Post on 25-Sep-2018
M. Sc. Miguel Cotaña Mier Lp, octubre 2015
GABINETE DE AUDITORIA DE
SISTEMAS
UNIVERSIDAD MAYOR DE SAN ANDRES
FACULTAD DE CIENCIAS ECONÓMICAS Y FINANCIERAS
CARRERA DE CONTADURÍA PÚBLICA
1
un largo camino ……..…….
2
ISACA® (Asociación de Auditoria y Control aSistemas de Información) ayuda a losprofesionales globales a liderar, adaptar yasegurar la confianza en un mundo digital enevolución ofreciendo conocimiento, estándares,relaciones, acreditación y desarrollo de carrerainnovadores y de primera clase.Establecida en 1969, ISACA es una asociaciónglobal sin ánimo de lucro de 140 000profesionales en 180 países.
ISACA
3
ISACA también ofrece Cybersecurity Nexus TM(CSX), un recurso integral y global enciberseguridad, y COBIT®, un marco de negociopara gobernar la tecnología de la empresa.ISACA adicionalmente promueve el avance ycertificación de habilidades y conocimientoscríticos para el negocio: Certified Information Systems Auditor® (CISA®); Certified Information Security Manager® (CISM®); Certified in the Governance of Enterprise
IT® (CGEIT®); Certified in Risk and Information Systems Control™
(CRISC™).
Control
OBjectives
for Information
and Related Technology
(Objetivos de Control para Tecnología de
Información y Tecnologías relacionadas)
5
COBIT, ITIL e ISO 27000 son normativas valiosaspara el crecimiento y éxito de una organización: Los directivos empresariales y los consejos de
administración exigen mejores beneficios de lasinversiones en TI;
Las mejores prácticas ayudan a cumplir losrequisitos reglamentarios de los controles delas TI en áreas como la confidencialidad y lapreparación de informes financieros;
Las organizaciones se enfrentan a riesgosrelacionados con las TI, tales como laseguridad;
6
Las mejores prácticas ayudan a lasorganizaciones a evaluar su rendimiento encomparación con normas aceptadasgeneralmente y por sus compañeros;
Utilizando COBIT como un marco de controlgeneral para la gestión de las TI, e ITIL e ISO27000 proporcionan procesos normalizadospormenorizados;
Los 34 procesos de TI de COBIT y los objetivosde control de alto nivel se mapean ensecciones de ITIL y de ISO 27000.
Misión: “Para investigar, desarrollar, publicar
y promover un conjunto actualizado e
internacional de objetivos de control de
Tecnología de la Información generalmente
aceptado, para su uso diario por los
administradores del negocio y los auditores”.
Information
Systems Audit
and Control
Association
(ISACATM)
Information
Systems Audit
and Control
Foundation
(ISACFTM)
Gobierno Corporativo de TI
COBIT 5
Gobierno de TI
COBIT4.0/4.1
Administración
COBIT3
Control
COBIT2
Un Marco Empresarial de ISACA, en www.isaca.org/cobit
Auditoría
COBIT1
2005/720001998
Ev
olu
ció
n d
el A
lcan
ce
1996 2012
Val IT 2.0(2008)
Risk IT(2009)
Source: COBIT® 5 Introduction Presentation © 2012 ISACA® All rights reserved
COBIT: Gobierno de TI en las empresas
9
¿Qué es Cobit?
COBIT es un marco de gobierno de las TI que proporciona
una serie de herramientas para que la gerencia pueda
conectar los requerimientos de control con los aspectos
técnicos y los riesgos del negocio;
COBIT permite el desarrollo de las políticas y buenas
prácticas para el control de las tecnologías en toda la
organización;
COBIT enfatiza el cumplimiento regulatorio, ayuda a las
organizaciones a incrementar su valor a través de las
tecnologías, y permite su alineamiento con los objetivos
del negocio;
Información disponible en: www.isaca.org/cobit
10
Compendio de mejores prácticas aceptadas
internacionalmente;
Orientado al gerenciamiento de las tecnologías;
Complementado con herramientas y capacitación;
Gratuito;
Respaldado por una comunidad de expertos;
En evolución permanente;
Mantenido por una organización sin fines de lucro, con
reconocimiento internacional;
Mapeado con otros estándares;
Orientado a Procesos, sobre la base de Dominios de
Responsabilidad.
