desempeño de TI para asegurar que la información de la em-presa
y las tecnologías relacionadas soportan sus objetivos del
negocio. El Gobierno de TI conduce a la empresa a tomar total
ventaja de su información logrando con esto maximizar sus
beneficios, capitalizar sus oportunidades y obtener ventaja
competitiva
GOBIERNO/ GOBERNABILIDAD DE TI
Una estructura de relaciones y procesos para dirigir y con-trolar
la empresa con el objeto de alcanzar los objetivos de
la empresa y añadir valor mientras se balancean los ries-gos
versus el retorno sobre TI y sus procesos.
Las organizaciones deben cumplir con requerimientos de cali-dad,
fiduciarios y de seguridad, tanto para su información,
como para sus activos. La Administración deberá además
optimizar el empleo de sus recursos disponibles, los cuales
incluyen: personal, instalaciones, tecnología, sistemas de apli-cación
y datos. Para cumplir con esta responsabilidad, así
como para alcanzar sus objetivos, la Administración debe en-tender
el estado de sus propios sistemas de TI y decidir el ni-vel
de seguridad y control que deben proveer estos sistemas.
Los Objetivos de Control para la Información y las Tecnologí-as
Relacionadas (COBIT), ahora en esta tercera edición, ayuda
a satisfacer las múltiples necesidades de la Administración
estableciendo un puente entre los riesgos del negocio, los con-troles
necesarios y los aspectos técnicos. Provee buenas prácti-cas
a través de un dominio y el marco referencial de los proce-sos
y presenta actividades en una estructura manejable y lógi-ca.
Las “Buenas prácticas” de COBIT reúne el consenso de
expertos - quienes ayudarán a optimizar la inversión de la in-formación
y proporcionarán un mecanismo de medición que
permitirá juzgar cuando las actividades van por el camino
equivocado.
1 Guerra de información (information warfare)
2 Gobierno de TI (IT Governance) Governance es un término
que representa el sistema que establece la alta gerencia para
asegurar el logro de los objetivos de una Organización.
6. RESUMEN EJECUTIIVO
La Administración debe asegurar que los sistemas de control
interno o el marco referencial están funcionando y soportan
los procesos del negocio y debe tener claridad sobre la forma
como cada actividad individual de control satisface los reque-rimientos
de información e impacta los recursos de TI. El im-pacto
sobre los recursos de TI son resaltados en el Marco Re-ferencial
de COBIT junto con los requerimientos del negocio
que deben ser alcanzados: eficiencia, efectividad, confidencia-lidad,
integridad, disponibilidad, cumplimiento y confiabilidad
de la información. El control, que incluye políticas, estructu-ras,
prácticas y procedimientos organizacionales, es responsa-bilidad
de la administración.
La administración, mediante este gobierno corporativo, debe
asegurar que todos los individuos involucrados en la adminis-tración,
uso, diseño, desarrollo, mantenimiento u operación de
sistemas de información actúen con la debida diligencia.
Un Objetivo de Control en TI es una definición del resultado o
propósito que se desea alcanzar implementando procedimien-tos
de control específicos dentro de una actividad de TI.
La orientación al negocio es el tema principal de COBIT. Está
diseñado no solo para ser utilizado por usuarios y auditores,
sino que, lo más importante, esta diseñado para ser utilizado
por los propietarios de los procesos de negocio como una guía
clara y entendible. A medida que ascendemos, las prácticas de
negocio requieren de una mayor delegación y empoderamien-to3
de los dueños de los procesos para que estos tengan total
responsabilidad de todos los aspectos relacionados con dichos
procesos de negocio. En particular, esto incluye el proporcio-nar
controles adecuados.. El Marco Referencial de COBIT
proporciona, al propietario de procesos de negocio, herramien-tas
que facilitan el cumplimiento de esta responsabilidad. El
Marco Referencial comienza con una premisa simple y prácti-ca:
Con el fin de proporcionar la información que la empresa
necesita para alcanzar sus objetivos, los recursos de TI
deben ser administrados por un conjunto de procesos de TI
agrupados en forma natural.
El Marco Referencial continúa con un conjunto de 34 Objeti-vos
de Control de alto nivel, uno para cada uno de los Proce-sos
de TI, agrupados en cuatro dominios: Planeación y Orga-nización,
Adquisición e Implementación, Entrega de servicios
y Soporte y Monitoreo. Esta estructura cubre todos los aspec-tos
de información y de tecnología que la soporta. Adminis-trando
adecuadamente estos 34 Objetivos de Control de alto
nivel, el propietario de procesos de negocio podrá asegurar
que se proporciona un sistema de control adecuado para el
ambiente de tecnología de información.
El Marco Referencial de COBIT provee además una guía o
lista de verificación para el Gobierno de TI. El Gobierno de TI
proporciona las estructuras que encadenan los procesos de TI,
los recursos de TI y la información con los objetivos y las es-trategias
de la empresa. El Gobierno de TI integra de una for-ma
óptima el desempeño de la Planeación y Organización, la
Adquisición e Implementación, la Entrega de Servicios y So-porte
y el Monitoreo. El Gobierno de TI facilita que la empre-sa
obtenga total ventaja de su información y así mismo maxi-miza
sus beneficios, capitalizando sus oportunidades y obte-niendo
ventaja competitiva
Adicionalmente, correspondiendo a cada uno de los 34 objeti-vos
de control de alto nivel, existe una Guía o directriz de
Auditoría o de aseguramiento que permite la revisión de los
procesos de TI contra los 318 objetivos detallados de control
recomendados por COBIT para proporcionar a la Gerencia la
certeza de su cumplimiento y/o sugerencias para su mejora-miento.
Las Guías o Directrices Gerenciales de COBIT, desarrolladas
recientemente, ayudan a la Gerencia a cumplir de una forma
mas efectiva con las necesidades y requerimientos del Gobier-no
de TI. Las Directrices son acciones genéricas orientadas a
proveer a la Administración la dirección para mantener bajo
control la información de la empresa y sus procesos relaciona-dos,
para monitorear el logro de las metas organizacionales,
para monitorear el desempeño de cada proceso de TI y para
llevar a cabo un benchmarking de los logros organizacionales.
Específicamente COBIT provee Modelos de Madurez para el
control sobre los procesos de TI de tal forma que la Adminis-tración
puede ubicarse en el punto donde la organización está
hoy, donde está en relación con los “mejores de su clase” en
su industria y con los estándares internacionales y así mismo
determinar a donde quiere llegar; Factores Críticos de Éxito
(Critical Success Factors), que definen o determina cuales
son las mas importantes directrices que deben ser consideradas
por la Administración para lograr control sobre y dentro de los
procesos de TI. Indicadores Claves del logro de Objetivos o
de Resultados (Key Goal Indicators) los cuales definen los
mecanismos de medición que indicarán a la Gerencia—
después del hecho– si un proceso de TI ha satisfecho los re-querimientos
del negocio; y los Indicadores Clave de desem-peño
(Key Performance Indicators) los cuales son indicado-res
primarios que definen la medida para conocer qué tan bien
se está ejecutando el proceso de TI frente o comparado contra
el objetivo que se busca.
3 Empoderamiento (empowerment)
IT GOVERNANCE INSTITUTE 6
7. RESUMEN EJECUTIIVO
Las Directrices Gerenciales de COBIT son genéricas y son
acciones orientadas al propósito de responder los siguien-tes
tipos de preguntas gerenciales: Qué tan lejos debemos
ir y es el costo justificado para el beneficio obtenido? Cuá-les
son los indicadores de buen desempeño? Cuáles son los
factores críticos de éxito? Cuáles son los riesgos de no lo-grar
nuestros objetivos? Qué hacen otros? Cómo nos po-demos
medir y comparar?
COBIT contiene adicionalmente un Conjunto de Herramien-tas
de Implementación que proporciona lecciones aprendidas
por empresas que rápida y exitosamente aplicaron COBIT en
sus ambientes de trabajo. Incluye dos herramientas particular-mente
útiles - Diagnóstico de Sensibilización Gerencial
(Management Awareness Diagnostic) y Diagnóstico de Con-trol
en TI (IT Control Diagnostic) - para proporcionar asisten-cia
en el análisis del ambiente de control de TI en una organi-zación.
En los próximos años las Directivas de las Organizaciones
necesitarán demostrar que están logrando incrementar sus
niveles de seguridad y control. COBIT es una herramienta que
ayuda a los Directivos a colocar un puente entre los requeri-mientos
de control, los aspectos técnicos y los riesgos del ne-gocio
y adicionalmente informa a los accionistas o dueños de
la empresa el nivel de control alcanzado. COBIT habilita el
desarrollo de una política clara y de buenas prácticas de con-trol
de TI a través de las organizaciones, a nivel mundial.
Por lo tanto, COBIT está diseñado para ser la herramien-ta
de gobierno de TI que ayude al entendimiento y a la
administración de los riesgos así como de los beneficios
asociados con la información y sus tecnologías relaciona-das.
IT GOVERNANCE INSTITUTE 7
8. COBIIT
PROCESOS DE TI DE COBIT DEFINIDOS DENTRO DE LOS CUATRO DOMINIOS
OOBBJJEETIVIVOOSS DDEE NNEEGGOOCCIOIO
COBIIT
RECURSOS DE TI
• datos
• sistemas de
aplicación
• tecnología
• instalaciones
• gente
M1 Monitorear los procesos
M2 Evaluar lo adecuado del control
MONITOREO
8 IT GOVERNANCE INSTITUTE
PO1 Definir un Plan Estratégico de
Tecnología de Información
PO2 Definir la Arquitectura de Información
PO3 Determinar la dirección tecnológica
PO4 Definir la Organización y de las
Relaciones de TI
PO5 Manejar la Inversión en Tecnología de
Información
PO6 Comunicar la dirección y aspiraciones de
la gerencia
PO7 Administrar Recursos Humanos
PO8 Asegurar el Cumplimiento de
Requerimientos Externos
PO9 Evaluar Riesgos
PO10 Administrar proyectos
PO11 Administrar Calidad
PLANEACION Y
ORGANIZACION
ADQUISICION E
ENTREGA Y IMPLEMENTACION
SOPORTE
AI1 Identificar Soluciones
AI2 Adquirir y Mantener Software de
Aplicación
AI3 Adquirir y Mantener Arquitectura de
Tecnología
AI4 Desarrollar y Mantener Procedimientos
relacionados con TI
AI5 Instalar y Acreditar Sistemas
AI6 Administrar Cambios
DS1 Definir Niveles de Servicio
DS2 Administrar Servicios prestados por Terceros
DS3 Administrar Desempeño y Capacidad
DS4 Asegurar Servicio Continuo
DS5 Garantizar la Seguridad de Sistemas
DS6 Identificar y Asignar Costos
DS7 Educar y Entrenar a los Usuarios
DS8 Apoyar y Asistir a los Clientes de TI
DS9 Administrar la Configuración
DS10 Administrar Problemas e Incidentes
DS11 Administrar Datos
DS12 Administrar Instalaciones
DS13 Administrar Operaciones
Interno
M3 Obtener aseguramiento
independiente
M4 Proporcionar auditoría independiente INFORMACION
• efectividad
• eficiencia
• confidencialidad
• integridad
• disponibilidad
• cumplimiento
• confiabilidad
GOBIERNO DE TI
9. DIIRECTRIICES DE AUDIITORIIA
EL MARCO REFERENCIAL DE COBIT
LA NECESIDAD DE CONTROL EN TECNOLOGIA
DE INFORMACION
En los últimos años , ha sido cada vez más evidente la necesi-dad
de un Marco Referencial para la seguridad y el control de
tecnología de información (TI). Las organizaciones exitosas
requieren una apreciación y un entendimiento básico de los
riesgos y limitaciones de TI a todos los niveles dentro de la
empresa con el fin de obtener un efectiva dirección y controles
adecuados.
