M. Sc. Miguel Cotaña Mier Lp, octubre 2015

GABINETE DE AUDITORIA DE

SISTEMAS

UNIVERSIDAD MAYOR DE SAN ANDRES

FACULTAD DE CIENCIAS ECONÓMICAS Y FINANCIERAS

CARRERA DE CONTADURÍA PÚBLICA

1

un largo camino ……..…….

2

ISACA® (Asociación de Auditoria y Control aSistemas de Información) ayuda a losprofesionales globales a liderar, adaptar yasegurar la confianza en un mundo digital enevolución ofreciendo conocimiento, estándares,relaciones, acreditación y desarrollo de carrerainnovadores y de primera clase.Establecida en 1969, ISACA es una asociaciónglobal sin ánimo de lucro de 140 000profesionales en 180 países.

ISACA

3

ISACA también ofrece Cybersecurity Nexus TM(CSX), un recurso integral y global enciberseguridad, y COBIT®, un marco de negociopara gobernar la tecnología de la empresa.ISACA adicionalmente promueve el avance ycertificación de habilidades y conocimientoscríticos para el negocio: Certified Information Systems Auditor® (CISA®); Certified Information Security Manager® (CISM®); Certified in the Governance of Enterprise

IT® (CGEIT®); Certified in Risk and Information Systems Control™

(CRISC™).

Control

OBjectives

for Information

and Related Technology

(Objetivos de Control para Tecnología de

Información y Tecnologías relacionadas)

5

COBIT, ITIL e ISO 27000 son normativas valiosaspara el crecimiento y éxito de una organización: Los directivos empresariales y los consejos de

administración exigen mejores beneficios de lasinversiones en TI;

Las mejores prácticas ayudan a cumplir losrequisitos reglamentarios de los controles delas TI en áreas como la confidencialidad y lapreparación de informes financieros;

Las organizaciones se enfrentan a riesgosrelacionados con las TI, tales como laseguridad;

6

Las mejores prácticas ayudan a lasorganizaciones a evaluar su rendimiento encomparación con normas aceptadasgeneralmente y por sus compañeros;

Utilizando COBIT como un marco de controlgeneral para la gestión de las TI, e ITIL e ISO27000 proporcionan procesos normalizadospormenorizados;

Los 34 procesos de TI de COBIT y los objetivosde control de alto nivel se mapean ensecciones de ITIL y de ISO 27000.

Misión: “Para investigar, desarrollar, publicar

y promover un conjunto actualizado e

internacional de objetivos de control de

Tecnología de la Información generalmente

aceptado, para su uso diario por los

administradores del negocio y los auditores”.

Information

Systems Audit

and Control

Association

(ISACATM)

Information

Systems Audit

and Control

Foundation

(ISACFTM)

Gobierno Corporativo de TI

COBIT 5

Gobierno de TI

COBIT4.0/4.1

Administración

COBIT3

Control

COBIT2

Un Marco Empresarial de ISACA, en www.isaca.org/cobit

Auditoría

COBIT1

2005/720001998

Ev

olu

ció

n d

el A

lcan

ce

1996 2012

Val IT 2.0(2008)

Risk IT(2009)

Source: COBIT® 5 Introduction Presentation © 2012 ISACA® All rights reserved

COBIT: Gobierno de TI en las empresas

9

¿Qué es Cobit?

COBIT es un marco de gobierno de las TI que proporciona

una serie de herramientas para que la gerencia pueda

conectar los requerimientos de control con los aspectos

técnicos y los riesgos del negocio;

COBIT permite el desarrollo de las políticas y buenas

prácticas para el control de las tecnologías en toda la

organización;

COBIT enfatiza el cumplimiento regulatorio, ayuda a las

organizaciones a incrementar su valor a través de las

tecnologías, y permite su alineamiento con los objetivos

del negocio;

Información disponible en: www.isaca.org/cobit

10

Compendio de mejores prácticas aceptadas

internacionalmente;

Orientado al gerenciamiento de las tecnologías;

Complementado con herramientas y capacitación;

Gratuito;

Respaldado por una comunidad de expertos;

En evolución permanente;

Mantenido por una organización sin fines de lucro, con

reconocimiento internacional;

Mapeado con otros estándares;

Orientado a Procesos, sobre la base de Dominios de

Responsabilidad.

