Post on 18-Jan-2021
M. Sc. Miguel Cotaña Mier Lp, noviembre 2020
GABINETE DE AUDITORIA DE
SISTEMAS
UNIVERSIDAD MAYOR DE SAN ANDRES
FACULTAD DE CIENCIAS ECONÓMICAS Y FINANCIERAS
CARRERA DE CONTADURÍA PÚBLICA
1
un largo camino ……..…….
2
ISACA® es el acrónimo de Information SystemsAudit and Control Association (Asociación deAuditoría y Control de Sistemas de Información)ayuda a los profesionales globales a liderar,adaptar y asegurar la confianza en un mundodigital en evolución ofreciendo conocimiento,estándares, relaciones, acreditación y desarrollode carrera innovadores y de primera clase.Establecida en 1969, ISACA es una asociaciónglobal sin ánimo de lucro con más de 215capítulos: https://www.isaca.org
ISACA
3
ISACA también ofrece Cybersecurity Nexus TM(CSX), un recurso integral y global enciberseguridad, y COBIT®, un marco de negociopara gobernar la tecnología de la empresa.ISACA adicionalmente promueve el avance ycertificación de habilidades y conocimientoscríticos para el negocio:✓ Certified Information Systems Auditor® (CISA®);✓ Certified Information Security Manager® (CISM®);✓ Certified in the Governance of Enterprise
IT® (CGEIT®);✓ Certified in Risk and Information Systems Control™
(CRISC™).
COBIT: Gobierno de TI en las empresas
Control
OBjectives
for Information
and Related Technology
(Objetivos de Control para Tecnología de
Información y Tecnologías relacionadas)
6
COBIT, ITIL e ISO 27000 son normativas valiosaspara el crecimiento y éxito de una organización:✓ Los directivos empresariales y los consejos de
administración exigen mejores beneficios de lasinversiones en TI;
✓ Las mejores prácticas ayudan a cumplir losrequisitos reglamentarios de los controles delas TI en áreas como la confidencialidad y lapreparación de informes financieros;
✓ Las organizaciones se enfrentan a riesgosrelacionados con las TI, tales como laseguridad;
7
✓ Las mejores prácticas ayudan a lasorganizaciones a evaluar su rendimiento encomparación con normas aceptadasgeneralmente y por sus compañeros;
✓ Utilizando COBIT como un marco de controlgeneral para la gestión de las TI, e ITIL e ISO27000 proporcionan procesos normalizadospormenorizados;
✓ Los 34 procesos de TI de COBIT y los objetivosde control de alto nivel se mapean ensecciones de ITIL y de ISO 27000.
8
Para cada uno de los 34 procesos, se definen…
9
Cobit, brinda buenas práctica a travésde un marco de trabajo de dominios yprocesos, y presenta las actividadesen una estructura manejable y lógica.
Las buenas prácticas de Cobitrepresentan el consenso de losexpertos. Están enfocadosfuertemente en el control y menos enla ejecución
11
El marco de referencia COBITFusiona las
expectativascon las
responsabilidadesde la dirección de TI
La necesidad de control de TI* Directivos* Usuarios* Auditores
Un marco de control para el Gobierno TI definelas razones de por qué se necesita el Gobierno deTI, los interesados y que se necesita cumplir en elgobierno de TI.
NECESIDAD DE MARCO DE REFERENCIA
12
Los usuarios necesitan COBIT
para
Obtener confianza sobre la
seguridad y controles de productos
y servicios proporcionados por
personal interno y terceros
13
Los auditores de SI necesitan COBIT
para
• Sustentar opiniones a la dirección sobre
controles internos
• Contestar a la pregunta:
¿Qué mínimos controles son
necesarios?
15
IMCM
Una necesidad básica de toda empresa
es entender el estado de sus propios
sistemas de TI y decidir qué nivel de
administración y control debe
proporcionar la empresa.
Qué se debe medir y cómo?