LA ADMINISTRACION (MANAGEMENT) debe decidir
cual es la inversión razonable en seguridad y en control en TI
y cómo lograr un balance entre riesgos e inversiones en con-trol
en un ambiente de TI frecuentemente impredecible.
Mientras la seguridad y los controles en los sistemas de infor-mación
ayudan a administrar los riesgos, no los eliminan. Adi-cionalmente,
el exacto nivel de riesgo nunca puede ser conoci-do
ya que siempre existe un grado de incertidumbre.
Finalmente, la Administración debe decidir el nivel de riesgo
que está dispuesta a aceptar. Juzgar cual puede ser el nivel
tolerable, particularmente cuando se tiene en cuenta contra el
costo, puede ser una decisión difícil para la Administración.
Por esta razón, la Administración necesita un marco de refe-rencia
de las prácticas generalmente aceptadas de control y
seguridad de TI para compararlos contra el ambiente de TI
existente y planeado.
Existe una creciente necesidad entre los USUARIOS de los
servicios de TI, de estar protegidos a través de la acreditación
y la auditoría de servicios de TI proporcionados internamente
o por terceras partes, que aseguren la existencia de controles y
seguridades adecuadas. Actualmente, sin embargo, es confusa
la implementación de buenos controles de TI en sistemas de
negocios por parte de entidades comerciales, entidades sin
fines de lucro o entidades gubernamentales. Esta confusión
proviene de los diferentes métodos de evaluación, tales como
ITSEC, TCSEC, evaluaciones ISO9000, nuevas evaluaciones
de control interno COSO, etc. Como resultado, los usuarios
necesitan que se establezca una base general como un primer
paso.
Frecuentemente, los AUDITORES han tomado el liderazgo
en estos esfuerzos internacionales de estandarización, debido a
que ellos enfrentan continuamente la necesidad de sustentar y
apoyar su opinión acerca de los controles internos frente a la
Gerencia. Sin contar con un marco referencial, ésta se con-vierte
en una tarea demasiado complicada. Incluso, la admi-nistración
consulta cada vez más a los auditores para que la
asesoren en forma proactiva en lo referente a asuntos de segu-ridad
y control de TI.
EL AMBIENTE DE NEGOCIOS:
COMPETENCIA, CAMBIO Y COSTOS
La competencia global es ya un hecho. Las organizaciones se
reestructuran con el fin de perfeccionar sus operaciones y al
mismo tiempo aprovechar los avances en TI para mejorar su
posición competitiva. La reingeniería en los negocios, las
reestructuraciones o right-sizing, el outsourcing, el empodera-miento,
las organizaciones horizontales y el procesamiento
distribuido son cambios que impactan la manera en la que
operan tanto los negocios como las entidades gubernamenta-les.
Estos cambios han tenido y continuarán teniendo, profun-das
implicaciones para la administración y las estructuras de
control operacional dentro de las organizaciones en todo el
mundo.
La especial atención prestada a la obtención de ventajas com-petitivas
y a la eficiencia en costos implica una dependencia
creciente en la tecnología como el componente más importan-te
en la estrategia de la mayoría de las organizaciones. La
automatización de las funciones organizacionales, por su natu-raleza,
dicta la incorporación de mecanismos de control más
poderosos en las computadoras y en las redes, tanto para las
basadas en hardware como las basadas en software. Además,
las características estructurales fundamentales de estos contro-les
están evolucionando al mismo paso que las tecnologías de
computación y las redes.
Dentro del marco referencial de cambios acelerados, si
los administradores, los especialistas en sistemas de in-formación
y los auditores desean en realidad ser capa-ces
de cumplir con sus tareas en forma efectiva , debe-rán
aumentar y mejorar sus habilidades tan rápidamente
como lo demandan la tecnología y el ambiente. Debe-mos
comprender la tecnología de controles involucrada
y su naturaleza cambiante si deseamos emitir y ejercer
juicios razonables y prudentes al evaluar las prácticas de
control que se encuentran en los negocios típicos o en
las organizaciones gubernamentales.
IT GOVERNANCE INSTITUTE 9
10. COBIIT
APARICION DEL GOBIERNO4 DE LA EMPRESA Y
DEL GOBIERNO DE TI
Para lograr el éxito en esta economía de información, el Go-bierno
de la empresa y el Gobierno de TI no pueden ser con-sideradas
separadamente y en distintas disciplinas. El go-bierno
efectivo de la empresa enfoca el conocimiento y la
experiencia en forma individual y grupal, donde puede ser
mas productivo, monitoreado y medido el desempeño así
como provisto el aseguramiento para aspectos críticos. TI,
por mucho tiempo considerada aislada dentro del logro de
los objetivos de la empresa debe ahora ser considerada como
una parte integral de la estrategia.
El Gobierno de TI provee la estructura que une los procesos
de TI, los recursos de TI y las estrategias y objetivos de la
empresa. El Gobierno de TI integra e institucionaliza de una
manera óptima la planeación y organización, la adquisición e
implementación, la entrega de servicios y soporte y el moni-toreo
del desempeño de TI. El Gobierno de TI es integral
para el éxito del Gobierno de la Empresa asegurando una
eficiente y efectiva medición para mejorar los procesos de la
empresa. El Gobierno de TI le permite a la empresa tomar
ventaja total de su información, al maximizar sus beneficios,
capitalizar sus oportunidades y ganar ventaja competitiva.
Observando en el contexto a la empresa y los procesos
del Gobierno de TI con mayor detalle, el gobierno de la
empresa, el sistema por el cual las entidades son dirigidas
y controladas direcciona y analiza el Gobierno de TI. Al
mismo tiempo, TI debería proveer insumos críticos y
constituirse en un componente importante de los planes
estratégicos. De hecho TI puede influenciar las oportuni-dades
estratégicas de la empresa.
Gobierno
de la
Empresa
Direcciona y Prepara
Gobierno de Tecnologia de
Informacion
Las actividades de la empresa requieren informa-ción
de las actividades de TI con el fin de satisfa-cer
los objetivos del negocio. Organizaciones exi-tosas
aseguran la interdependencia entre su plan
estratégico y sus actividades de TI. TI debe estar
alineado y debe permitir a la empresa tomar ven-taja
total de su información para maximizar sus
beneficios, capitalizar oportunidades y ganar ven-taja
competitiva.
10 IT GOVERNANCE INSTITUTE
Actividades de
la empresa
Requiere informacion de
Actividades de Tecnologia
de Informacion
Las empresas son gobernadas por buenas (o me-jores)
prácticas generalmente aceptadas para
asegurar que la empresa cumpla sus metas ase-gurando
que lo anterior esté garantizado por cier-tos
controles. Desde estos objetivos fluye la di-rección
de la organización, la cual dicta ciertas
actividades a la empresa usando sus propios re-cursos.
Los resultados de las actividades de la
empresa son medidos y reportados proporcionan-do
insumos para el mantenimiento y revisión
constante de los controles, comenzando el ciclo
de nuevo.
4Gobierno (governance): sistema que
establece la alta gerencia para asegurar el
logro de los objetivos de una Organiza-ción.
11. DIIRECTRIICES DE AUDIITORIIA
DIRIGIR
Manejo de Riesgo Beneficios
IT GOVERNANCE INSTITUTE 11
Objetivos
Gobierno de la Empresa
Direcciona
CONTROL Actividades de la
Empresa Recursos
Reportando Usando
También TI es gobernado por buenas (o mejores) prácticas
para asegurar que la información de la empresa y sus tec-nologías
relacionadas apoyan sus objetivos del negocio,
estos recursos son utilizados responsablemente y sus ries-gos
son manejados apropiadamente. Estas prácticas con-forman
una base para la dirección de las actividades de TI
las cuales pueden ser enmarcadas en la Planeación y Orga-nización,
Adquisición e Implementación, Entrega de Servi-cios
y Soporte y Monitoreo para los propósitos duales co-mo
son el manejo de riesgo (para obtener seguridad, con-fiabilidad
y cumplimiento) y la obtención de beneficios
(incrementando la efectividad y eficiencia). Los reportes
son enfocados sobre los resultados de las actividades de TI,
los cuales son medidos contra diferentes prácticas y con-troles
y el ciclo comienza otra vez.
Gobierno de TI
PO
AI
DS
MO
Objetivos Actividades de TI
Planea
Hace
Revisa
Corrige
REPORTAR
• TI está alineado con el
negocio, habilita al
negocio y maximiza
beneficios.
• Los recursos de TI
son utilizados
responsablemente.
• Los riesgos
relacionados a TI son
manejados
apropiadamente.
Decrementar
Costos – ser
eficiente
Incrementar
Automatización
– ser efectivo
• Seguridad
• Confiabilidad
• Conformidad-cumplimiento
CONTROL
Para asegurar que la Gerencia alcance los objetivos de negocios, ésta debe dirigir y administrar las actividades de TI para
alcanzar un balance efectivo entre el manejo de riesgos y los beneficios encontrados. Para cumplir esto, la Gerencia necesita
identificar las actividades mas importantes que deben ser desarrolladas, midiendo el progreso hacia el cumplimiento de las
metas y determinando que tan bien se están desarrollando los procesos de TI. Aun mas, necesita tener la habilidad de ava-luar
el nivel de madurez de la organización contra las mejores practicas industriales y los modelos internacionales. Para
soportar estas necesidades la Gerencia necesita las Directrices Gerenciales de COBIT en las cuales se han identificado
Factores Críticos de Exito específicos, Indicadores Claves de Logros e Indicadores Clave de Desempeño y un Modelo
de Madurez asociado al Gobierno de TI, como se puede apreciar en el Apédice I.
12. COBIIT
a la Administración Indicadores Clave de Logros (KGIs—
Key Goal Indicators), Indicadores Claves de Desempeño
(KPIs— Key Performance Indicators), Factores Críticos de
Éxito (CSFs—Critical Success Factors) y un Modelo de Ma-durez
con el cual puede analizar el ambiente de TI y conside-rar
opciones para la implementación y mejoramiento de los
controles sobre la información de la organización y sus tecno-logías
relacionadas.