11

Para cada uno de los 34 procesos, se definen…

12

Productos de la familia COBIT

13

Cobit, brinda buenas práctica a travésde un marco de trabajo de dominios yprocesos, y presenta las actividadesen una estructura manejable y lógica.

Las buenas prácticas de Cobitrepresentan el consenso de losexpertos. Están enfocadosfuertemente en el control y menos enla ejecución

14

IT Governance. Es un términoque representa el sistema queestablece la alta gerencia paraasegurar el logro de losobjetivos de una organización.

Gobierno de TI

15

TI está alineado con el negocio

TI capacita el negocio y maximizalos beneficios

Los recursos de TI se usen demanera responsable

Los riesgos de TI se administrenapropiadamente

Cobit como soporte

Gobierno

de TI

Administración

de Recursos

Alineamiento estratégico: Suenfoque está dirigido a la relaciónentre el Negocio y el Plan de TI; a lapropuesta de valor que debe entregarsu definición, a la mantención yvalidación.

Valor Agregado: Es el ciclo quepermite asegurar la entrega del valorpropuesto, asegurando que la TIproporcionará los beneficiosprometidos en la estrategia

Administración de Recursos: Setrata de invertir en forma óptima yapropiada, la administración de losrecursos críticos en TI: Aplicaciones,Información, Infraestructura y lasPersonas.

Áreas de enfoque Gobierno de TI

Gobierno

de TI

Administración

de Recursos

Administración del Riesgo: Eladministrador debe tenerconciencia del riesgo empresarial,un claro entendimiento del apetitode la empresa por el riesgo,transparencia sobre el significadode los riesgos empresariales, y quedebe incorporar la responsabilidadde los riesgos empresariales en laadministración de la organización.

Medición de Resultados: rastreay monitorea la estrategia deimplementación, la terminación delproyecto, el uso de los recursos.

Áreas de enfoque del Gobierno de TI

19

Productos

Los productos se han organizado entres niveles (figura 3) diseñados paradar soporte a:

–Administración y consejosejecutivos

–Administración del negocio y de TI

–Profesionales en gobierno,aseguramiento, control yseguridad

22

Cobit, permite el desarrollo depolíticas claras y de buenas prácticaspara el control de TI a través de lasorganizaciones.

Cobit, es un integrador de lasmejores prácticas de TI y el marco dereferencia general para el gobierno deTI que ayuda a comprender yadministrar los riesgos.

23

El marco de referencia COBITFusiona las

expectativascon las

responsabilidadesde la dirección de TI

La necesidad de control de TI* Directivos* Usuarios* Auditores

Un marco de control para el Gobierno TI definelas razones de por qué se necesita el Gobierno deTI, los interesados y que se necesita cumplir en elgobierno de TI.

NECESIDAD DE MARCO DE REFERENCIA

24

Los usuarios necesitan COBIT

para

Obtener confianza sobre la

seguridad y controles de productos

y servicios proporcionados por

personal interno y terceros

25

Los auditores de SI necesitan COBIT

para

• Sustentar opiniones a la dirección sobre

controles internos

• Contestar a la pregunta:

¿Qué mínimos controles son

necesarios?

26

Marco de control

Se basa en el principio deproporcionar la información que laempresa requiere para lograr susobjetivos, la empresa necesitaadministrar y controlar los recursosde TI, usando un conjuntoestructurado de procesos queofrezcan los servicios requeridos deinformación.

27

Por qué: La alta gerencia se dacuenta del impacto significativo que lainformación puede tener en el éxitode una empresa:

Garantizar el logro de objetivos?

Administrar los riesgos?

Crear relaciones y comunicacionesconstructivas?

Identificar los recursos?.

28

Quién: Un marco de control requieredar respuestas en muchos niveles:

Interesados dentro de la empresaque tengan un interés en generarvalor de las inversiones en TI;

Interesados que proporcionanservicios de TI;

Interesados con responsabilidadesde control/riesgo.

29

Qué: debe satisfacer:

Alineación entre los objetivos de negocio yde TI;

Proporcionar un lenguaje común;

Orientación a procesos para definir elalcance y el grado de cobertura;

Consistente con las mejores prácticas yestándares de TI aceptados.

30

REQUERIMIENTOS

DE NEGOCIO

INFORMACION DE

LA EMPRESA

?PROCESOS DE TI

Principio básico de Cobit

RECURSOS DE TICOBIT

Que responde a

Maneja la investigación en

Que es utilizado por

Para entregar

34

Controles

Los procesos requieren controles.

