Objetivo: Conocer las pautas la de certificación internacional. Se revisan las unidades del examen CISA (Auditor certificado en

sistemas de información) y se presentan simulacros de la prueba

AntecedentesDesde la década de 1960, el rápido desarrollo de los sistemas automatizados ha creado la expectativa de una apropiada respuesta de las áreas que se ocupan de gestionar la tecnología informática y sistemas de información.Estos cambios tienen y seguirán teniendo profundas repercusiones en sus estructuras de control. La automatización de las funciones organizacionales está determinando la incorporación de mecanismos de control más potentes en los sistemas de información, en los sistemas operativos, las redes, y el hardware.Pero en la actualidad, debemos ir hablando más de "Auditoria de Sistemas de Información" que sólo de Auditoria Informática, por la extensión de las áreas que llega a cubrir. En todo caso, la Auditoria de Sistemas de Información se ha convertido en el control del ambiente de controles embebido en los procesos automatizados y en el la forma como se han gerenciado los mismos.

Estándares de Auditoría.Informe COSO - (Committee of Sponsoring Organizations), de la Comisión de Estudios de Controles Internos.SAC - (Systems Auditability and Control), de la Fundación de Investigación del Instituto de Auditores Internos.SAS 55 y SAS 78 - Consideraciones de la estructura de Controles Internos en los Informes de los Estados Financieros, del Instituto Americano de Contadores Públicos (CPA)COBIT (Control Objectives for Information and related Technology), de la Fundación de Auditoría y Control de Sistemas de Información.ISACA (Information Systems Audit and Control Asociation ). IRCA (International Register of Certificated Auditor), de Registro Internacional de Auditores

COBIT

La Estructura COBIT provee una herramienta para el propietario del proceso del negocio que facilita el descargo de su responsabilidad. La estructura comienza con una premisa simple y pragmática:“Los Recursos de Tecnología Informática necesitan

ser administrados por un conjunto de procesos de Tecnología Informática agrupados naturalmente para proveer la información que necesita la empresa para el logro de sus objetivos.”

COBIT

Continúa con un conjunto de 32 Objetivos de Control de alto nivel, uno por cada uno de los Procesos de Tecnología Informática, agrupados en cuatro Dominios: planeamiento y organización, adquisición e implementación, entrega y soporte y monitoreo. Esta estructura cubre todos los aspectos de la información y de la tecnología que la soporta. Al encarar estos 32 Objetivos de Control de alto nivel y con referencia a las políticas y estándares de la empresa, el propietario del proceso del negocio puede asegurar que se provee un sistema de control adecuado para el ambiente de tecnología informática.

Recursos de Tecnología Informática

Datos: Objetos datos en su más amplio sentido, (ej: externos e internos), estructurados y no estructurados, gráficos, sonido, etc.Sistemas de Aplicación: Se entiende como sistemas de aplicación la suma de procedimientos programados y manuales.Tecnología: Tecnología cubre hardware, sistemas operativos, sistemas de administración de bases de datos, redes, multimedia, etc.Instalaciones: Recursos para albergar y soportar los sistemas de información.Gente: Habilidades del personal, concientización y productividad para planear, organizar, adquirir, entregar, soportar y monitorear sistemas de información y servicios.

Recursos de Tecnología Informática

Requerimientos de Calidad, Financieros y de Seguridad: se extrajeron siete categorías distintas, seguramente superpuestas, soportar y monitorear sistemas de información y servicios.1. Efectividad: trata con información relevante y pertinente al proceso de negocios, así

como entregada de una manera oportuna, correcta, consistente y útil.2. Eficiencia: concierne a la provisión de información mediante el uso óptimo (más

productivo y económico) de los recursos.3. Confidencialidad: concierne a la protección de la información sensible respecto de

la disposición no autorizada.4. Integridad: se relaciona con la precisión y completamiento de la información así

como con su validez de acuerdo con los valores y expectativas del negocio. 5. Disponibilidad: se refiere a que la información esté disponible cuando sea

requerida por el proceso del negocio, ahora y en el futuro. También concierne a la salvaguarda de los recursos necesarios y las capacidades asociadas.

6. Cumplimiento: trata con el cumplimiento de aquellas leyes, regulaciones y arreglos contractuales a los cuales está sujeto el proceso del negocio, ej: criterios del negocio impuestos desde el exterior.

7. Confiabilidad de la Información: se relaciona con la provisión de información apropiada a la gerencia para operar la entidad y también para ejercer sus responsabilidades de elaboración de informes financieros y de cumplimiento.

Objetivos de Control

Es claro que no todas las medidas de control necesariamente satisfarán en el mismo grado los distintos requerimientos del negocio en materia de información.Primario (P) es el grado al cual el Objetivo de Control definido satisface completamente el requerimiento de información concerniente.Secundario (S) es el grado al cual el Objetivo de Control definido sólo satisface con una menor extensión o indirectamente el requerimiento de información concerniente.Blanco (B) podría ser aplicable; pero sin embargo, los requerimientos se satisfacen más apropiadamente por otro criterio en este proceso y/o por otro proceso.

Para la clasificación seleccionada es que hay en esencia, tres niveles de esfuerzos de Tecnología Informática cuando se considera la administración de los recursos de Tecnología Informática.

