Vous êtes sur la page 1sur 92

Universidad Autnoma de Santo Domingo, UASD

Centro Nagua
Maestra en Auditoria y Seguridad Informtica
simplificacin en TI
consul t or a
vent as
cont r at aci n
de per sonal

CURSO
Taller de Aplicaciones Electrnicas y Bases de Datos
FACILITADOR
Miguel Antonio Daz, Ingeniero en Sistemas, MBA, Dr.C.
PREPARADO POR
Lic. Alex Rafael Polanco Bobadilla
Licda. Alcelis E. Ozoria Gelabert
31 de Mayo de 2012
Nagua, PMTS 33000, Repblica Dominicana
Contenido

Gua y Programa de Auditoria de Desarrollo de Sistemas y Gestin de Proyectos ................................. 12
INTRODUCCIN ................................................................................................................................... 12
Impacto en el negocio y el riesgo ......................................................................................................... 14
Objetivos y alcance .............................................................................................................................. 15
IMPORTANCIA DE LA AUDITORA AL CVDS ............................................................................ 16
Cul es la realidad de los proyectos TI? ............................................................................................. 16
Por qu los Proyectos fallan? .............................................................................................................. 16
Etapas del Ciclo de Vida del Desarrollo de Sistemas ........................................................................... 18
El Programa .............................................................................................................................................. 18
Marco de Control ................................................................................................................................. 18
El Gobierno de TI Riesgo y Control .................................................................................................... 19
Responsabilidades de Auditora de TI y los Profesionales de Aseguramiento .................................... 19
Uso de este documento ......................................................................................................................... 19
Pasos del Programa .............................................................................................................................. 19
Componentes COSO ............................................................................................................................ 21
Anlisis de Madurez de los controles ....................................................................................................... 23
Marco De Aseguramiento Y Control ....................................................................................................... 25
Marco de Aseguramiento y Normas de TI de ISACA ......................................................................... 25
Marco de Controles de ISACA ............................................................................................................ 25
Habilidades Mnimas de auditora ........................................................................................................ 27
Programa de Auditoria de Desarrollo de Sistemas y Gestin de Proyectos ............................................. 28
1 . Planificacin y alcance de la auditora ................................................................................................ 28
Ideas / Descripcin de subprocesos ...................................................................................................... 28
Definir los objetivos de la auditoria. .............................................................................................. 28 1.1
1.1.1 Revisar los objetivos de la auditoria para iniciar el programa de auditoria. ............................ 28
1.1.2 Modificar los objetivos de la auditoria para alinearlo con la auditoria general, el plan anual de
auditoria o la carta de la gerencia. .................................................................................................... 28
Definir los lmites de la revisin. ................................................................................................... 28 1.2
1.2.1 Realizar un recorrido de alto nivel del proyecto que ser revisado. ........................................ 28
1.2.2 Establecer los lmites iniciales de la revision de la auditoria. ................................................. 28
1.2.3 Revisar todas las fases y pasos dentro de este programa de auditoria. .................................... 28
Definir la seguridad. ....................................................................................................................... 28 1.3
1.3.1 Obtencin de las normas de desarrollo de los sistemas de la empresa, el manual de la
metodologa del desarrollo de los sistemas, las normas de gestin de proyectos y el manual de
metodologa del proyecto. ................................................................................................................ 29
1.3.2 Determinar si se usar COBIT y un marco de desarrollo de sistemas apropiado como buenas
prcticas de referencia. ..................................................................................................................... 29
Identificar los riesgos y los documentos. ....................................................................................... 29 1.4
1.4.1 Para los proyectos identificados como foco potencial: ........................................................... 29
1.4.2 Con base en la evaluacin de riesgos, identificar los cambios en el mbito de aplicacin. .... 29
1.4.3 Discutir los riesgos de TI, de negocios y de gestin de auditoria operacional, y ajustarlo a la
evaluacin de riesgos. ....................................................................................................................... 29
1.4.4 Con base en la evaluacin de riesgos, revisar el alcance. ........................................................ 29
Definir el proceso de cambio. ......................................................................................................... 29 1.5
1.5.1 Identificar el senior de IT responsable de la revisin de los recursos. .................................... 29
1.5.2 Establecer el proceso para sugerir e implementar cambios en el programa de auditora y las
autorizaciones requeridas. ................................................................................................................ 29
Definir el exito de la asignacin. .................................................................................................... 29 1.6
1.6.1 Identificar los controladores para una revisin exitosa (Esto debe existir en las normas de la
funcin de garanta y los procedimientos) ........................................................................................ 29
1.6.2 Comunicar el xito atribuye al propietario del proceso o los interesados clave y obtener un