Por lo tanto, el objetivo principal del proyecto COBIT es el
desarrollo de políticas claras y buenas prácticas para la seguri-dad
y el control de Tecnología de Información, con el fin de
obtener la aprobación y el apoyo de las entidades comerciales,
gubernamentales y profesionales en todo el mundo. La meta
del proyecto es desarrollar estos objetivos de control principal-mente
a partir de la perspectiva de los objetivos y necesidades
de la empresa. (Esto concuerda con la perspectiva COSO, que
constituye el primer y mejor marco referencial para la admi-nistración
en cuanto a controles internos.) Posteriormente, los
objetivos de control fueron desarrollados a partir de la pers-pectiva
de los objetivos de auditoría (certificación de informa-ción
financiera, certificación de medidas de control interno,
eficiencia y efectividad, etc.)
AUDIENCIA: ADMINISTRACION, USUARIOS Y AU-DITORES
COBIT está diseñado para ser utilizado por tres audiencias
distintas:
ADMINISTRACION/ GERENCIA (Management):
Para ayudarlos a lograr un balance entre los riesgos y las in-versiones
en control en un ambiente de tecnología de informa-ción
frecuentemente impredecible.
USUARIOS:
Para obtener una garantía en cuanto a la seguridad y controles
de los servicios de tecnología de información proporcionados
internamente o por terceras partes.
AUDITORES:
Para soportar su opinión y/o proporcionar consejos a la Admi-nistración
sobre los controles internos.
RESPUESTA A LAS NECESIDADES
En vista de estos continuos cambios, el desarrollo de este
Marco Referencial de objetivos de control para TI, conjunta-mente
con una investigación continua aplicada a controles de
TI basada en este marco referencial, constituyen el funda-mento
para el progreso efectivo en el campo de los controles
de sistemas de información.
Por otro lado, hemos sido testigos del desarrollo y publica-ción
de modelos de control generales de negocios como CO-SO
[Committee of Sponsoring Organisations of the Tread-way
Commisssion Internal Control-Integrated Framework,
1992] en los EUA, Cadbury en el Reino Unido, CoCo en
Canadá y King en Sudáfrica. Por otro lado, existe un núme-ro
importante de modelos de control más enfocados al nivel
de tecnología de información. Algunos buenos ejemplos de
esta última categoría son el Security Code of Conduct del
DTI (Departamento de Industria y Comercio, Reino Unido)
y el Security Handbook de NIST (National Institute of Stan-dards
and Technology, EUA). Sin embargo, estos modelos
de control con orientación específica no proporcionan un
modelo de control completo y utilizable sobre tecnología de
información como soporte para los procesos del negocio. El
propósito de COBIT es cubrir este vacío proporcionando una
base que esté estrechamente ligada a los objetivos de nego-cio,
al mismo tiempo que se enfoca a la tecnología de infor-mación.
(El documento que más se acerca al COBIT es una publica-ción
reciente de AICPA/CICA Systrust TM Principios y Crite-rios
para la Confiabilidad de los Sistemas. SysTrust es una
autoridad que realiza publicaciones para el Comité Ejecutivo
de Servicios de Aseguramiento de los Estados Unidos y para
el Comité de Desarrollo de Servicios de Calidad de Canadá,
basado en parte en los Objetivos de Control de COBIT. Sys-
Trust está diseñado para incrementar el confort de la Admi-nistración,
los clientes y los socios de negocios con los siste-mas
que soportan un negocio o una actividad en particular.
Los servicios de SysTrust incluyen al contador público pro-porcionándole
un servicio de aseguramiento en el cual él o
ella evalúa y prueba si el sistema es confiable cuando lo mi-de
contra cuatro principios esenciales: Disponibilidad, segu-ridad,
integridad y mantenimiento.
Un enfoque hacia los requerimientos del negocio en cuanto
a controles para tecnología de información y la aplicación de
modelos de control emergentes y estándares internacionales
relacionados incluyen los Objetivos de Control originales de
la Information Systems Audit and Control Foundation como
una herramienta usada por el Auditor y la Administración.
Adicionalmente, el desarrollo de las Directrices Gerenciales
de TI ha llevado al COBIT al siguiente nivel proporcionando
12 IT GOVERNANCE INSTITUTE
13. DIIRECTRIICES DE AUDIITORIIA
ORIENTACIÓN A OBJETIVOS DE NEGOCIO
El CobiT está alineado con los Objetivos del Negocio. Los Ob-jetivos
de Control muestran una relación clara y distintiva con
los objetivos del negocio con el fin de apoyar su uso en forma
significativa fuera de las fronteras de la comunidad de auditoría.
Los Objetivos de Control están definidos con una orientación a
los procesos, siguiendo el principio de reingeniería de negocios.
En dominios y procesos identificados, se identifica también un
objetivo de control de alto nivel para documentar el enlace con
los objetivos del negocio. Adicionalmente, se establecen consi-deraciones
y guías para definir e implementar el Objetivo de
Control de TI.
La clasificación de los dominios a los que se aplican los objeti-vos
de control de alto nivel (dominios y procesos); una indica-ción
de los requerimientos de negocio para la información en
ese dominio, así como los recursos de TI que reciben un impacto
primario por parte del objetivo del control, forman conjuntamen-te
el Marco de Referencia de COBIT. El Marco de Referencia
toma como base las actividades de investigación que han identi-ficado
34 objetivos de alto nivel y 318 objetivos de control de-tallados.
El Marco de Referencia fue presentado a la industria
de TI y a los profesionales dedicados a la auditoría para abrir la
posibilidad a revisiones, cambios y comentarios. Las ideas obte-nidas
fueron incorporadas en forma apropiada.
DEFINICIONES GENERALES
Para propósitos de este proyecto, se proporcionan las siguientes
definiciones. La definición de “Control” está adaptada del repor-te
COSO [Committee of Sponsoring Organisations of the Tread-way
Commission. Internal Control-Integrated Framework, 1992
y la definición para “Objetivo de Control de TI” ha sido adapta-da
del reporte SAC (Systems Auditability and Control Report,
The Institute of Internal Auditors Research Foundation, 1991 y
1994).
Una sentencia del resultado o propó-sito
que se desea alcanzar implemen-tando
procedimientos de control en
una actividad de TI particular.
Una estructura de relaciones y pro-cesos
para dirigir y controlar la em-presa
con el fin de lograr sus objeti-vos
al añadir valor mientras se equi-libran
los riesgos contra el retorno
sobre TI y sus procesos.
Objetivo de
control en TI
se define
Objetivo de
control en TI
se define
como
como
IT GOVERNANCE INSTITUTE 13
Control se
define como
Control se
define como
Las políticas, procedimientos, prácticas y
estructuras organizacionales diseñadas
para garantizar razonablemente que los
objetivos del negocio serán alcanzados y
que eventos no deseables serán preveni-dos
o detectados y corregidos
Gobierno de TI
se define como
14. COBIIT
LOS PRINCIPIOS DEL MARCO REFERENCIAL
Existen dos clases distintas de modelos de control actual-mente
disponibles, aquéllos de la clase del “modelo de con-trol
de negocios” (por ejemplo COSO) y los “modelos más
enfocados a TI” (por ejemplo, DTI). COBIT intenta cubrir la
brecha que existe entre los dos. Debido a esto, COBIT se
posiciona como una herramienta más completa para la Ad-ministración
y para operar a un nivel superior a los estánda-res
de tecnología para la administración de sistemas de infor-mación..
Por lo tanto, COBIT es el modelo para el gobier-no
de TI!
El concepto fundamental del Marco Referencial de COBIT se
refiere a que el enfoque del control en TI se lleva a cabo
visualizando la información necesaria para dar soporte a los
procesos de negocio y considerando a la información como
el resultado de la aplicación combinada de recursos relacio-nados
con la Tecnología de Información que deben ser admi-nistrados
por procesos de TI.
Procesos de TI
Para satisfacer los objetivos del negocio, la información ne-cesita
concordar con ciertos criterios a los que COBIT hace
referencia como requerimientos de negocio para la informa-ción.
Al establecer la lista de requerimientos, COBIT combi-na
los principios contenidos en los modelos referenciales
existentes y conocidos:
Calidad
Costo
Entrega o Distribución (de servicio)
14 IT GOVERNANCE INSTITUTE
Efectividad y eficiencia de las
operaciones
Confiabilidad de la información
Cumplimiento de leyes y
regulaciones
Confidencialidad
Integridad
Disponibilidad
La Calidad ha sido considerada principalmente por su aspec-to
‘negativo’ (ausencia de fallas, confiabilidad, etc.), lo cual
también se encuentra contenido en gran medida en los crite-rios
de Integridad. Los aspectos positivos, pero menos tan-gibles,
de la calidad (estilo, atractivo, “ver y sentir”, desem-peño
más allá de las expectativas, etc.) no fueron, por un
tiempo, considerados desde un punto de vista de Objetivos
de Control de TI. La premisa se refiere a que la primera
prioridad deberá estar dirigida al manejo apropiado de los
riesgos al compararlos contra las oportunidades. El aspecto
utilizable de la Calidad está cubierto por los criterios de
efectividad. Se consideró que el aspecto de entrega o distri-bución
del servicio, de la Calidad se traslapa con el aspecto
de disponibilidad correspondiente a los requerimientos de
seguridad y también en alguna medida, con la efectividad y
la eficiencia. Finalmente, el Costo también es considerado,
siendo cubierto por la Eficiencia.
Para los requerimientos fiduciarios, COBIT no intentó reinven-tar
la rueda – se utilizaron las definiciones de COSO para la
efectividad y eficiencia de las operaciones, confiabilidad de
información y cumplimiento con leyes y regulaciones. Sin
embargo, confiabilidad de información fue ampliada para in-cluir
toda la información – no sólo información financiera.
Con respecto a los aspectos de seguridad, COBIT identificó la
confidencialidad, integridad y disponibilidad como los ele-mentos
clave— se encontró que estos mismos tres elementos
son utilizados a nivel mundial para describir los requerimien-tos
de seguridad.
Comenzando el análisis a partir de los requerimientos de Cali-dad,
Fiduciarios y de Seguridad más amplios, se extrajeron
siete categorías distintas, ciertamente superpuestas. A conti-nuación
se muestran las definiciones utilizadas por COBIT:
Requerimientos
de Negocio
Recursos de TI
Requerimientos
Fiduciarios
(COSO)
Requerimientos
de Seguridad
Requerimientos de
Calidad
15. DIIRECTRIICES DE AUDIITORIIA
Se refiere a que la información relevan-te
sea pertinente para el proceso del
negocio, así como a que su entrega sea
oportuna, correcta, consistente y de
manera utilizable.
Se refiere a la provisión de información
a través de la utilización óptima (más
productiva y económica) de recursos.
Se refiere a la protección de informa-ción
sensible contra divulgación no
autorizada.
Se refiere a la precisión y suficiencia
de la información, así como a su vali-dez
de acuerdo con los valores y expec-tativas
del negocio.
Se refiere a la disponibilidad de la in-formación
cuando ésta es requerida por
el proceso de negocio ahora y en el
futuro. También se refiere a la salva-guarda
de los recursos necesarios y
capacidades asociadas.