COBIT. NIVELES

COBIT se divide en tres niveles: Dominios: Agrupación natural de procesos, normalmente corresponden a un dominio o una responsabilidad organizacional. Procesos: Conjuntos o series de actividades unidas con

delimitación o cortes de control. Actividades: Acciones requeridas para lograr un resultado

medidle.

Se definen 34 objetivos de control generales, uno para cada uno de los procesos de las TI. Estos procesos están agrupados en cuatro grandes dominios que se detallan a continuación junto con sus procesos y una descripción general de las actividades de cada uno:

Dominios

Planeamiento y Organización: Este Dominio cubre la estrategia y las tácticas y le concierne la identificación de la forma en que la tecnología informática puede contribuir mejor al logro de los objetivos del negocio. Adquisición e Implementación: Para comprender la estrategia de Tecnología Informática, las soluciones de Tecnología Informática necesitan ser identificadas, desarrolladas o adquiridas así como implementadas e integradas en el proceso del negocio. Además, se cubren en este Dominio los cambios en y el mantenimiento de los sistemas existentes.

Dominios

Entrega y Soporte: A este Dominio le concierne la entrega real de los servicios requeridos, que cubre desde las operaciones tradicionales sobre aspectos de seguridad y continuidad hasta el entrenamiento. Para brindar servicios deben instalarse los procesos de soporte necesarios. Este Dominio incluye el procesamiento real de los datos por los sistemas de aplicación, a menudo clasificados como controles de las aplicaciones.

Monitoreo: Todos los procesos de Tecnología Informática necesitan ser evaluados regularmente en el tiempo en su calidad y cumplimiento con los requerimientos de control.

Dominios, Procesos, Actividades

Dominio: Planificación y Organización PO1 Definición de un plan EstratégicoPO2 Definición de la Arquitectura de InformaciónPO3 Determinación de la dirección tecnológicaPO4 Definición de la organización y de las relaciones de TIPO5 Manejo de la inversiónPO6 Comunicación de la dirección y aspiraciones de la gerenciaPO7 Administración de recursos humanosPO8 Asegurar el cumplimiento con los requerimientos ExternosPO9 Evaluación de riesgosPO10 Administración de proyectosPO11 Administración de calidad

Dominios, Procesos, Actividades

Dominio: Adquisición e implementación

AI1 Identificación de Soluciones AutomatizadasAI2 Adquisición y mantenimiento del software aplicativoAI3 Adquisición y mantenimiento de la infraestructura tecnológica AI4 Desarrollo y mantenimiento de procedimientosAI5 Instalación y aceptación de los sistemasAI6 Administración de los cambios

ESTRUCTURA DE COBIT INCORPORACIÓN INTRANET DOMINIO PRO-

CESO DENOMINACIÓN PROCESO Plani

fi-cació

n

Adqui-sición

Manteni-miento

Seguirdad

Servi-cios

Planeación PO1 Definir un plan estratégico de sistema

P

y PO2 Definir la arquitectura de información

P P

Organiza- PO3 Determinar la dirección tecnológica

S P

ción PO4 Definir la organización y sus relaciones

S P

PO5 Administrar las inversiones (en TI) P P P S

PO6 Comunicar la dirección y objetivos de la gerencia

S P P

PO7 Administrar los recursos humanos P S P PO8 Asegurar el apego a disposiciones

externas P P P P

PO9 Evaluar riesgo S P P P PO10 Administrar proyecto S P P PO11 Administrar calidad S P P P

ESTRUCTURA DE COBIT INCORPORACIÓN INTRANET DOMINIO PRO-

CESO DENOMINACIÓN PROCESO Plani

fi-cació

n

Adqui-sición

Manteni-miento

Seguirdad

Servi-cios

Adquisición e

AI1 Identificar soluciones de automatización

P P

Implemen- AI2 Adquirir y mantener software de aplicación

P P S S

tación AI3 Adquirir y mantener la arquitectura tecnológica

P P S S

AI4 Desarrollar y mantener procedimiento

P P S S

AI5 Instalar y acreditar sistemas de información

P P

AI6 Administrar cambio P P S S

ESTRUCTURA DE COBIT INCORPORACIÓN INTRANET DOMINIO PRO-

CESO DENOMINACIÓN PROCESO Plani

fi-cació

n

Adqui-sición

Manteni-miento

Seguirdad

Servi-cios

Entrega de DS1 Definir niveles de servicio P

servicios y DS2 Administrar servicios de tercero

Soporte DS3 Administrar desempeño y capacidad

DS4 Asegurar continuidad de servicio

P P P

DS5 Garantizar la seguridad de sistema

P

DS6 Identificar y asignar costo P

DS7 Educar y capacitar a usuario P P S

DS8 Apoyar y orientar a clientes S

DS9 Administrar la configuración P P

DS10 Administrar problemas e incidente

P P P

DS11 Administrar la información S P P

DS12 Administrar las instalaciones P

DS13 Administrar la operación P P

ESTRUCTURA DE COBIT INCORPORACIÓN INTRANET DOMINIO PRO-

CESO DENOMINACIÓN PROCESO Plani

fi-cación

Adqui-sición

Manteni-miento

Seguirdad

Servi-cios

Monitoreo M1 Monitorear el proceso P

M2 Evaluar lo adecuado del control interno

P S S P P

M3 Obtener aseguramiento independiente

P P P

M4 Proporcionar auditoría independiente

S S P P P

http://www.seis.es/inforsalud2001/intro.htm#OBJETIVO

http://www.adacsi.org.ar/estaaudi1.htm - Introdución