acuerdo. ............................................................................................................................................ 29
Definir los recursos de auditora requeridos. .................................................................................. 30 1.7
1.7.1 Determinar las habilidades de auditora necesarios para su revisin. ..................................... 30
1.7.2 Determinar el total de recursos estimados (horas) y los plazos (fechas de inicio y final)
requieridos para la revisin. ............................................................................................................. 30
Definir los entregables. ................................................................................................................... 30 1.8
1.8.1 Determinar las prestaciones provisionales, incluidas las conclusiones iniciales, informes de
situacin, informes de proyectos, fechas de vencimiento para las respuestas y el informe final. .... 30
Comunicaciones ................................................................................................................................... 30
1.9 El proceso de auditora se comunica con claridad al cliente. ................................................ 30
1.9.1 Llevar a cabo una conferencia de apertura para discutir los objetivos de la revisin con el
ejecutivo responsable de los sistemas operativos y de infraestructura. ............................................ 30
2 . ENTENDIMIENTO DE APOYO DE INFRAESTRUCTURA .......................................................... 30
El proceso de desarrollo de sistemas y gestin de proyectos son compatibles con las normas de la 2.1
entidad, los procesos y procedimientos. Para evaluar correctamente el proceso, la infraestructura de
apoyo debe ser revisado y evaluado. .................................................................................................... 30
2.1.1 Revisar la documentacin de gestin de proyectos y establecer una comprensin del proceso
y sus controles. ................................................................................................................................. 30
2.1.2 Revisar la documentacin de los sistemas en desarrollo y establecer una comprensin del
proceso y sus controles. .................................................................................................................... 30
3 . FASE DE INICIACIN ...................................................................................................................... 30
Gobierno ......................................................................................................................................... 30 3.1
3.1.1 Caso de negocio ....................................................................................................................... 30
3.1.2 Gestin del alcance .................................................................................................................. 31
3.1.3 Funciones y responsabilidades ................................................................................................ 31
3.1.4 Aprobaciones ........................................................................................................................... 32
3.1.5 Retorno de la inversin y los indicadores clave de rendimiento ............................................. 32
3.1.6 Gestin de Escalamiento ......................................................................................................... 32
3.1.7 Decisiones de comprar o construir .......................................................................................... 32
Gestin de proyectos ...................................................................................................................... 33 3.2
3.2.1 Integracin de la gestin empresarial / informacin ............................................................... 33
3.2.2 Composicin del equipo de proyecto ...................................................................................... 33
3.2.3 Gestion de riesgo y problemas ................................................................................................ 33
3.2.4 Procedimientos de escalamiento .............................................................................................. 34
3.2.5 Gestin de la calidad ............................................................................................................... 34
3.2.6 Uso de la metodologa de desarrollo ....................................................................................... 34
3.2.7 Gestin del cambio .................................................................................................................. 34
3.2.8 Planificacin y control ............................................................................................................. 34
3.2.9 Progreso de control .................................................................................................................. 34
3.2.10 Gestion de gastos y del tiempo .............................................................................................. 34
3.2.11 Comunicaciones .................................................................................................................... 34
Presupuesto ..................................................................................................................................... 35 3.3
3.3.1 Estado del presupuesto ............................................................................................................ 35
3.3.2 Contabilidad ............................................................................................................................ 35
3.3.3 Contabilidad en tiempo real..................................................................................................... 35
Los controles internos .................................................................................................................... 35 3.4
3.4.1 Requisitos de control interno ................................................................................................... 35
3.4.2 Control interno de evaluacion de riesgos ................................................................................ 35
3.4.3 Desarollo de las TACC ............................................................................................................ 35
La adecuacin de las pruebas ......................................................................................................... 35 3.5
Implantacin ................................................................................................................................... 35 3.6
Proveedores externos ...................................................................................................................... 35 3.7
3.7.1 Proveedores de Servicios ......................................................................................................... 35
4 . FASE DE PLANIFICACIN ............................................................................................................. 36