Se refiere al cumplimiento de aquellas
leyes, regulaciones y acuerdos contrac-tuales
a los que el proceso de negocios
está sujeto, por ejemplo, criterios de
negocio impuestos externamente.
Se refiere a la provisión de información
apropiada para la administración con el
fin de operar la entidad y para ejercer
sus responsabilidades de reportes finan-cieros
y de cumplimiento.
Efectividad
Eficiencia
Confidencialidad
Los recursos de TI identificados en COBIT pueden explicarse/
definirse como se muestra a continuación:
Son objetos en su más amplio sentido,
(por ejemplo, externos e internos), es-tructurados
y no estructurados, gráficos,
sonido, etc.
Se entiende como sistemas de aplicación
la suma de procedimientos manuales y
programados.
La tecnología cubre hardware, sistemas
operativos, sistemas de administración
de bases de datos, redes, multimedia,
etc.
Recursos para alojar y dar soporte a los
sistemas de información.
Habilidades del personal, conocimiento,
sensibilización y productividad para
planear, organizar, adquirir, entregar,
soportar y monitorear servicios y siste-mas
de información.
El dinero o capital no fue considerado como un recurso de TI
para la clasificación de los objetivos de control porque el dine-ro
puede ser considerado como una inversión dentro de cual-quiera
de los recursos presentados. Además debe anotarse que
el Marco Referencial no se refiere específicamente a la docu-mentación
de todos los materiales relacionados con un proce-so
de TI en particular. Como un aspecto de buenas prácticas,
la documentación es considerada como un buen control, y por
lo tanto la falta de documentación sería causa de una mayor
revisión y análisis de los controles compensatorios en cual-quier
área bajo revisión.
Otra forma de ver la relación de los recursos de TI con respec-to
a la entrega de servicios se describe a continuación:
Daattooss
SSiisstteemmaass ddee AApplliiccaacciióónn
Con el fin de asegurar que los requerimientos del negocio
para la información se cumplan, es necesario definir, imple-mentar
y monitorear adecuadas medidas de control sobre esos
recursos. ¿Cómo pueden entonces las empresas estar satisfe-chas
respecto a que la información obtenida presente las ca-racterísticas
que necesitan? Es aquí donde se requiere de un
sano marco referencial de Objetivos de Control para TI. El
siguiente diagrama ilustra este concepto.
IT GOVERNANCE INSTITUTE 15
Disponibilidad
Cumplimiento
Confiabilidad
de la
Información
Datos
Aplicaciones
Tecnología
Instalaciones
Personal
mensaje
entrada
servicio
salida
TECNOLOGIIA
IINSSTALACIIONESS
GENTE
Eventos
Objetivos de negocio
Oportunidades de negocio
Requerimientos externos
Regulaciones
Riesgos
Información
Efectividad
Eficiencia
Confidencialidad
Integridad
Disponibilidad
Cumplimiento
Confiabilidad
Integridad
16. COBIIT
Qué obtiene? Qué necesita?
PROCESOS
DE NEGOCIO
INFORMACION
RECURSOS DE TI
•• datos
•• sistemas de aplicación
•• tecnología
•• instalaciones
•• gente
El Marco Referencial consta de Objetivos de Control de alto
nivel y de una estructura general para su clasificación y pre-sentación.
La teoría subyacente para esta clasificación se re-fiere
a que existen, en esencia, tres niveles de actividades de
TI al considerar la administración de sus recursos. Comenzan-do
por la base, encontramos las actividades y tareas necesa-rias
para alcanzar un resultado medible. Las actividades
cuentan con un concepto de ciclo de vida, mientras que las
tareas son consideradas más discretas. El concepto de ciclo
de vida cuenta típicamente con requerimientos de control
diferentes a los de actividades discretas. Los procesos se
definen entonces en un nivel superior como una serie de ac-tividades
o tareas conjuntas con “cortes” naturales (de con-trol).
Al nivel más alto, los procesos son agrupados de mane-ra
natural en dominios. Su agrupamiento natural es confir-mado
Criterios
?¿ Concuerdan ?
frecuentemente como dominios de responsabilidad en
una estructura organizacional, y está en línea con el ciclo
administrativo o ciclo de vida aplicable a los procesos de TI.
Por lo tanto, el marco referencial conceptual puede ser enfo-cado
desde tres puntos estratégicos: (1)criterios de informa-ción;
(2) recursos de TI, (3) procesos de TI. Estos tres puntos
de vista diferentes están descritos en el Cubo CobiT que se
muestra a continuación:
Dominios
Procesos
Actividades
Dominios
Procesos
16 IT GOVERNANCE INSTITUTE
•• efectividad
•• eficiencia
•• confidencialidad
•• integridad
•• disponibilidad
•• cumplimiento
•• confiabilidad
Criterios de información
Instalaciones
Datos
Gente
Sistemas de Aplicación
Tecnología
Actividades
Calidad
Fiduciarios
Seguridad
Recursos de TI
Procesos de TI
17. Con lo anterior cono marco de referencia, los dominios son
identificados utilizando las palabras que la gerencia utilizaría
en las actividades cotidianas de la organización –y no la
“jerga5” del auditor -. Por lo tanto, cuatro grandes dominios
son identificados: planeación y organización, adquisición e
implementación, entrega y soporte y monitoreo.
Las definiciones para los dominios mencionados son las si-guientes:
Este dominio cubre la estrategia y las
tácticas y se refiere a la identificación
de la forma en que la tecnología de
información puede contribuir de la me-jor
manera al logro de los objetivos del
negocio. Además, la consecución de la
visión estratégica necesita ser planeada,
comunicada y administrada desde dife-rentes
perspectivas. Finalmente, debe-rán
establecerse una organización y una
infraestructura tecnológica apropiadas.
Para llevar a cabo la estrategia de TI,
las soluciones de TI deben ser identifi-cadas,
desarrolladas o adquiridas, así
como implementadas e integradas de-ntro
del proceso del negocio. Además,
este dominio cubre los cambios y el
mantenimiento realizados a sistemas
existentes.
En este dominio se hace referencia a la
entrega de los servicios requeridos, que
abarca desde las operaciones tradicio-nales
hasta el entrenamiento, pasando
por seguridad y aspectos de continui-dad.
Con el fin de proveer servicios,
deberán establecerse los procesos de
soporte necesarios. Este dominio inclu-ye
el procesamiento de los datos por
sistemas de aplicación, frecuentemente
clasificados como controles de aplica-ción.
Todos los procesos necesitan ser evaluados
regularmente a través del tiempo para verifi-car
su calidad y suficiencia en cuanto a los
requerimientos de control. Este dominio
también advierte a la Administración
sobre la necesidad de asegurar procesos
de control independientes, los cuales
DIIRECTRIICES DE AUDIITORIIA
son provistos por auditorías internas y
externas u obtenidas de fuentes alterna-tivas.
Debe tomarse en cuenta que estos procesos pueden ser aplica-dos
a diferentes niveles dentro de una organización. Por ejem-plo,
algunos de estos procesos serán aplicados al nivel corpo-rativo,
otros al nivel de la función de servicios de información,
otros al nivel del propietario de los procesos de negocio.
También debe ser tomado en cuenta que el criterio de efectivi-dad
de los procesos que planean o entregan soluciones a los
requerimientos de negocio, cubrirán algunas veces los criterios
de disponibilidad, integridad y confidencialidad. – en la prácti-ca,
se han convertido en requerimientos del negocio. Por
ejemplo, el proceso de “identificar soluciones automatizadas”
deberá ser efectivo en el cumplimiento de requerimientos de
disponibilidad, integridad y confidencialidad.
En resumen, los Recursos de TI necesitan ser administrados
por un conjunto de procesos agrupados en forma natural, con
el fin de proporcionar la información que la empresa necesi-ta
para alcanzar sus objetivos.
Resulta claro que las medidas de control no satisfarán necesa-riamente
los diferentes requerimientos de información del
negocio en la misma medida.
Primario es el grado al cual el objetivo de con-trol
definido impacta directamente el
requerimiento de información de inte-rés.
Secundario es el grado al cual el objetivo de con-trol
definido satisface únicamente de
forma indirecta o en menor medida el
requerimiento de información de inte-rés.
Blanco (vacío) podría aplicarse; sin embargo, los re-querimientos
son satisfechos más apro-piadamente
por otro criterio en este
proceso y/o por otro proceso.
IT GOVERNANCE INSTITUTE 17
Planeación y
organización
Adquisición e
implementación
Entrega y
soporte
Entrega y
soporte
Monitoreo
5 Jerga (jargon)
18. COBIIT
Similarmente, todas las medidas de control no necesariamente
tendrán impacto en los diferentes recursos de TI a un mismo
nivel. Por lo tanto, el Marco Referencial de COBIT indica es-pecíficamente
la aplicabilidad de los recursos de TI que son
administrados en forma específica por el proceso bajo consi-deración
(no por aquellos que simplemente toman parte en el
proceso). Esta clasificación es hecha dentro el Marco Referen-cial
de COBIT basado en el mismo proceso riguroso de infor-mación
proporcionada por los investigadores, expertos y revi-sores,
utilizando las definiciones estrictas indicadas previa-mente.
En resumen, con el fin de proveer la información que la or-ganización
necesita para lograr sus objetivos, el Gobierno
de TI debe ser entrenado por la organización para asegurar
que los recursos de TI serán administrados por una colección
de procesos de TI agrupados naturalmente. El siguiente dia-grama
ilustra este concepto.
PROCESOS DE TI DE COBIT DEFINIDOS EN LOS
CUATRO DOMINIOS
OBJEIVOS DE NEGOCIO OBJETIVOS DE NEGOCIO
COBIIT
RECURSOS DE TI
• datos
• sistemas de
aplicación
• tecnología
• instalaciones
• gente
M1 Monitorear los procesos
M2 Evaluar lo adecuado del control
MONITOREO
18 IT GOVERNANCE INSTITUTE
PO1 Definir un Plan Estratégico de
Tecnología de Información
PO2 Definir la Arquitectura de Información
PO3 Determinar la dirección tecnológica
PO4 Definir la Organización y de las
Relaciones de TI
PO5 Manejar la Inversión en Tecnología de
Información
PO6 Comunicar la dirección y aspiraciones de
la gerencia
PO7 Administrar Recursos Humanos
PO8 Asegurar el Cumplimiento de
Requerimientos Externos
PO9 Evaluar Riesgos
PO10 Administrar proyectos
PO11 Administrar Calidad
PLANEACION Y
ORGANIZACION
ADQUISICION E
ENTREGA Y IMPLEMENTACION
SOPORTE
AI1 Identificar Soluciones
AI2 Adquirir y Mantener Software de
Aplicación
AI3 Adquirir y Mantener Arquitectura de
Tecnología
AI4 Desarrollar y Mantener Procedimientos
relacionados con TI
AI5 Instalar y Acreditar Sistemas
AI6 Administrar Cambios
DS1 Definir Niveles de Servicio
DS2 Administrar Servicios prestados por Terceros
DS3 Administrar Desempeño y Capacidad
DS4 Asegurar Servicio Continuo
DS5 Garantizar la Seguridad de Sistemas
DS6 Identificar y Asignar Costos
DS7 Educar y Entrenar a los Usuarios
DS8 Apoyar y Asistir a los Clientes de TI
DS9 Administrar la Configuración
DS10 Administrar Problemas e Incidentes
DS11 Administrar Datos
DS12 Administrar Instalaciones
DS13 Administrar Operaciones
Interno
M3 Obtener aseguramiento
independiente
M4 Proporcionar auditoría independiente INFORMACION
• efectividad
• eficiencia
• confidencialidad
• integridad
• disponibilidad
• cumplimiento
• confiabilidad
Gobierno de TI
19. DIIRECTRIICES DE AUDIITORIIA
HISTORIA Y ANTECEDENTES DE COBIT
La tercera edición de COBIT es la mas reciente versión de los
Objetivos de Control para la información y sus tecnologías
relacionadas, que fue liberado primero por la Information
Systems Audit and Control Foundation (ISACF) en 1996. La
2da edición que refleja un incremento en el número de docu-mentos
fuente, una revisión en el alto nivel y objetivos de
control detallados y la adición del Conjunto de herramientas
de Implementación fue publicado en 1998. La 3a edición
marca el ingreso de un nuevo editor para COBIT: El Institu-to
de Gobierno de TI (IT Governance Institute).