13
Cobit, brinda buenas práctica a travésde un marco de trabajo de dominios yprocesos, y presenta las actividadesen una estructura manejable y lógica.
Las buenas prácticas de Cobitrepresentan el consenso de losexpertos. Están enfocadosfuertemente en el control y menos enla ejecución
14
IT Governance. Es un términoque representa el sistema queestablece la alta gerencia paraasegurar el logro de losobjetivos de una organización.
Gobierno de TI
15
TI está alineado con el negocio
TI capacita el negocio y maximizalos beneficios
Los recursos de TI se usen demanera responsable
Los riesgos de TI se administrenapropiadamente
Cobit como soporte
Gobierno
de TI
Administración
de Recursos
Alineamiento estratégico: Suenfoque está dirigido a la relaciónentre el Negocio y el Plan de TI; a lapropuesta de valor que debe entregarsu definición, a la mantención yvalidación.
Valor Agregado: Es el ciclo quepermite asegurar la entrega del valorpropuesto, asegurando que la TIproporcionará los beneficiosprometidos en la estrategia
Administración de Recursos: Setrata de invertir en forma óptima yapropiada, la administración de losrecursos críticos en TI: Aplicaciones,Información, Infraestructura y lasPersonas.
Áreas de enfoque Gobierno de TI
Gobierno
de TI
Administración
de Recursos
Administración del Riesgo: Eladministrador debe tenerconciencia del riesgo empresarial,un claro entendimiento del apetitode la empresa por el riesgo,transparencia sobre el significadode los riesgos empresariales, y quedebe incorporar la responsabilidadde los riesgos empresariales en laadministración de la organización.
Medición de Resultados: rastreay monitorea la estrategia deimplementación, la terminación delproyecto, el uso de los recursos.
Áreas de enfoque del Gobierno de TI
19
Productos
Los productos se han organizado entres niveles (figura 3) diseñados paradar soporte a:
–Administración y consejosejecutivos
–Administración del negocio y de TI
–Profesionales en gobierno,aseguramiento, control yseguridad
22
Cobit, permite el desarrollo depolíticas claras y de buenas prácticaspara el control de TI a través de lasorganizaciones.
Cobit, es un integrador de lasmejores prácticas de TI y el marco dereferencia general para el gobierno deTI que ayuda a comprender yadministrar los riesgos.
23
El marco de referencia COBITFusiona las
expectativascon las
responsabilidadesde la dirección de TI
La necesidad de control de TI* Directivos* Usuarios* Auditores
Un marco de control para el Gobierno TI definelas razones de por qué se necesita el Gobierno deTI, los interesados y que se necesita cumplir en elgobierno de TI.
NECESIDAD DE MARCO DE REFERENCIA
24
Los usuarios necesitan COBIT
para
Obtener confianza sobre la
seguridad y controles de productos
y servicios proporcionados por
personal interno y terceros
25
Los auditores de SI necesitan COBIT
para
• Sustentar opiniones a la dirección sobre
controles internos
• Contestar a la pregunta:
¿Qué mínimos controles son
necesarios?
26
Marco de control
Se basa en el principio deproporcionar la información que laempresa requiere para lograr susobjetivos, la empresa necesitaadministrar y controlar los recursosde TI, usando un conjuntoestructurado de procesos queofrezcan los servicios requeridos deinformación.
27
Por qué: La alta gerencia se dacuenta del impacto significativo que lainformación puede tener en el éxitode una empresa:
Garantizar el logro de objetivos?
Administrar los riesgos?
Crear relaciones y comunicacionesconstructivas?
Identificar los recursos?.
28
Quién: Un marco de control requieredar respuestas en muchos niveles:
Interesados dentro de la empresaque tengan un interés en generarvalor de las inversiones en TI;
Interesados que proporcionanservicios de TI;
Interesados con responsabilidadesde control/riesgo.
29
Qué: debe satisfacer:
Alineación entre los objetivos de negocio yde TI;
Proporcionar un lenguaje común;
Orientación a procesos para definir elalcance y el grado de cobertura;
Consistente con las mejores prácticas yestándares de TI aceptados.
30
REQUERIMIENTOS
DE NEGOCIO
INFORMACION DE
LA EMPRESA
?PROCESOS DE TI
Principio básico de Cobit
RECURSOS DE TICOBIT
Que responde a
Maneja la investigación en
Que es utilizado por
Para entregar
34
Controles
Los procesos requieren controles.