Gobierno ......................................................................................................................................... 36 4.1
4.1.1 Caso de Negocio ...................................................................................................................... 36
4.1.2 mbito de Gestin ................................................................................................................... 37
4.1.3 Funciones y responsabilidades ................................................................................................ 37
4.1.4 Retorno de la inversin y KPIs ................................................................................................ 38
4.1.5 Gestin de escalamiento .......................................................................................................... 38
4.1.6 Anlisis funcional compatible con las decisiones de comprar o construir .............................. 38
4.1.7 Control: La decisin de comprar o construir se basa en los requisitos empresariales y
funcionales, con los procedimientos de contratacin correspondientes y la autorizacin del comit
de direccin. ..................................................................................................................................... 38
Gestion de proyectos ...................................................................................................................... 39 4.2
4.2.1 Integracin de la gestin empresarial/informacin ................................................................. 39
4.2.2 Composicin del equipo de proyecto ...................................................................................... 40
4.2.3 Gestin de riesgos y problemas ............................................................................................... 40
4.2.4 Procedimientos de escalamiento .............................................................................................. 41
4.2.5 Gestin de la calidad ............................................................................................................... 41
4.2.6 Uso de la metodologa de desarrollo ....................................................................................... 42
4.2.7 Gestin del cambio .................................................................................................................. 42
4.2.8 Planificacin y control ............................................................................................................. 43
4.2.9 Hitos de puntos de decisiones.................................................................................................. 44
4.2.10 El progreso de control ........................................................................................................... 44
4.2.11 Gestin de gastos y del tiempo .............................................................................................. 44
4.2.12 Comunicaciones .................................................................................................................... 45
Presupuesto ..................................................................................................................................... 45 4.3
4.3.1 Estado del presupuesto ............................................................................................................ 45
4.3.2 Contabilidad ............................................................................................................................ 45
Los controles internos .................................................................................................................... 46 4.4
4.4.1 Requisitos de control interno ................................................................................................... 46
4.4.2 Control interno de evaluacion de riesgos ................................................................................ 46
4.4.3 Desarollo de las TACC ............................................................................................................ 46
La adecuacin de las pruebas ......................................................................................................... 47 4.5
4.5.1 Requisitos de prueba ............................................................................................................... 47
4.5.2 Plan del proyecto ..................................................................................................................... 47
4.5.3 Pruebas de contenido ............................................................................................................... 47
Implantacin ................................................................................................................................... 48 4.6
4.6.1 Plan piloto de pruebas ............................................................................................................. 48
4.6.2 Preparacin de la evaluacin ................................................................................................... 48
4.6.3 Planificacin de recursos ......................................................................................................... 48
4.6.4 Conversin de plan .................................................................................................................. 49
4.6.5 Plan de comunicacin .............................................................................................................. 49
4.6.6 Formacin de planificacin ..................................................................................................... 49
4.6.7 Plan de transicin .................................................................................................................... 49
4.6.8 Plan de restitucin ................................................................................................................... 50
Proveedores externos ...................................................................................................................... 50 4.7
4.7.1 Seleccin de proveedores ........................................................................................................ 50
4.7.2 SLA y el cumplimiento del contrato ....................................................................................... 50
4.7.3 La propiedad intelectual .......................................................................................................... 51
5 . FASE DE EJECUCIN ...................................................................................................................... 51
Gobierno ......................................................................................................................................... 52 5.1
5.1.1 Caso de negocio ....................................................................................................................... 52
5.1.2 mbito de aplicacin de gestin ............................................................................................. 52