El Instituto de Gobierno de TI fue formado por la Informa-tion
Systems Audit and Control Association (ISACA) y su
Fundación asociada en 1998 para avanzar en el entendimien-to
y la adopción de principios de gobierno de TI. Con la adi-ción
de las Directrices Gerenciales en la 3a edición de CO-BIT
y su expansión y mayor cubrimiento sobre el Gobierno
de TI, el Instituto de Gobierno de TI adquirió un rol de lide-razgo
IT GOVERNANCE INSTITUTE 19
en el desarrollo de la publicación.
COBIT se basó originalmente en los Objetivos de Control
de la ISACF y ha sido mejorado con las actuales y emergen-tes
estándares internacionales a nivel técnico, profesional,
regulatorio y específicos de la industria. Los Objetivos de
Control resultantes han sido desarrollados para su aplicación
en sistemas de información de toda la empresa. El térmi-no
“generalmente aplicables y aceptados” es utilizado
explícitamente en el mismo sentido que los Principios de
Contabilidad Generalmente Aceptados (PCGA o GAAP por
sus siglas en inglés).
Este estándar es relativamente pequeño en tamaño, con el fin
de ser práctico y responder, en la medida de lo posible, a las
necesidades del negocio, manteniendo al mismo tiempo una
independencia con respecto a las plataformas técnicas de TI
adoptadas en una organización.
Sin excluir ningún otro estándar aceptado en el campo del
control de sistemas de información que pudiera emitirse du-rante
la investigación, las fuentes han sido identificadas ini-cialmente
como:
Estándares Técnicos de ISO, EDIFACT, etc.
Códigos de Conducta emitidos por el Council of Europe,
OECD, ISACA, etc.;
Criterios de Calificación para sistemas y procesos de TI:
ITSEC, ISO9000, SPICE, TickIT, Common Criteria, etc.;
Estándares Profesionales para control interno y auditoría:
reporte COSO, IFAC, IIA, ISACA, GAO, PCIE, CICA,
AICPA, etc.;
Prácticas y requerimientos de la Industria de foros indus-triales
(ESF, 14) y plataformas patrocinadas por el gobierno
(IBAG, NIST, DTI); y
Nuevos requerimientos específicos de la industria de la
banca, Comercio Electrónico y manufactura de TI.
(Ver Apéndice II, Descripción del Proyecto COBIT;
Apéndice III Material de Referencia Primaria de COBIT
y Apéndice IV, Glosario de Términos )
20. HISTORIA Y ANTECEDENTES DE COBIT
Familia de Productos COBIT®
CONJUNTO DE HERRAMIENTAS DE IMPLEMENTACIÓN
Resumen Ejecutivo
Casos de Estudio
FAQs
Presentaciones en PowerPoint
Guías de Implementación
• Diagnóstico de la conciencia de la Administración
• Diagnostico de Control de TI
IT GOVERNANCE INSTITUTE 20
COBIIT
EVOLUCIÓN DEL PRODUCTO COBIT
COBIT evolucionará a través de los años y será el fundamento
de investigaciones futuras. Por lo tanto, se generará una fami-lia
de productos COBIT y al ocurrir esto, las tareas y activida-des
que sirven como estructura para organizar los Objetivos de
Control de TI, serán refinadas posteriormente. También será
revisado el balance entre los dominios y los procesos a la luz
de los cambios en la industria.
La investigación y las publicaciones han sido posibles gracias
al fundamental apoyo de PricewaterhouseCoopers y las dona-ciones
de los capítulos de ISACA y de miembros de todo el
mundo. La European Security Forum (ESF) amablemente
llevó a cabo la recolección de material disponible para el pro-yecto.
La Gartner Group además participó en el desarrollo y
realizó la revisión de aseguramiento de calidad de las Directri-ces
Gerenciales.
RESUMEN EJECUTIVO
MARCO REFERENCIAL
objetivos de control de alto nivel
DIRECTRICES GERENCIALES OBJETIVOS DE CONTROL DETALLA-DOS
DIRECTRICES DE AUDITORIA
Factores Críticos de Éxito
Indicadores Clave por Objetivos
Indicadores Clave de Desempeño
PRODUCTOS DE LA FAMILIA COBIT
Modelo de Madurez
21. INTRODUCCIÓN A LAS DIRECTRICES DE AUDITORÍA
COBIT Y LAS DIRECTRICES DE AUDITORÍA
Las Directrices de Auditoría ofrecen una herramienta
complementaria para la fácil aplicación del Marco Refe-rencial
y los Objetivos de Control COBIT dentro de las
actividades de auditoría y evaluación. El propósito de
las Directrices de Auditoría es contar con una estructura
sencilla para auditar y evaluar controles, con base en
prácticas de auditoría generalmente aceptadas y compa-tibles
con el esquema global COBIT.
Los objetivos y prácticas individuales varían considera-blemente
de organización a organización y existen mu-chos
tipos de practicantes dedicados a actividades rela-cionadas
con la auditoría; por ejemplo auditores exter-nos,
auditores internos, evaluadores, revisores de cali-dad,
y asesores técnicos. Por estas razones, las Directri-ces
de Auditoría tienen una estructura genérica y de alto
nivel.
Los auditores deben cumplir con algunos requerimientos
generales para proporcionar a los directivos y a los pro-pietarios
o dueños de los procesos de negocios, seguri-dad
y asesoría respecto a los controles en una organiza-ción:
ofrecer una seguridad razonable de que se está
cumpliendo con los objetivos de control correspondien-tes;
identificar dónde se encuentran las debilidades signi-ficativas
en dichos controles; justificar los riesgos que
pueden estar asociados con tales debilidades, y final-mente,
aconsejar a estos ejecutivos sobre las medidas
correctivas que deben adoptarse. COBIT ofrece políti-cas
claras y prácticas eficaces en materia de seguridad y
para los controles de información y la tecnología asocia-da.
Por tanto, las Directrices de Auditoría firmemente
basados en los Objetivos de Control, toman la opinión
del auditor a partir de la conclusión de auditoría, rempla-zándola
con criterios normativos (41 estándares y mejo-res
prácticas tomadas de normas privadas y públicas
aceptadas a nivel mundial).
Estas Directrices de Auditoría proporcionan guías para
preparar planes de auditoría que se integran al Marco
Referencial de COBIT y a los Objetivos de Control deta-llados.
Deben ser usados conjuntamente con estos dos
últimos, y a partir de ahí pueden desarrollarse programas
específicos de auditoría. Sin embargo, las Directrices no
son exhaustivas ni definitivas. No pueden incluir todo ni
ser aplicables a todo, así que deberán ajustarse a condi-ciones
específicas.
DIIRECTRIICES DE AUDIITORIIA
No obstante, hay cuatro cosas que las Directrices no son:
1. Las Directrices de Auditoría no pretenden ser una herra-mienta
para crear el plan global de auditoría que considera
una amplia gama de factores, incluyendo debilidades ante-riores,
riesgo de la organización, incidentes conocidos, nue-vos
acontecimientos, y selección de estrategias. Aun cuan-do
el Marco Referencial y los Objetivos de Control ofrecen
algunas orientaciones, los alcances de las Directrices no
incluyen una guía precisa para actividades específicas.
2. Las Directrices de Auditoría no están diseñados como ins-trumento
para enseñar las bases de la auditoría, aun cuando
incorporen los elementos normalmente aceptados de la au-ditoría
general y de TI.
3. Las Directrices de Auditoría no pretenden explicar en deta-lle
la forma en que pueden utilizarse las herramientas com-putarizadas
para apoyar y automatizar los procesos de audi-toría
a TI, en materia de planeación, evaluación, análisis y
documentación (que están incluidas, pero no se limitan a
ellas, en las Técnicas de Auditoría Asistidas por Computa-dor).
Existe un enorme potencial para usar la tecnología de
información dirigida a aumentar la eficiencia y efectividad
de las auditorías, pero una orientación en este sentido, tam-poco
está dentro de los alcances de las Directrices.
4. Las Directrices de Auditoría no son exhaustivas ni definiti-vas,
pero se desarrollarán conjuntamente con COBIT y sus
Objetivos de Control detallados.
Las Directrices de Auditoría de COBIT permiten al auditor com-parar
los procesos específicos de TI con los Objetivos de Control
de COBIT recomendados para ayudar a los directivos a identifi-car
en qué casos los controles son suficientes, o para asesorarlos
respecto a los procesos que requieren ser mejorados.
Desde el punto de vista de los directivos, los propietarios de los
procesos harán las preguntas: ¿Estoy haciendo lo correcto?, y si
no es así: ¿Qué puedo hacer para corregirlo? El Marco Referen-cial
y las Directrices de Auditoría COBIT ayudarán a responder
a estas preguntas. El enfoque ofrece una perspectiva “reactiva”,
mientras que los auditores necesitan también apoyar a la directiva
de una manera “proactiva”. El Marco Referencial y las Directri-ces
de Auditoría pueden aplicarse igualmente en forma proactiva
en las primeras etapas de los procesos y el desarrollo de proyec-tos,
al responder a la pregunta: “¿Qué es lo que necesito hacer
ahora para no tener que ajustarlo o corregirlo después?
IT GOVERNANCE INSTITUTE 21
22. COBIIT
ESTRUCTURA GENERAL DE LAS DIRECTRICES DE
AUDITORÍA
El modelo más común para evaluar el control es el modelo
de auditoría. Otro enfoque que se está adoptando cada vez
más es el modelo de análisis de riesgos, que se cubrirá hacia
el final de esta introducción. Todos aquellos involucrados
en la evaluación del control pueden inclinarse por cualquiera
de los dos modelos.