Control se define como las políticas,
procedimientos, prácticas y estructuras
organizacionales diseñadas para brindar una
seguridad razonable que los objetivos del negocio
se alcanzarán, y los eventos no deseados serán
prevenidos o detectados y corregidos.
35
Objetivo de Control
Es una declaración del resultado o fin
que se desea lograr al implantar
procedimientos de control en una
actividad de TI en particular.
Los objetivos de control de Cobit son los
requerimientos mínimos para un control
efectivo de cada proceso de TI.
37
IMCM
Una necesidad básica de toda empresa
es entender el estado de sus propios
sistemas de TI y decidir qué nivel de
administración y control debe
proporcionar la empresa.
Qué se debe medir y cómo?
38
Una organización debe crear un modelo
de proceso que se ajuste a las
directrices establecidas por la
integración del modelo de capacidad de
madurez (IMCM)
43
Las metas se definen de arriba hacia
abajo con base en las metas de negocio
que determinarán el número de metas
que soportará TI, las metas de TI
decidirán las diferentes necesidades de
las metas de proceso, y cada meta,
establecerá las metas de las
actividades.
44
Procesos de TIC - Los Tres Niveles
DominiosAgrupación Natural de procesos,
normalmente corresponden a un
dominio o una responsabilidad
organizacional
Procesos
Conjuntos o series de actividades
unidas con delimitación o cortes de
control.
Actividades
o tareasAcciones requeridas para lograr un
resultado medible. Las Actividades
Tienen un ciclo de vida mientras
que las tareas son discretas.
45
El marco de trabajo se creó para
satisfacer las necesidades de
gobernabilidad de TI. Está orientado a:
Negocios
Procesos
Basado en controles
Impulsado por mediciones
46
Orientado al negocio
Está diseñado para ser utilizado no solo
por proveedores de servicios, usuarios y
auditores de TI, sino también y
principalmente, como guía integral para
la gerencia y para los propietarios de los
procesos de negocio.
47
Procesos orientados
Cobit define las actividades de TI en un
modelo genérico de procesos en 4
dominios:
Planear y Organizar
Adquirir e Implementar
Entregar y dar Soporte
Monitorear y Evaluar
48
Planear y Organizar (PO)
Cubre las estrategias y las tácticas, y
tiene que ver con identificar la manera
en que TI pueda contribuir de la mejor
manera al logro de los objetivos del
negocio.
¿Están alineadas las estrategias de
TI y del negocio?
49
¿La empresa está alcanzando un uso
óptimo de los recursos?
¿Entienden todas las personas, los
objetivos de TI?
¿Se entienden y administran los riesgos
de TI?
¿Es apropiada la calidad de los
sistemas de TI para las necesidades
del negocio?
50
Adquirir e Implementar (AI)
Las soluciones de TI necesitan ser
identificadas, desarrolladas o adquiridas
así como la implementación e
integración en los procesos.
¿Los nuevos proyectos generan
soluciones que satisfagan las
necesidades del negocio?
51
¿Los nuevos proyectos son
entregados a tiempo y dentro del
presupuesto?
¿Trabajarán adecuadamente los
nuevos sistemas una vez sean
implementados?
¿Los cambios afectarán las
operaciones actuales del negocio?
52
Entregar y dar Soporte (DS)
Cubre la entrega en sí de los servicios
requeridos, lo que incluye la prestación
del servicio, la administración de la
seguridad y de la continuidad, el soporte
del servicio a los usuarios, la
administración de los datos.
¿Se están entregando los servicios
de TI de acuerdo a prioridades?
53
¿Están optimizados los costos de TI?
¿Es capaz la fuerza de trabajo de
utilizar los sistemas de TI de manera
productiva y segura?
¿Están implantadas de forma
adecuada la confidencialidad, la
integridad y la disponibilidad?
54
Monitorear y Evaluar (ME)
Todos los procesos de TI deben evaluarse de
forma regular en el tiempo en cuanto a su calidad
y cumplimiento de los requerimientos de control.
Abarca la administración del desempeño, el
monitoreo del control interno, cumplimiento
regulatorio.
¿Se mide el desempeño de TI para
detectar los problemas antes de que
sea demasiado tarde?
55
¿La gerencia garantiza que los controles
internos son efectivos y eficientes?