5.1.3 Funciones y responsabilidades ................................................................................................ 53
5.1.4 Retorno de la inversin y KPIs ................................................................................................ 53
5.1.5 Escalada de gestin ................................................................................................................. 53
Gestin de proyectos ...................................................................................................................... 53 5.2
5.2.1 Integracin de la gestin empresarial / informacin ............................................................... 53
5.2.2 Composicin del equipo de proyecto ...................................................................................... 54
5.2.3 Gestin de riesgos y problemas ............................................................................................... 54
5.2.4 Procedimientos de escalamiento .............................................................................................. 55
5.2.5 Gestin de la calidad ............................................................................................................... 55
5.2.6 Uso de la metodologa de desarrollo ....................................................................................... 56
5.2.7 Gestin del cambio .................................................................................................................. 58
5.2.8 Planificacin y control ............................................................................................................. 59
5.2.9 Hitos de puntos de decisiones.................................................................................................. 59
5.2.10 Progreso de control ................................................................................................................ 59
5.2.11 Gastos y gestin del tiempo ................................................................................................... 60
5.2.12 Comunicaciones .................................................................................................................... 60
Presupuesto ..................................................................................................................................... 60 5.3
5.3.1 Presupuesto de diseo ............................................................................................................. 60
5.3.2 Estado del presupuesto ............................................................................................................ 61
5.3.3 Contabilidad ............................................................................................................................ 61
Los controles internos .................................................................................................................... 61 5.4
5.4.1 Subfase de diseo .................................................................................................................... 61
5.4.2 Subfase de Desarrollo/Prototipo .............................................................................................. 62
5.4.3 Pruebas .................................................................................................................................... 63
5.4.4 Conversin............................................................................................................................... 64
La adecuacin de las pruebas ......................................................................................................... 65 5.5
5.5.1 Requisitos de prueba ............................................................................................................... 65
5.5.2 Proyecto de Plan ...................................................................................................................... 65
5.5.3 Pruebas de contenido ............................................................................................................... 65
Implantacin ................................................................................................................................... 66 5.6
5.6.1 Plan piloto de pruebas ............................................................................................................. 66
5.6.2 Preparacin de la evaluacin ................................................................................................... 66
5.6.3 Planificacin de recursos ......................................................................................................... 66
5.6.4 Conversin de plan .................................................................................................................. 67
5.6.5 Plan de comunicacin .............................................................................................................. 67
5.6.6 Formacin de planificacin ..................................................................................................... 67
5.6.7 Plan de transicin .................................................................................................................... 67
5.6.8 Plan de restitucin ................................................................................................................... 68
Los Proveedores externos ............................................................................................................... 68 5.7
5.7.1 Seleccin de proveedores ........................................................................................................ 68
5.7.2 SLA y el cumplimiento del contrato ....................................................................................... 68
5.7.3 Proveedor de facturacin ......................................................................................................... 68
5.7.4 La propiedad intelectual .......................................................................................................... 68
5.7.5 Integracin de la proporcionada por el proveedor de software de aplicacin en la organizacin
.......................................................................................................................................................... 69
6 . FASE DE CIERRE .............................................................................................................................. 69
Gobierno ......................................................................................................................................... 69 6.1
6.1.1 caso de negocio ....................................................................................................................... 69
6.1.2 mbito de aplicacin de gestin ............................................................................................. 69
6.1.3 Funciones y responsabilidades ................................................................................................ 69