Los objetivos de la auditoría son para:
• Proporcionar administración con aseguramiento
razonable de que se están cubriendo los objetivos
de control,
• En donde existan debilidades de control significa-tivas,
justificar los riesgos resultantes, y
• Aconsejar a la administración sobre acciones co-rrectivas
La estructura generalmente aceptada del proceso de auditoría
es:
• Identificación y documentación
• Evaluación
• Pruebas de cumplimiento
• Pruebas sustantivas
El proceso de TI, por lo tanto, se audita mediante:
 La obtención de un entendimiento de los riesgos rela-cionados
con los requerimientos del negocio y de las
medidas relevantes de control
 La evaluación de la conveniencia de los controles
establecidos
 La valoración del cumplimiento probando si
los controles establecidos están funcionando
como se espera, de manera consistente y con-tinua
 La comprobación6 que existe el riesgo
de que los objetivos de control no se
estén cumpliendo mediante el uso de
técnicas analíticas y/o consultando fuen-tes
alternativas.
Con el objetivo de brindar asistencia a la administración en
la forma de asesoría de aseguramiento, hemos desarrollado
esta estructura dentro de un marco referencial fundamentado
en los requerimientos del COBIT:
• Presentación en un enfoque de niveles
• Orientación hacia los objetivos del negocio
• Orientado en función del proceso
• Enfocado sobre
Los recursos que necesitan administrarse
Los criterios de información que se requieren
En el nivel más alto, este enfoque general de auditoría está
apoyado por:
• El Marco Referencial de COBIT, particularmente
el resumen con la clasificación de los procesos de
TI, los criterios de información aplicables y los
recursos de TI (vea la página 30)
• Los requerimientos para el proceso de auditoría
mismo (vea la sección Requerimientos del Proceso
de Auditoría en la página 23)
• Los requerimientos genéricos para la auditoría de
procesos de TI (vea la sección Directrices de Au-ditoría
22 IT GOVERNANCE INSTITUTE
Genéricos de TI, página 24)
• Los principios generales de control (vea la sección
Observaciones del Proceso de Control, páginas 24-
25)
El segundo nivel está compuesto por las Directrices detalla-das
de auditoría para cada uno de los procesos de TI como se
muestra en la sección principal de esta publicación.
Las Directrices han sido presentadas en una plantilla están-dar
que sigue la estructura general de Obtención, Evalua-ción,
Valoración y Comprobación. Esta plantilla ha sido
aplicada a las Directrices de Auditoría Genéricas de TI, así
como también a las Directrices de Auditoría Detalladas.
En el tercer y último nivel, el auditor puede complementar
las Directrices de Auditoría para cubrir las condiciones loca-les,
conduciendo la fase de planeación de auditoría con pun-tos
de atención de auditoría que influyen sobre los objetivos
detallados de control mediante:
• Criterios específicos del sector
• Estándares de la industria
• Elementos específicos de la plataforma
• Técnicas detalladas de control empleadas
Importante para este nivel es el hecho de que los objetivos
de control no son necesariamente aplicables en todos los
casos y en cualquier lugar. Por lo tanto se sugiere que se
realice una evaluación de riesgos de alto nivel para determi-nar
sobre qué objetivos se necesita enfocarse específicamen-te
y cuáles pueden ignorarse.
6 Comprobación (substantiating)
23. Todos estos elementos se ofrecen para apoyar la planeación
y la realización de las auditorías de TI, y para una mejor
aplicación integrada de las directrices / lineamientos detalla-dos
de auditoría. Las directrices no son exhaustivas y no son
aplicables universalmente. El nivel de información de apoyo
DIIRECTRIICES DE AUDIITORÍÍA
(guías genéricas, requerimientos del proceso de auditoría y
observaciones de control) ayudará a los auditores a desarro-llar
el programa de auditoría que necesitan.
ESTRUCTURA DETALLADA PARA LA APLICACIÓN DE LAS DIRECTRICES DE AUDITORÍA
IT GOVERNANCE INSTITUTE 23
Nivel 1
Enfoque general de auditoría de TI
 Marco Referencial de COBIT
 Requerimientos del Proceso de Auditoría
 Observaciones de Control
 Directriz General de Auditoría
Nivel 2
Directrices del proceso de auditoría
 Directrices de Auditoría detalladas
Nivel 3
Puntos de atención de auditoría para
complementar los objetivos detallados
de control
 Condiciones Locales
• Criterios específicos del sector
• Estándares de la industria
• Elementos específicos de la plataforma
• Técnicas detalladas de control utilizadas
REQUERIMIENTOS DEL PROCESO DE AUDITORÍA
Una vez definido qué vamos a auditar y sobre qué vamos a
proporcionar aseguramiento, tenemos que determinar el enfo-que
o estrategia más apropiada para llevar a cabo el trabajo de
auditoría. Primero tenemos que determinar el alcance correcto
de nuestra auditoría. Para lograrlo, necesitamos investigar,
analizar y definir:
• Los procesos del negocio involucrados;
• Las plataformas y los sistemas de información que
están apoyando el proceso del negocio, así como la
interconectividad con otras plataformas o sistemas;
• Los roles y responsabilidades de TI definidas, inclu-yendo
las correspondientes al outsourcing interno y/
o externo; y
• Los riesgos del negocio y las decisiones estratégicas
asociadas.
El siguiente paso es identificar los requerimientos de informa-ción
que tienen una relevancia particular con respecto a los
procesos del negocio. Luego necesitaremos identificar los
riesgos inherentes de TI, así como el nivel general de control
que puede asociarse con el proceso del negocio. Para lograrlo,
identificamos:
• Los cambios recientes en el ambiente del negocio
que tienen impacto sobre TI;
• Los cambios recientes al ambiente de TI, nuevos
desarrollos, etc.;
• Los incidentes recientes relevantes para los controles
y el ambiente del negocio;
• Los controles de monitoreo de TI aplicados por la
administración;
• Los reportes recientes de auditoría y/o certificación;
y
• Los resultados recientes de auto evaluaciones.
24. COBIIT
Basándonos en la información obtenida, ahora podemos se-leccionar
los procesos relevantes de COBIT, así como tam-bién
los recursos que aplican a los mismos. Esto pudiera
requerir que ciertos procesos de COBIT necesiten auditarse
varias veces, cada vez para una plataforma o sistema distin-to.
El auditor deberá determinar una estrategia de auditoría ba-sándose
en el plan detallado de auditoría que deberá elabo-rarse
con más profundidad, por ejemplo, si uno busca un
enfoque basado en controles o un enfoque sustantivo.
Finalmente, necesitan considerarse todos los pasos, tareas y
puntos de decisión para llevar a cabo la auditoría. Un ejem-plo
de un proceso genérico de auditoría (con pasos, tareas y
puntos de decisión), que sigue la plantilla estándar, se pro-porciona
en el Apéndice IV.
REQUERIMIENTOS DEL PROCESO DE AUDITORÍA
• Definir el alcance de la auditoría  procesos del negocio involucrados
• Identificar los requerimientos de información rele-vantes
para el proceso del negocio
• Identificar los riesgos inherentes de TI y el nivel
general de control
• Selccionar procesos y plataformas a auditar  procesos
• Fijar una estrategia de auditoría  Controles versus riesgos
DIRECTRIZ GENERAL DE AUDITORÍA DE TI
La plantilla en la página 26 (que además se presenta como
un anexo el final de este documento) presenta los requeri-mientos
genéricos para auditar procesos de TI para brindar el
primer nivel de las directrices de auditoría, generalmente
aplicables a todos los procesos. Está primordialmente orien-tado
hacia la comprensión del proceso y la determinación de
la propiedad y deberá ser el fundamento y el marco referen-cial
para todos las directrices detalladas de auditoría.
Esta misma plantilla se aplica luego a los 34 procesos que se
identifican en el Marco Referencial de COBIT.
 plataformas, sistemas y su interconectividad, que
apoyan el procesos
 roles, responsabilidades y estructura organizacional
 importancia para el proceso del negocio
 cambios recientes e incidentes en el ambiente del nego-cio
y de la tecnología
 resultados de auditorías, autoevaluaciones, y certificación
 controles de monitoreo aplicados por la administración
 recursos
 Pasos y tareas
 Puntos de decisión
OBSERVACIONES DEL PROCESO DE CONTROL
Los principios generales de control también pueden propor-cionar
una guía adicional sobre cómo complementar las Di-rectrices
de Auditoría. Estos principios están primordial-mente
enfocados sobre el proceso y las responsabilidades del
control, los estándares de control y los flujos de la informa-ción
de control.
El control, desde el punto de vista de la administración, se
define como el determinar qué se está logrando; esto es, eva-luar
el desempeño y si es necesario aplicar medidas correcti-vas
para que el desempeño esté de acuerdo con lo planeado.
24 IT GOVERNANCE INSTITUTE
25. El proceso de control consiste de cuatro pasos. Primero, se
especifica un estándar de desempeño deseado para un proce-so.
Segundo, existe un medio de saber qué esta sucediendo
en el proceso, por ejemplo, el proceso proporciona informa-ción
de control a una unidad de control. Tercero, la unidad
de control compara la información con el estándar. Cuarto,
si lo que realmente está sucediendo no cumple con el están-dar,
la unidad de control dirige aquella acción correctiva a
tomar, en forma de información para el proceso. A partir de
este modelo, las siguientes observaciones de control pueden
resultar relevantes para la auditoría:
1. Para que este modelo funcione, la responsabilidad por
el proceso del negocio (o en este caso, de TI) debe ser
claro y la responsabilidad no debe ser ambigua. Si no
es así, la información de control no fluirá y no podrá
tomarse acción correctiva.
2. Los estándares pueden ser de una amplia variedad, des-de
planes y estrategias de alto nivel hasta indicadores
clave de desempeño (KPI - Key Performance Indica-tors)
y factores críticos de éxito (CSF – Critical Success
Factors). Los estándares claramente documentados,
mantenidos y comunicados son necesarios para un buen
proceso de control. La responsabilidad clara por la cus-todia
de dichos estándares también es un requerimiento
para un buen control.
3. El proceso de control tiene los mismos requerimientos:
bien documentado en cuanto a cómo funciona y con
responsabilidades claras. Un aspecto importante es la
clara definición de lo que constituye una desviación,
esto es, cuáles son los límites de desviación.
DIIRECTRIICES DE AUDIITORIIA
4. La oportunidad, integridad y conveniencia de la infor-mación
de control, así como también otra informa-ción,
son básicas para el buen funcionamiento de un
sistema de control y es algo que el auditor debe tratar.
5. Tanto la información de control como la información
de acción correctiva tendrán que cumplir los requeri-mientos
Normas
Estándares
KPI / CSF
de evidencia, con el fin de establecer la res-ponsabilidad
después del evento.
Comparación
Acto
Proceso
Información
De Control
IT GOVERNANCE INSTITUTE 25
26. COBIIT
DIRECTRIZ GENERAL DE AUDITORÍA
OBTENCIÓN DE UN ENTENDIMIENTO
Los pasos de auditoría que se deben realizar para documentar las actividades que generan inconvenientes a los objetivos de con-trol,
así como también identificar las medidas/procedimientos de control establecidas.