16
Una organización debe crear un modelo
de proceso que se ajuste a las
directrices establecidas por la
integración del modelo de capacidad de
madurez (IMCM)
20
Planear y Organizar (PO)
Cubre las estrategias y las tácticas, y
tiene que ver con identificar la manera
en que TI pueda contribuir de la mejor
manera al logro de los objetivos del
negocio.
¿Están alineadas las estrategias de
TI y del negocio?
21
¿La empresa está alcanzando un uso
óptimo de los recursos?
¿Entienden todas las personas, los
objetivos de TI?
¿Se entienden y administran los riesgos
de TI?
¿Es apropiada la calidad de los
sistemas de TI para las necesidades
del negocio?
22
Adquirir e Implementar (AI)
Las soluciones de TI necesitan ser
identificadas, desarrolladas o adquiridas
así como la implementación e
integración en los procesos.
¿Los nuevos proyectos generan
soluciones que satisfagan las
necesidades del negocio?
23
¿Los nuevos proyectos son
entregados a tiempo y dentro del
presupuesto?
¿Trabajarán adecuadamente los
nuevos sistemas una vez sean
implementados?
¿Los cambios afectarán las
operaciones actuales del negocio?
24
Entregar y dar Soporte (DS)
Cubre la entrega en sí de los servicios
requeridos, lo que incluye la prestación
del servicio, la administración de la
seguridad y de la continuidad, el soporte
del servicio a los usuarios, la
administración de los datos.
¿Se están entregando los servicios
de TI de acuerdo a prioridades?
25
¿Están optimizados los costos de TI?
¿Es capaz la fuerza de trabajo de
utilizar los sistemas de TI de manera
productiva y segura?
¿Están implantadas de forma
adecuada la confidencialidad, la
integridad y la disponibilidad?
26
Monitorear y Evaluar (ME)
Todos los procesos de TI deben evaluarse de
forma regular en el tiempo en cuanto a su calidad
y cumplimiento de los requerimientos de control.
Abarca la administración del desempeño, el
monitoreo del control interno, cumplimiento
regulatorio.
¿Se mide el desempeño de TI para
detectar los problemas antes de que
sea demasiado tarde?
27
¿La gerencia garantiza que los controles
internos son efectivos y eficientes?
¿Puede vincularse el desempeño de lo
que TI ha realizado con las metas del
negocio?
¿Se miden y reportan los riesgos, el
control, el cumplimiento y el
desempeño?
28
Modelo de Marco de Trabajo
Relaciona los requerimientos de
información y de gobierno a los
objetivos de la función de servicio de TI.
El modelo de procesos Cobit permite
que las actividades de TI y los recursos
que los soportan sean administrados y
controlados basados en los objetivos de
control.
29
30RECURSOS D
E T
I
PR
OC
ES
OS
DE
TI
REQUERIMIENTOS DE
NEGOCIO
DOMINIOS
PROCESOS
ACTIVIDADESA
PL
ICA
CIO
NE
S
INFO
RM
AC
ION
INFR
AE
ST
RU
CT
UR
A
PE
RS
ON
AS
Efica
cia
Eficie
ncia
Con
fide
ncia
lid
ad
Inte
gridad
Dis
poni
bilid
ad
Con
form
idad
Seg
urid
ad
Figura 15 – El Cubo Cobit
RECURSOS D
E T
I
PR
OC
ES
OS
DE
TI
REQUERIMIENTOS DE
NEGOCIO
DOMINIOS
PROCESOS
ACTIVIDADESA
PL
ICA
CIO
NE
S
INFO
RM
AC
ION
INFR
AE
ST
RU
CT
UR
A
PE
RS
ON
AS
Efica
cia
Eficie
ncia
Con
fide
ncia
lid
ad
Inte
gridad
Dis
poni
bilid
ad
Con
form
idad
Seg
urid
ad
Figura 15 – El Cubo Cobit
31
En detalle, el marco de trabajo general Cobit se
muestra en el siguiente gráfico, con el modelo
de procesos de Cobit compuesto de 4 dominios
que contienen 34 procesos genéricos,
administrando los recursos de TI para
proporcionar información al negocio de
acuerdo con los requerimientos del negocio y
del gobierno.