Control se define como las políticas,

procedimientos, prácticas y estructuras

organizacionales diseñadas para brindar una

seguridad razonable que los objetivos del negocio

se alcanzarán, y los eventos no deseados serán

prevenidos o detectados y corregidos.

35

Objetivo de Control

Es una declaración del resultado o fin

que se desea lograr al implantar

procedimientos de control en una

actividad de TI en particular.

Los objetivos de control de Cobit son los

requerimientos mínimos para un control

efectivo de cada proceso de TI.

37

IMCM

Una necesidad básica de toda empresa

es entender el estado de sus propios

sistemas de TI y decidir qué nivel de

administración y control debe

proporcionar la empresa.

Qué se debe medir y cómo?

38

Una organización debe crear un modelo

de proceso que se ajuste a las

directrices establecidas por la

integración del modelo de capacidad de

madurez (IMCM)

43

Las metas se definen de arriba hacia

abajo con base en las metas de negocio

que determinarán el número de metas

que soportará TI, las metas de TI

decidirán las diferentes necesidades de

las metas de proceso, y cada meta,

establecerá las metas de las

actividades.

44

Procesos de TIC - Los Tres Niveles

DominiosAgrupación Natural de procesos,

normalmente corresponden a un

dominio o una responsabilidad

organizacional

Procesos

Conjuntos o series de actividades

unidas con delimitación o cortes de

control.

Actividades

o tareasAcciones requeridas para lograr un

resultado medible. Las Actividades

Tienen un ciclo de vida mientras

que las tareas son discretas.

45

El marco de trabajo se creó para

satisfacer las necesidades de

gobernabilidad de TI. Está orientado a:

Negocios

Procesos

Basado en controles

Impulsado por mediciones

46

Orientado al negocio

Está diseñado para ser utilizado no solo

por proveedores de servicios, usuarios y

auditores de TI, sino también y

principalmente, como guía integral para

la gerencia y para los propietarios de los

procesos de negocio.

47

Procesos orientados

Cobit define las actividades de TI en un

modelo genérico de procesos en 4

dominios:

Planear y Organizar

Adquirir e Implementar

Entregar y dar Soporte

Monitorear y Evaluar

48

Planear y Organizar (PO)

Cubre las estrategias y las tácticas, y

tiene que ver con identificar la manera

en que TI pueda contribuir de la mejor

manera al logro de los objetivos del

negocio.

¿Están alineadas las estrategias de

TI y del negocio?

49

¿La empresa está alcanzando un uso

óptimo de los recursos?

¿Entienden todas las personas, los

objetivos de TI?

¿Se entienden y administran los riesgos

de TI?

¿Es apropiada la calidad de los

sistemas de TI para las necesidades

del negocio?

50

Adquirir e Implementar (AI)

Las soluciones de TI necesitan ser

identificadas, desarrolladas o adquiridas

así como la implementación e

integración en los procesos.

¿Los nuevos proyectos generan

soluciones que satisfagan las

necesidades del negocio?

51

¿Los nuevos proyectos son

entregados a tiempo y dentro del

presupuesto?

¿Trabajarán adecuadamente los

nuevos sistemas una vez sean

implementados?

¿Los cambios afectarán las

operaciones actuales del negocio?

52

Entregar y dar Soporte (DS)

Cubre la entrega en sí de los servicios

requeridos, lo que incluye la prestación

del servicio, la administración de la

seguridad y de la continuidad, el soporte

del servicio a los usuarios, la

administración de los datos.

¿Se están entregando los servicios

de TI de acuerdo a prioridades?

53

¿Están optimizados los costos de TI?

¿Es capaz la fuerza de trabajo de

utilizar los sistemas de TI de manera

productiva y segura?

¿Están implantadas de forma

adecuada la confidencialidad, la

integridad y la disponibilidad?

54

Monitorear y Evaluar (ME)

Todos los procesos de TI deben evaluarse de

forma regular en el tiempo en cuanto a su calidad

y cumplimiento de los requerimientos de control.

Abarca la administración del desempeño, el

monitoreo del control interno, cumplimiento

regulatorio.

¿Se mide el desempeño de TI para

detectar los problemas antes de que

sea demasiado tarde?