6.1.4 Retorno de la inversin y KPIs ................................................................................................ 69
6.1.5 Gestin de escalamiento .......................................................................................................... 69
Gestin de proyectos ...................................................................................................................... 70 6.2
6.2.1 Integracin de la gestin empresarial/informacin ................................................................. 70
6.2.2 Composicin del equipo de proyecto ...................................................................................... 70
6.2.3 Gestin de riesgos y problemas ............................................................................................... 70
6.2.4 Procedimientos de escalamiento .............................................................................................. 70
6.2.5 Gestin de la calidad ............................................................................................................... 70
6.2.6 Uso de la metodologa de desarrollo ....................................................................................... 70
6.2.7 Gestin del cambio .................................................................................................................. 70
6.2.8 Planificacin y control ............................................................................................................. 70
6.2.9 Hitos de puntos de decisiones.................................................................................................. 70
6.2.10 Progreso de Control ............................................................................................................... 70
6.2.11 Gestin de gastos y del tiempo .............................................................................................. 70
6.2.12 Comunicaciones .................................................................................................................... 70
Presupuesto ..................................................................................................................................... 71 6.3
6.3.1 Estado del presupuesto ............................................................................................................ 71
6.3.2 Contabilidad ............................................................................................................................ 71
Los controles internos .................................................................................................................... 71 6.4
6.4.1 Requisitos de control interno ................................................................................................... 71
6.4.2 Control interno de evaluacion de riesgos ................................................................................ 71
6.4.3 Desarollo de las TAAC ........................................................................................................... 71
La adecuacin de las pruebas ......................................................................................................... 71 6.5
6.5.1 Requisitos de prueba ............................................................................................................... 71
6.5.2 Proyecto de plan ...................................................................................................................... 71
6.5.3 Pruebas de contenido ............................................................................................................... 72
Implantacin ................................................................................................................................... 72 6.6
6.6.1 Plan piloto de pruebas ............................................................................................................. 72
6.6.2 Preparacin de la evaluacin ................................................................................................... 72
6.6.3 Planificacin de recursos ......................................................................................................... 72
6.6.4 Conversin de plan .................................................................................................................. 72
6.6.5 Plan de comunicacin .............................................................................................................. 72
6.6.6 Formacin de planificacin ..................................................................................................... 72
6.6.7 Plan de transicin .................................................................................................................... 72
6.6.8 Plan de restitucin ................................................................................................................... 72
Los Proveedores externos ............................................................................................................... 72 6.7
6.7.1 Seleccin de proveedores ........................................................................................................ 72
6.7.2 SLA y el cumplimiento del contrato ....................................................................................... 72
6.7.3 Proveedor de facturacin ......................................................................................................... 72
6.7.4 Propiedad intelectual ............................................................................................................... 72
7 . FASE POST IMPLANTACIN ......................................................................................................... 73
Gobierno ......................................................................................................................................... 73 7.1
7.1.1 Caso de negocio ....................................................................................................................... 73
7.1.2 mbito de aplicacin de gestin ............................................................................................. 73
7.1.3 Retorno de la inversin y KPIs ................................................................................................ 73
7.1.4 Gestin de escalamiento .......................................................................................................... 73
Gestin de proyectos ...................................................................................................................... 73 7.2
7.2.1 Integracin de la gestin empresarial/informacin ................................................................. 73
7.2.2 Gestin de riesgos y problemas ............................................................................................... 73
7.2.3 procedimientos de escalamiento .............................................................................................. 73
7.2.4 Gestin de la calidad ............................................................................................................... 73