¿Puede vincularse el desempeño de lo
que TI ha realizado con las metas del
negocio?
¿Se miden y reportan los riesgos, el
control, el cumplimiento y el
desempeño?
56
Modelo de Marco de Trabajo
Relaciona los requerimientos de
información y de gobierno a los
objetivos de la función de servicio de TI.
El modelo de procesos Cobit permite
que las actividades de TI y los recursos
que los soportan sean administrados y
controlados basados en los objetivos de
control.
58
Los recursos de TI son manejados
por procesos de TI para lograr las
metas de TI que respondan a los
requerimientos del negocio.
Este es el principio básico del marco
de trabajo Cobit
59RECURSOS D
E T
I
PR
OC
ES
OS
D
E T
I
REQUERIMIENTOS DE
NEGOCIO
DOMINIOS
PROCESOS
ACTIVIDADESA
PL
IC
AC
IO
NE
S
IN
FO
RM
AC
IO
N
IN
FR
AE
ST
RU
CT
UR
A
PE
RS
ON
AS
Efic
acia
Efic
iencia
Confid
encia
lid
ad
Integrid
ad
Dis
ponib
ilid
ad
Conform
idad
Segurid
ad
Figura 15 – El Cubo Cobit
RECURSOS D
E T
I
PR
OC
ES
OS
D
E T
I
REQUERIMIENTOS DE
NEGOCIO
DOMINIOS
PROCESOS
ACTIVIDADESA
PL
IC
AC
IO
NE
S
IN
FO
RM
AC
IO
N
IN
FR
AE
ST
RU
CT
UR
A
PE
RS
ON
AS
Efic
acia
Efic
iencia
Confid
encia
lid
ad
Integrid
ad
Dis
ponib
ilid
ad
Conform
idad
Segurid
ad
Figura 15 – El Cubo Cobit
60
En detalle, el marco de trabajo general Cobit se
muestra en el siguiente gráfico, con el modelo
de procesos de Cobit compuesto de 4 dominios
que contienen 34 procesos genéricos,
administrando los recursos de TI para
proporcionar información al negocio de
acuerdo con los requerimientos del negocio y
del gobierno.
61
Recursos de TIAplicaciones
Información,
Infraestructura,Personas
Req. InformaciónEfectividad, Eficiencia,
Confidencialidad, Integridad, Disponibilidad,
Cumplimiento, Confiabilidad
CobiT
Objetivos del Negocio
Planear y Organizar
PO1 Definir un plan estratégico de TI
PO2 Definir la arquitectura de información
PO3 Determinar la dirección tecnológica
PO4 Definir procesos, organización y relac.
PO5 Administrar la inversión en TI
PO6 Comunicar aspiraciones y la direc.ger.
PO7 Administración del Recurso Humano
PO8 Administrar calidad
PO9 Evaluar y administrar Riesgos
PO10 Administración de Proyectos
Adquirir eImplantar
AI1 Identificar soluciones automatizadas
AI2 Adquirir y mantener el Sw aplicativo
AI3 Adquirir y mantener la infraestructura
tecnológica
AI4 Facilitar la operación y el uso
AI5 Adquirir recursos de TI
AI6 Administrar cambios
AI7 Instalar y acreditar soluciones y cambios
Monitorear
Y evaluar
ME1 Monitorear y evaluar el desempeño
ME2 Monitorear y evaluar el control
Interno
ME3 Garantizar cumplimiimiento
regulatorio
ME4 Proporcionar gobierno de TI
Servicios y Soporte
DS1 Definir y administrar niveles de servicio
DS2 Administrar servicios de terceros
DS3 Adm. Desempeño y capacidad
DS4 Garantizar la continuidad del servicio
DS5 Garantizar la seguridad de los sistemas
DS6 Identificar y asignar costos
DS7 Educar y entrenar a los usuarios
DS8 Administrar la mesa de serv. e incidentes
DS9 Administrar la configuración
DS10 Administrar los problemas
DS11 Administración de datos
DS12 Administrar el ambiente físico
DS13 Administrar las Operaciones
Objetivos del gobierno
62
• Efectividad: La información debe ser relevante y pertinente
para los procesos del negocio y debe ser proporcionada en
forma oportuna, correcta, consistente y utilizable
• Eficiencia: Se debe proveer información mediante el
empleo óptimo de los recursos (la forma más productiva y
económica)
• Confidencialidad: Protección de la información sensitiva
contra divulgación no autorizada
• Integridad: Refiere a lo exacto y completo de la información
así como a su validez de acuerdo con las expectativas de la
empresa.