55

¿La gerencia garantiza que los controles

internos son efectivos y eficientes?

¿Puede vincularse el desempeño de lo

que TI ha realizado con las metas del

negocio?

¿Se miden y reportan los riesgos, el

control, el cumplimiento y el

desempeño?

56

Modelo de Marco de Trabajo

Relaciona los requerimientos de

información y de gobierno a los

objetivos de la función de servicio de TI.

El modelo de procesos Cobit permite

que las actividades de TI y los recursos

que los soportan sean administrados y

controlados basados en los objetivos de

control.

57

58

Los recursos de TI son manejados

por procesos de TI para lograr las

metas de TI que respondan a los

requerimientos del negocio.

Este es el principio básico del marco

de trabajo Cobit

59RECURSOS D

E T

I

PR

OC

ES

OS

D

E T

I

REQUERIMIENTOS DE

NEGOCIO

DOMINIOS

PROCESOS

ACTIVIDADESA

PL

IC

AC

IO

NE

S

IN

FO

RM

AC

IO

N

IN

FR

AE

ST

RU

CT

UR

A

PE

RS

ON

AS

Efic

acia

Efic

iencia

Confid

encia

lid

ad

Integrid

ad

Dis

ponib

ilid

ad

Conform

idad

Segurid

ad

Figura 15 – El Cubo Cobit

RECURSOS D

E T

I

PR

OC

ES

OS

D

E T

I

REQUERIMIENTOS DE

NEGOCIO

DOMINIOS

PROCESOS

ACTIVIDADESA

PL

IC

AC

IO

NE

S

IN

FO

RM

AC

IO

N

IN

FR

AE

ST

RU

CT

UR

A

PE

RS

ON

AS

Efic

acia

Efic

iencia

Confid

encia

lid

ad

Integrid

ad

Dis

ponib

ilid

ad

Conform

idad

Segurid

ad

Figura 15 – El Cubo Cobit

60

En detalle, el marco de trabajo general Cobit se

muestra en el siguiente gráfico, con el modelo

de procesos de Cobit compuesto de 4 dominios

que contienen 34 procesos genéricos,

administrando los recursos de TI para

proporcionar información al negocio de

acuerdo con los requerimientos del negocio y

del gobierno.

61

Recursos de TIAplicaciones

Información,

Infraestructura,Personas

Req. InformaciónEfectividad, Eficiencia,

Confidencialidad, Integridad, Disponibilidad,

Cumplimiento, Confiabilidad

CobiT

Objetivos del Negocio

Planear y Organizar

PO1 Definir un plan estratégico de TI

PO2 Definir la arquitectura de información

PO3 Determinar la dirección tecnológica

PO4 Definir procesos, organización y relac.

PO5 Administrar la inversión en TI

PO6 Comunicar aspiraciones y la direc.ger.

PO7 Administración del Recurso Humano

PO8 Administrar calidad

PO9 Evaluar y administrar Riesgos

PO10 Administración de Proyectos

Adquirir eImplantar

AI1 Identificar soluciones automatizadas

AI2 Adquirir y mantener el Sw aplicativo

AI3 Adquirir y mantener la infraestructura

tecnológica

AI4 Facilitar la operación y el uso

AI5 Adquirir recursos de TI

AI6 Administrar cambios

AI7 Instalar y acreditar soluciones y cambios

Monitorear

Y evaluar

ME1 Monitorear y evaluar el desempeño

ME2 Monitorear y evaluar el control

Interno

ME3 Garantizar cumplimiimiento

regulatorio

ME4 Proporcionar gobierno de TI

Servicios y Soporte

DS1 Definir y administrar niveles de servicio

DS2 Administrar servicios de terceros

DS3 Adm. Desempeño y capacidad

DS4 Garantizar la continuidad del servicio

DS5 Garantizar la seguridad de los sistemas

DS6 Identificar y asignar costos

DS7 Educar y entrenar a los usuarios

DS8 Administrar la mesa de serv. e incidentes

DS9 Administrar la configuración

DS10 Administrar los problemas

DS11 Administración de datos

DS12 Administrar el ambiente físico

DS13 Administrar las Operaciones

Objetivos del gobierno

62

• Efectividad: La información debe ser relevante y pertinente

para los procesos del negocio y debe ser proporcionada en

forma oportuna, correcta, consistente y utilizable

• Eficiencia: Se debe proveer información mediante el

empleo óptimo de los recursos (la forma más productiva y

económica)

• Confidencialidad: Protección de la información sensitiva

contra divulgación no autorizada

• Integridad: Refiere a lo exacto y completo de la información

así como a su validez de acuerdo con las expectativas de la

empresa.