Entrevistar al personal administrativo y de staff apropiado para lograr la comprensión de:
• Los requerimientos del negocio y los riesgos asociados
• La estructura organizacional
• Los roles y responsabilidades
• Políticas y procedimientos
• Leyes y regulaciones
• Las medidas de control establecidas
• La actividad de reporte a la administración (estatus, desempeño, acciones)
Documentar el proceso relacionado con los recursos de TI que se ven especialmente afectados por el proceso bajo revisión. Con-firmar
el entendimiento del proceso bajo revisión, los Indicadores Clave de Desempeño (KPI) del proceso, las implicaciones de
control, por ejemplo, mediante una revisión paso a paso del proceso.
EVALUACIÓN DE LOS CONTROLES
Los pasos de auditoría a ejecutar en la evaluación de la eficacia de las medidas de control establecidas o el grado en el que se
logra el objetivo de control. Básicamente, decidir qué se va a probar, si se va a probar y cómo se va a probar.
Evaluar la conveniencia de las medidas de control para el proceso bajo revisión mediante la consideración de los criterios inden-tificados
y las prácticas estándares de la industria, los Factores Críticos de Éxito (CSF) de las medidas de control y la aplicación
del juicio profesional de auditor.
• Existen procesos documentados
• Existen resultados apropiados
• La responsabilidad y el registro de las operaciones son claros y efectivos
• Existen controles compensatorios, en donde es necesario
Concluir el grado en que se cumple el objetivo de control.
VALORACIÓN DEL CUMPLIMIENTO
Los pasos de auditoría a realizar para asegurar que las medidas de control establecidas estén funcionando como es debido, de
manera consistente y continua, y concluir sobre la conveniencia del ambiente de control.
Obtener evidencia directa o indirecta de puntos/períodos seleccionados para asegurarse que se ha cumplido con los procedimien-tos
durante el período de revisión, utilizando evidencia tanto directa como indirecta.
Realizar una revisión limitada de la suficiencia de los resultados del proceso.
Determinar el nivel de pruebas sustantivas y trabajo adicional necesarios para asegurar que el proceso de TI es adecuado.
JUSTIFICAR/COMPROBAR EL RIESGO
Los pasos de auditoría a realizar para justificar el riesgo de que no se cumpla el objetivo de control mendiante el uso de técnicas
analíticas y/o consultas a fuentes alternativas. El objetivo es respaldar la opinión e “impresionar” a la administración para que
tome acción. Los auditores tienen que ser creativos para encontrar y presentar esta información que con frecuencia es sensitiva y
confidencial.
Documentar las debilidades de control y las amenazas y vulnerabilidades resultantes.
Identificar y documentar el impacto real y potencial; por ejemplo, mediante el análisis de causa-efecto.
Brindar información comparativa; por ejemplo, mediante benchmarks.
26 IT GOVERNANCE INSTITUTE
27. Plan Acción Verificación
Los controles también operan en diferentes niveles dentro
del ciclo tradicional de Planear-Hacer-Verificar-Corregir con
el que la administración se siente cómoda. Este modelo ilus-tra:
• La secuencia lógica de planear-hacer-verificar y
corregir el plan si es necesario:
• Cómo sucede esto a nivel estratégico, táctico y
administrativo;
• Las diversas relaciones laterales y horizontales
– El “hacer” estratégico da como resultado pla-neación
táctica; el “hacer” táctico da como
resultado planeación administrativa;
– Las actividades de “verificar” y “hacer” co-operan
e influyen continuamente una con
otra; y
– La actividad administrativa de “verificar”
reporta a “verificar” táctico, quien a su vez
reporta a “verificar” estratégico.
Cuando se evalúan mecanismos de control, los revisores
deberán estar conscientes de que estos controles operan en
estos diferentes niveles y de que tienen relaciones intrínse-cas.
La orientación hacia el proceso de COBIT proporciona
algunas indicaciones acerca de los diferentes procesos de
control, niveles e interrelaciones, pero la implantación o va-loración
real de los sistemas de control requiere tomar en
cuenta esta compleja dimensión adicional.
DIIRECTRIICES DE AUDIITORIIA
COLOCÁNDOLAS TODAS JUNTAS
En resumen, las Directrices de Auditoría detalladas siempre
pueden complementarse tomando en cuenta el Lineamiento
Genérico y el proceso bajo revisión, y obteniendo tareas de
auditoría adicionales para lograr el objetivo de auditoría. El
desarrollo del programa de auditoría en sí puede beneficiarse
de tomar en consideración los requerimientos del proceso de
auditoría de TI, el Marco Referencial de COBIT y los Objeti-vos
de Control de Alto Nivel, y las Consideraciones de Con-trol
que se muestran aquí.
RELACIÓN ENTRE LOS OBJETIVOS DE CONTROL Y LAS DI-RECTRICES
DE AUDITORÍA
Los objetivos han sido desarrollados a partir de una orienta-ción
al proceso porque la administración está buscando ase-soría
proactiva sobre cómo tratar el problema de mantener
TI bajo control. Los Objetivos de Control ayudan a la admi-nistración
a establecer el control sobre el proceso, las Direc-trices
de Auditoría ayudan al auditor o asesor a asegurar que
el proceso está realmente bajo control, de tal manera que los
requerimientos de información necesarios para lograr los
objetivos del negocio serán satisfechos.
La relación entre estos dos conceptos es el proceso, por lo
que las Directrices de Auditoría han sido desarrolladas para
cada uno de los procesos, en oposición a cada uno de los
objetivos de control.
IT GOVERNANCE INSTITUTE 27
Estratégico
Táctico
Administrativo
Corrección
Reporte
Reporte
28. COBIIT
Requerimientos de
Proceso de Auditoria
Marco de Referencia de Control
efectividad
cumplimiento
integridad
disponibilidad
eficiencia
confidencialidad
confiabilidad
P S
Lo cual satisface
Requerimientos
de negocio
El control de
Proceso de TI
En cuanto al marco referencial de control representado por el
modelo de cascada, las Directrices de Auditoría pueden ver-se
como los elementos que proporcionan retroalimentación a
partir de los procesos de control para los objetivos del nego-cio.
Los objetivos de control son la guía que baja por la cas-cada
para tener el proceso de TI bajo control. Las Directri-ces
de Auditoría son la guía para regresar a la parte superior
de la cascada con la pregunta: “¿Hay seguridad de que se
logre el objetivo del negocio?” Algunas veces, las Directri-ces
de Auditoría son traducciones literales de los Objetivos
de Control; con mayor frecuencia, las Directrices buscan la
evidencia de que el proceso esté bajo control.
OPORTUNIDADES Y RETOS PARA LAS TAREAS DE EVALUA-CIÓN
La utilización del Marco Referencial, los Objetivos de Con-trol
y las Directrices de Auditoría como fundamento para la
tarea de auditoría/valoración nos presenta algunas ventajas
definitivas:
• Permite dar prioridad a las actividades de auditoría
y áreas bajo revisión, utilizando las calificaciones
Primaria y Secundaria de los criterios de informa-ción;
• Conduce a áreas de investigación que normalmen-te
–sin un marco referencial o modelo- no serían
tratadas; Puede desarrollarse una planeación y se-cuencia
de entrevistas más lógica conforme los
auditores avanzan en el proceso;
Lineamientos
Detallados de Auditoria
Adquisición &
Implementación
Planeación &
Organización
Entrega &
Soporte
Monitoreo
considerando las
Prácticas de
Control
9 9
tecnología
facilidades
datos
• Las investigaciones pueden enfocarse utilizando el
indicador de qué recurso es más importante en qué
proceso; y
• Como un estándar para definir las áreas de TI au-ditables
para el plan estratégico de auditoría, con
el fin de asegurar
– La cobertura efectiva de la auditoría
– La adquisición/desarrollo oportuno de las
habilidades necesarias para la auditoría.
es posible por
gente
Los Estatutos
de Control
aplicaciones
Sin embargo, existen algunos retos en cuanto a la integra-ción
del marco referencial y de los objetivos dentro del tra-bajo
de auditoría:
• El cambio nunca es fácil (actitud, conjunto de
herramientas, conjunto de habilidades, etc.);
• La naturaleza detallada hace difícil la aplicación
inicial, especialmente cuando se está verificando la
completitud7 y aplicabilidad de los objetivos de
control para el área bajo revisión;
• Existe un grado necesario de repetición en las Di-rectrices
de Auditoría porque rara vez hay una
relación uno-a-uno entre el objetivo de control y
los mecanismos de control, un mecanismo contri-buye
de varias maneras a varios objetivos, un obje-tivo
necesita de varios mecanismos para lograr su
cometido; y
28 IT GOVERNANCE INSTITUTE
Observaciones de Control
Normas
Estándares
KPI / CSF
Comparación
Proceso
Acto
Información de
Control
Lineamiento
General de Auditoria
identificar
evaluar
probar
establecer
Uso en
combinación
7Completitud / Integridad: (Completeness)
29. • Refuerza cierto formalismo (por ejemplo, registrar
información previa) que puede parecer innecesa-rio.
ANÁLISIS DE RIESGOS COMO UN ENFOQUE ALTERNATIVO
DE EVALUACIÓN
El balance entre costo y riesgo es el siguiente problema a
tratar, esto es, tomar una decisión consciente de cómo se va
a implementar cada uno de los objetivos de control y si se
van a implementar. Los enfoques de análisis de riesgos tra-tan
esta decisión, a pesar de que permanece el principio
proactivo; los objetivos de control deberán aplicarse en pri-mera
instancia para lograr unos criterios de control de infor-mación
(efectividad, eficiencia, confidencialidad, disponibi-lidad,
integridad, cumplimiento y confiabilidad). Es eviden-te
que la administración necesita utilizar alguna forma de
evaluación de riesgos del negocio para definir las medidas a
implementar (vea CO PO9). Los auditores también llevarán
a cabo alguna forma de evaluación de riesgos cuando elijan
los dominios del proceso y los objetivos de control para la
revisión.
Un enfoque comúnmente aceptado para el análisis de riesgos
en TI es el siguiente:
DIIRECTRIICES DE AUDIITORIIA
El modelo comienza a partir de la valoración de los activos,
que dentro del Marco Referencial de COBIT consiste en la
información que tiene los criterios requeridos para ayudar a
lograr los objetivos del negocio (incluyendo todos los recur-sos
necesarios para producir dicha información). El siguien-te
paso es el análisis de vulnerabilidad† que trata de la im-portancia
de los criterios de información dentro del proceso
bajo revisión, por ejemplo, si un proceso del negocio es vul-nerable
a la pérdida de integridad, entonces se requieren me-didas
específicas. Luego se tratan las amenazas, esto es,
aquello que puede provocar una vulnerabilidad. La probabi-lidad
de la amenaza, el grado de vulnerabilidad y la severi-dad
del impacto se combinan para concluir acerca de la eva-luación
del riesgo. Esto es seguido por la selección de con-tramedidas
(controles) y una evaluación de su eficacia, que
también identifica el riesgo residual. La conclusión es un
plan de acción después del cual el ciclo puede comenzar
nuevamente.