Requerimientos de Información del Negocio
63
• Disponibilidad: accesibilidad a la información cuando sea
requerida por los procesos del negocio y la salvaguarda
de los recursos y capacidades asociadas a los mismos.
• Cumplimiento: de las leyes, regulaciones y compromisos
contractuales con los cuales está comprometida la
empresa.
• Confiabilidad: proveer la información apropiada para que
la administración tome las decisiones adecuadas para
manejar la empresa y cumplir con las responsabilidades
de los reportes financieros y de cumplimiento normativo.
64
Recursos de TIC
Aplicaciones: entendido como los sistemas de información,
que integran procedimientos manuales y sistematizados.
Información: Todos los objetos de información. Considera
información interna y externa, estructurada o nó, gráficas,
sonidos, etc.
Infraestructura:Incluye los recursos necesarios para alojar y
dar soporte a los sistemas de información. incluye
hardware y software básico, sistemas operativos, sistemas
de administración de bases de datos, de redes,
telecomunicaciones, multimedia, etc.
Personas: Por la habilidad, conciencia y productividad del
personal para planear, adquirir, prestar servicios, dar
soporte y monitorear los sistemas de Información.
65
Procesos de TIC - Procesos
Adquirir eImplantar
AI1 Identificar soluciones automatizadasAI2 Adquirir y mantener el Sw aplicativoAI3 Adquirir y mantener la infraestructura tecnológicaAI4 Facilitar la operación y el usoAI5 Adquirir recursos de TIAI6 Administrar cambiosAI7 Instalar y acreditar soluciones y cambios
Planear y Organizar
PO1 Definir un plan estratégico de TIPO2 Definir la arquitectura de informaciónPO3 Determinar la dirección tecnológicaPO4 Definir procesos, organización y relac.PO5 Administrar la inversión en TIPO6 Comunicar aspiraciones y la direc.ger.PO7 Administración del Recurso HumanoPO8 Administrar calidadPO9 Evaluar y administrar RiesgosPO10 Administración de Proyectos
66
Procesos de TIC - Procesos
Servicios y Soporte
DS1 Definir y administrar niveles de servicioDS2 Administrar servicios de tercerosDS3 Adm. Desempeño y capacidadDS4 Garantizar la continuidad del servicioDS5 Garantizar la seguridad de los sistemasDS6 Identificar y asignar costosDS7 Educar y entrenar a los usuariosDS8 Administrar la mesa de serv. e incidentesDS9 Administrar la configuraciónDS10 Administrar los problemasDS11 Administración de datosDS12 Administrar el ambiente físicoDS13 Administrar las Operaciones
Monitoreary Evaluar
ME1 Monitorear y evaluar el desempeñoME2 Monitorear y evaluar el control InternoME3 Garantizar cumplimimiento regulatorioME4 Proporcionar gobierno de TI
67
Nivel de aceptabilidad
Cobit se basa en el análisis y
armonización de estándares y
mejores práctica de TI
existentes y se adapta a
principios de gobierno
generalmente aceptados.
68
Está posicionado a un nivel alto,
impulsado por los requerimientos del
negocio, cubre el rango completo de
actividades de TI, y se concentra en
lo que se debe lograr en lugar de
cómo lograr un gobierno,
administración y control efectivos.
69
Funciona como un integrador de
prácticas de gobierno de TI y es de
interés para la dirección ejecutiva; para
la gerencia del negocio; para la gerencia
y gobierno de TI; para los profesionales
de aseguramiento y seguridad; así como
para los profesionales de auditoria y
control de TI.
Planear
y Organizar
Adquirir e
Implantar
Entrega y
Soporte
Monitoreo y
Evaluar
Gobierno
de TI
Administración
de Recursos
P=Primario; S=Secundario
Control sobre el Proceso de TI
Que satisface el requerimiento de negocios de TI para
Focalizándose en
Es conseguido por
Y medido por
Nombre del Proceso
Resumen de las metas de negocio más
importantes
Resumen de las metas de TI más importantes
Control claves
Indicadores claves (Métrica)
Modelo de Navegación CobiT