Requerimientos de Información del Negocio

63

• Disponibilidad: accesibilidad a la información cuando sea

requerida por los procesos del negocio y la salvaguarda

de los recursos y capacidades asociadas a los mismos.

• Cumplimiento: de las leyes, regulaciones y compromisos

contractuales con los cuales está comprometida la

empresa.

• Confiabilidad: proveer la información apropiada para que

la administración tome las decisiones adecuadas para

manejar la empresa y cumplir con las responsabilidades

de los reportes financieros y de cumplimiento normativo.

64

Recursos de TIC

Aplicaciones: entendido como los sistemas de información,

que integran procedimientos manuales y sistematizados.

Información: Todos los objetos de información. Considera

información interna y externa, estructurada o nó, gráficas,

sonidos, etc.

Infraestructura:Incluye los recursos necesarios para alojar y

dar soporte a los sistemas de información. incluye

hardware y software básico, sistemas operativos, sistemas

de administración de bases de datos, de redes,

telecomunicaciones, multimedia, etc.

Personas: Por la habilidad, conciencia y productividad del

personal para planear, adquirir, prestar servicios, dar

soporte y monitorear los sistemas de Información.

65

Procesos de TIC - Procesos

Adquirir eImplantar

AI1 Identificar soluciones automatizadasAI2 Adquirir y mantener el Sw aplicativoAI3 Adquirir y mantener la infraestructura tecnológicaAI4 Facilitar la operación y el usoAI5 Adquirir recursos de TIAI6 Administrar cambiosAI7 Instalar y acreditar soluciones y cambios

Planear y Organizar

PO1 Definir un plan estratégico de TIPO2 Definir la arquitectura de informaciónPO3 Determinar la dirección tecnológicaPO4 Definir procesos, organización y relac.PO5 Administrar la inversión en TIPO6 Comunicar aspiraciones y la direc.ger.PO7 Administración del Recurso HumanoPO8 Administrar calidadPO9 Evaluar y administrar RiesgosPO10 Administración de Proyectos

66

Procesos de TIC - Procesos

Servicios y Soporte

DS1 Definir y administrar niveles de servicioDS2 Administrar servicios de tercerosDS3 Adm. Desempeño y capacidadDS4 Garantizar la continuidad del servicioDS5 Garantizar la seguridad de los sistemasDS6 Identificar y asignar costosDS7 Educar y entrenar a los usuariosDS8 Administrar la mesa de serv. e incidentesDS9 Administrar la configuraciónDS10 Administrar los problemasDS11 Administración de datosDS12 Administrar el ambiente físicoDS13 Administrar las Operaciones

Monitoreary Evaluar

ME1 Monitorear y evaluar el desempeñoME2 Monitorear y evaluar el control InternoME3 Garantizar cumplimimiento regulatorioME4 Proporcionar gobierno de TI

67

Nivel de aceptabilidad

Cobit se basa en el análisis y

armonización de estándares y

mejores práctica de TI

existentes y se adapta a

principios de gobierno

generalmente aceptados.

68

Está posicionado a un nivel alto,

impulsado por los requerimientos del

negocio, cubre el rango completo de

actividades de TI, y se concentra en

lo que se debe lograr en lugar de

cómo lograr un gobierno,

administración y control efectivos.

69

Funciona como un integrador de

prácticas de gobierno de TI y es de

interés para la dirección ejecutiva; para

la gerencia del negocio; para la gerencia

y gobierno de TI; para los profesionales

de aseguramiento y seguridad; así como

para los profesionales de auditoria y

control de TI.

Planear

y Organizar

Adquirir e

Implantar

Entrega y

Soporte

Monitoreo y

Evaluar

Gobierno

de TI

Administración

de Recursos

P=Primario; S=Secundario

Control sobre el Proceso de TI

Que satisface el requerimiento de negocios de TI para

Focalizándose en

Es conseguido por

Y medido por

Nombre del Proceso

Resumen de las metas de negocio más

importantes

Resumen de las metas de TI más importantes

Control claves

Indicadores claves (Métrica)

Modelo de Navegación CobiT