† El resultado de un análisis de vulnerabilidad es la identificación de amenazas
relevantes y el resultado de un análisis de amenazas es la identificación de
vulnerabilidades relevantes.
IT GOVERNANCE INSTITUTE 29
Valuación
de Activos
Evaluación
de Riesgo
Contra-
Medidas
Evaluación de
Vulnerabilidad
Evaluación
del Riesgo
Evaluación
del Control
Plan de
Acción
Riesgo
Residual
Marco Referencial del Análisis de Riesgo
30. COBIIT
OBJETIVOS DE CONTROL
TABLA RESUMEN
La siguiente tabla proporciona una indicación, por proceso y dominio de TI, de cuáles criterios de información son impac-tados
por los objetivos de alto nivel, así como una indicación de cuáles recursos de TI son aplicables.
30 IT GOVERNANCE INSTITUTE
Criterios de Información Recursos de TI
efectividad
eficiencia
confidencialidad
Recursos humanos
sistemas de aplicación
tecnología
integridad
disponibilidad
cumplimiento
confiabilidad
recursos información
de instalaciones
datos
datos
DOMINIO PROCESO
Planeación y PO1 Definir un plan estratégico de sistemas P S ; ; ; ; ;
Organización PO2 Definir la arquitectura de información P S S S ; ;
PO3 Determinar la dirección tecnológica P S ; ;
PO4 Definir la organización y sus relaciones P S ;
PO5 Administrar las inversiones (en TI) P P S ; ; ; ;
PO6 Comunicar la dirección y objetivos de la gerencia P S ;
PO7 Administrar los recursos humanos P P ;
PO8 Asegurar el apego a disposiciones externas P PS ; ; ;
PO9 Evaluar riesgos S S P P P S S ; ; ; ; ;
P010 Administrar proyectos P P ; ; ; ;
PO11 Administrar calidad P P P S ; ;
Adquisición e AI1 Identificar soluciones de automatización P S ; ; ;
Implementación AI2 Adquirir y mantener software de aplicación P P S S S ;
AI3 Adquirir y mantener la arquitectura tecnológica P P S ;
AI4 Desarrollar y mantener procedimientos P P S S S ; ; ; ;
AI5 Instalar y acreditar sistemas de información P S S ; ; ; ; ;
AI6 Administrar cambios P P P P S ; ; ; ; ;
Entrega de servicios y DS1 Definir niveles de servicio P P S S S S S ; ; ; ; ;
Soporte DS2 Administrar servicios de terceros P P S S S S S ; ; ; ; ;
DS3 Administrar desempeño y capacidad P P S ; ; ;
DS4 Asegurar continuidad de servicio P S P ; ; ; ; ;
DS5 Garantizar la seguridad de sistemas P P S S S ; ; ; ; ;
DS6 Identificar y asignar costos P P ; ; ; ; ;
DS7 Educar y capacitar a usuarios P S ;
DS8 Apoyar y orientar a clientes P ; ;
DS9 Administrar la configuración P S S ; ; ;
DS10 Administrar problemas e incidentes P P S ; ; ; ; ;
DS11 Administrar la información P P ;
DS12 Administrar las instalaciones P P ;
DS13 Administrar la operación P P S S ; ; ; ; ;
Monitoreo M1 Monitorear el proceso P S S S S S S ; ; ; ; ;
M2 Evaluar lo adecuado del control interno P P S S S S S ; ; ; ; ;
M3 Obtener aseguramiento independiente P P S S S S S ; ; ; ; ;
M4 Proporcionar auditoría independiente P P S S S S S ; ; ; ; ;
(P) Primario (√) Aplicable a
(S) Secundario
Comunicar los objetivos aspiraciones de la Gerencia
Asegurar el cumplimiento de requerimientos externos
31. DIIRECTRIICES DE AUDIITORIIA
AYUDAS DE NAVEGACIÓN PARA LAS DIRECTRICES DE AUDITORIA
Las Directrices de Auditoría contienen secciones detalladas de guías de auditoría para cada uno de los 34 procesos de TI.
En la izquierda de la página está el objetivo de control de alto nivel. El indicador de dominio (‘PO’ para Planeación y
Organización, ’AI’ para Adquisición e Implementación, ’DS’ para Entrega y Soporte y ’M’ para Monitoreo) se presentan
en la parte superior izquierda. El criterio de información aplicable y el recurso de TI utilizado son mostrados en una mini-matriz,
como se describe en la siguiente página. Empezando en la parte derecha de la página está la descripción de la
de TI por un proceso.
También deberá tomarse en cuenta que los Objetivos de
Control de COBIT han sido definidos de una manera ge-nérica,
por ejemplo, sin depender de la plataforma técni-ca,
aceptando el hecho de que algunos ambientes de
tecnología especiales pueden requerir una cobertura se-parada
para objetivos de control.
directriz de auditoría para el proceso de TI
El Marco de Referencia de COBIT ha sido limitado a
objetivos de control de alto nivel en forma de necesida-des
de negocio dentro de un proceso de TI particular,
cuyo logro es posible a través del establecimiento de
controles, para lo cual deben considerarse controles po-tenciales
aplicables.
Los Objetivos de Control de TI han sido organizados por
proceso/actividad y también se han proporcionados ayu-das
de navegación no solamente para facilitar la entrada
a partir de cualquier punto de vista estratégico como se
explicó anteriormente, sino también para facilitar enfo-ques
combinados o globales, tales como instalación/
implementación de un proceso, responsabilidades geren-ciales
globales para un proceso y utilización de recursos
31 IT GOVERNANCE INSTITUTE
Considerando
Es habilitado por
Proceso de TI Que satisface
Requerimiento de Nego-cio
Declaración de Control
Prácticas de Control
El control de
32. COBIIT
32 IT GOVERNANCE INSTITUTE
eficiencia
integridad
disponibilidad
cumplimiento
confidenciali-confiabilidad
efectividad
Planeación &
Organización
Adquisición &
Implementa-
Entrega &
Soporte
Monitoreo
Criterios de
Dominios TI
S P
3 3
tecnología
instalaciones
gente
aplicaciones
datos
Planeación &
Organización
Adquisición &
Implementa-
Entrega &
Soporte
Monitoreo
eficiencia
integridad
disponibilidad
cumplimiento
confidenciali-confiabilidad
efectividad
S P
3 3
tecnología
instalaciones
gente
aplicaciones
datos
Tres puntos de posición
Para facilitar el empleo eficiente de los objetivos de control
como soporte a los diferentes puntos de vista, se proporcio-nan
algunas ayudas de navegación como parte de la presenta-ción
de los objetivos de control de alto nivel. Se proporciona
una ayuda de navegación para cada una de las tres dimensio-nes
del Marco de Referencia de COBIT - procesos, recursos
de TI y criterios de información -
Los dominios son identificados por este ícono en la ESQUI-NA
SUPERIOR DERECHA de cada página, en la sección de
Objetivos de Control, agrandando y haciendo más visible el
dominio bajo revisión.
La clave para el criterio de información se presentará en la
ESQUINA SUPERIOR IZQUIERDA, en la sección de Obje-tivos
de Control mediante la siguiente “mini” matriz, la cual
identificará cuál criterio y en qué grado (primario o secunda-rio)
es aplicable a cada Objetivo de Control de TI de alto
nivel.
Una segunda “mini” matriz en la ESQUINA INFERIOR DERE-CHA
de la sección de Objetivos de Control identifica los recursos
de TI que son administrados en forma específica por el proceso
bajo consideración - no solo aquellos que simplemente toman
parte en el proceso -. Por ejemplo, el proceso “administración de
datos” se concentra particularmente en la integridad y confiabili-dad
de los recursos de datos.
33. DIIRECTRIICES DE AUDIITORIIA
RELACIONES DE OBJETIVOS DE CONTROL
DOMINIOS, PROCESOS Y OBJETIVOS DE CONTROL
Planeación y Organización
1.0 Definición de un Plan Estratégico de Tecnología
de Información
1.1 Tecnología de Información como parte del
Plan de la Organización a corto y largo
plazo
1.2 Plan a largo plazo de Tecnología de Informa-ción
1.3 Plan a largo plazo de Tecnología de Informa-ción
- Enfoque y Estructura
1.4 Cambios al Plan a largo plazo de Tecnología
IT GOVERNANCE INSTITUTE 33
de Información
1.5 Planeación a corto plazo para la función de
Servicios de Información
1.6 Comunicación de los planes de TI
1.7 Evaluación y Monitoreo de los planes de TI.
1.8 Valoración de los sistemas existentes.
2.0 Definición de la Arquitectura de Información
2.1 Modelo de la Arquitectura de Información
2.2 Diccionario de Datos y Reglas de sintaxis de
datos corporativos
2.3 Esquema de Clasificación de Datos
2.4 Niveles de Seguridad.
3.0 Determinación de la Dirección Tecnológica
3.1 Planeación de la Infraestructura Tecnológica
3.2 Monitoreo de Tendencias y Regulaciones
Futuras
3.3 Contingencias en la Infraestructura Tecnoló-gica
3.4 Planes de Adquisición de Hardware y Soft-ware
3.5 Estándares de Tecnología
4.0 Definición de la Organización y de las Relaciones
de TI
4.1 Planeación de TI o Comité de planeación/
dirección de la función de servicios de infor-mación
4.2 Ubicación de los servicios de información en
la organización
4.3 Revisión de Logros Organizacionales
4.4 Funciones y Responsabilidades
4.5 Responsabilidad del aseguramiento de cali-dad
4.6 Responsabilidad por la seguridad lógica y
física
4.7 Propiedad y Custodia
4.8 Propiedad de Datos y Sistemas
4.9 Supervisión
4.10 Segregación de Funciones
4.11 Asignación de Personal para Tecnología de
Información
4.12 Descripción de Puestos para el Personal de
la Función de TI
4.13 Personal clave de TI
4.14 Procedimientos y políticas para el personal
contratado
4.15 Relaciones
5.0 Manejo de la Inversión en Tecnología de Infor-mación
5.1 Presupuesto Operativo Anual para la Fun-ción
de Servicio de información
5.2 Monitoreo de Costo - Beneficio
5.3 Justificación de Costo - Beneficio
6.0 Comunicación de los Objetivos y Aspiraciones
de la Gerencia
6.1 Ambiente positivo de control de la informa-ción
6.2 Responsabilidad de la Gerencia en cuanto a
Políticas
6.3 Comunicación de las Políticas de la Organi-zación
6.4 Recursos para la implementación de Políti-cas
6.5 Mantenimiento de Políticas
6.6 Cumplimiento de Políticas, Procedimientos
y Estándares
6.7 Compromiso con la Calidad
6.8 Política sobre el Marco Referencial para la
Seguridad y el Control Interno
6.9 Derechos de propiedad intelectual
6.10 Políticas Específicas
6.11 Comunicación de Conciencia de Seguridad
en TI