32
Recursos de TIAplicaciones
Información,
Infraestructura,Personas
Req. InformaciónEfectividad, Eficiencia,
Confidencialidad, Integridad, Disponibilidad,
Cumplimiento, Confiabilidad
CobiT
Objetivos del Negocio
Planear y Organizar
PO1 Definir un plan estratégico de TI
PO2 Definir la arquitectura de información
PO3 Determinar la dirección tecnológica
PO4 Definir procesos, organización y relac.
PO5 Administrar la inversión en TI
PO6 Comunicar aspiraciones y la direc.ger.
PO7 Administración del Recurso Humano
PO8 Administrar calidad
PO9 Evaluar y administrar Riesgos
PO10 Administración de Proyectos
Adquirir eImplantar
AI1 Identificar soluciones automatizadas
AI2 Adquirir y mantener el Sw aplicativo
AI3 Adquirir y mantener la infraestructura
tecnológica
AI4 Facilitar la operación y el uso
AI5 Adquirir recursos de TI
AI6 Administrar cambios
AI7 Instalar y acreditar soluciones y cambios
Monitorear
Y evaluar
ME1 Monitorear y evaluar el desempeño
ME2 Monitorear y evaluar el control
Interno
ME3 Garantizar cumplimiimiento
regulatorio
ME4 Proporcionar gobierno de TI
Servicios y Soporte
DS1 Definir y administrar niveles de servicio
DS2 Administrar servicios de terceros
DS3 Adm. Desempeño y capacidad
DS4 Garantizar la continuidad del servicio
DS5 Garantizar la seguridad de los sistemas
DS6 Identificar y asignar costos
DS7 Educar y entrenar a los usuarios
DS8 Administrar la mesa de serv. e incidentes
DS9 Administrar la configuración
DS10 Administrar los problemas
DS11 Administración de datos
DS12 Administrar el ambiente físico
DS13 Administrar las Operaciones
Objetivos del gobierno
33
Procesos de TIC - Procesos
Adquirir eImplantar
AI1 Identificar soluciones automatizadasAI2 Adquirir y mantener el Sw aplicativoAI3 Adquirir y mantener la infraestructura tecnológicaAI4 Facilitar la operación y el usoAI5 Adquirir recursos de TIAI6 Administrar cambiosAI7 Instalar y acreditar soluciones y cambios
Planear y Organizar
PO1 Definir un plan estratégico de TIPO2 Definir la arquitectura de informaciónPO3 Determinar la dirección tecnológicaPO4 Definir procesos, organización y relac.PO5 Administrar la inversión en TIPO6 Comunicar aspiraciones y la direc.ger.PO7 Administración del Recurso HumanoPO8 Administrar calidadPO9 Evaluar y administrar RiesgosPO10 Administración de Proyectos
34
Procesos de TIC - Procesos
Servicios y Soporte
DS1 Definir y administrar niveles de servicioDS2 Administrar servicios de tercerosDS3 Adm. Desempeño y capacidadDS4 Garantizar la continuidad del servicioDS5 Garantizar la seguridad de los sistemasDS6 Identificar y asignar costosDS7 Educar y entrenar a los usuariosDS8 Administrar la mesa de serv. e incidentesDS9 Administrar la configuraciónDS10 Administrar los problemasDS11 Administración de datosDS12 Administrar el ambiente físicoDS13 Administrar las Operaciones
Monitoreary Evaluar
ME1 Monitorear y evaluar el desempeñoME2 Monitorear y evaluar el control InternoME3 Garantizar cumplimimiento regulatorioME4 Proporcionar gobierno de TI
Planear
y Organizar
Adquirir e
Implantar
Entrega y
Soporte
Monitoreo y
Evaluar
Gobierno
de TI
Administración
de Recursos
P=Primario; S=Secundario
Control sobre el Proceso de TI
Que satisface el requerimiento de negocios de TI para
Focalizándose en
Es conseguido por
Y medido por
Nombre del Proceso
Resumen de las metas de negocio más
importantes
Resumen de las metas de TI más importantes
Control claves
Indicadores claves (Métrica)
Modelo de Navegación CobiT