7.2.5 Uso de la metodologa de desarrollo ....................................................................................... 73
7.2.6 Gestin del cambio .................................................................................................................. 73
7.2.7 Planificacin y control ............................................................................................................. 73
7.2.8 Milestone pasa / no pasa decisiones ........................................................................................ 74
7.2.9 Progreso de control .................................................................................................................. 74
7.2.10 Gestin de gastos y del tiempo .............................................................................................. 74
7.2.11 Comunicaciones .................................................................................................................... 74
Presupuesto ..................................................................................................................................... 74 7.3
7.3.1 Estado del presupuesto ............................................................................................................ 74
7.3.2 Contabilidad ............................................................................................................................ 74
Los controles internos .................................................................................................................... 75 7.4
7.4.1 Requisitos de control interno ................................................................................................... 75
7.4.2 Control interno de evaluacion de riesgos ................................................................................ 75
7.4.3 Desarollo de las TAAC ........................................................................................................... 75
La adecuacin de las pruebas ......................................................................................................... 75 7.5
7.5.1 Requisitos de prueba ............................................................................................................... 75
7.5.2 Proyecto de plan ...................................................................................................................... 75
7.5.3 Pruebas de contenido ............................................................................................................... 75
Implantacin ................................................................................................................................... 75 7.6
7.6.1 Plan piloto de pruebas ............................................................................................................. 75
7.6.2 Preparacin de la evaluacin ................................................................................................... 75
7.6.3 Planificacin de recursos ......................................................................................................... 75
7.6.4 Conversin de plan .................................................................................................................. 75
7.6.5 Plan de comunicacin .............................................................................................................. 75
7.6.6 Formacin de planificacin ..................................................................................................... 76
7.6.7 Plan de transicin .................................................................................................................... 76
7.6.8 Plan de restitucin ................................................................................................................... 76
Proveedores externos ...................................................................................................................... 76 7.7
7.7.1 Seleccin de proveedores ........................................................................................................ 76
7.7.2 SLA y el cumplimiento de contratos ....................................................................................... 76
7.7.3 Propiedad intelectual ............................................................................................................... 76
Modelo de Madurez.................................................................................................................................. 77
Evaluacin de Madurez vs Meta Madurez ............................................................................................... 92



Gua y Programa de Auditoria de Desarrollo de
Sistemas y Gestin de Proyectos
INTRODUCCIN
La metodologa de desarrollo de sistemas (a veces referido como el ciclo de vida de los sistemas de
desarrollo) se compone de las fases desplegadas en el desarrollo o adquisicin de un sistema de
software. La experiencia ha demostrado que el desarrollo de un nuevo sistema no se puede ejecutar en
un vaco. La empresa debe estar implicada como el conductor, propietario y gerente general del
proyecto. El equipo de desarrollo de TI es un miembro de este equipo del proyecto global que es
responsable de ejecutar el desarrollo tcnico del plan de negocios.

Por lo tanto, la clave del xito de cualquier iniciativa de TI es considerar el proyecto como parte de un mbito
ms amplio, que es la implementacin de una solucin de negocio. Para mantener el proyecto en marcha, es
necesario proporcionar para la gestin de proyectos, un conjunto estructurado de actividades relativas a la
entrega a la empresa con una capacidad definida (es necesario pero no suficiente para lograr un resultado de
negocios requerido) con base en un calendario acordado y el presupuesto. Muchas entidades utilizan la
expresin "programa" para describir una iniciativa empresarial. La definicin del programa, un grupo
estructurado de proyectos interdependientes que incluye todo el mbito de negocio, procesos, personas,
tecnologa y actividades de la organizacin que se requieren (a la vez necesaria y suficiente) para lograr un
resultado de negocios claramente especificado, es un sper conjunto de un proyecto.

Para desarrollo de sistemas se ha utilizado tradicionalmente el enfoque en cascada, un procedimiento
centrado en el ciclo de desarrollo con la aprobacin formal en la terminacin de cada nivel. Los
procesos incluyen:
Estudio de viabilidad
Requisitos de estudio
Definicin de requisitos
Diseo detallado
Programacin
Pruebas
Instalacin/acreditacin
Revisin de post-implantacin

Con la llegada de prototipos, cuarta generacin de lenguajes de programacin (4GL) herramientas de
desarrollo de aplicaciones y otros enfoques, marcos ms dinmicos fueron requeridos. Estos incluyen:
PMBOK, PRINCE2, gil, RUP y en espiral. Mientras que cada uno utiliza diferentes marcos de las
convenciones de nomenclatura, los procesos clave son comunes a todos:

Inicio-Preparacin de la idea inicial, caso de negocio, el alcance, la creacin del equipo de
proyecto, y la preparacin y aprobacin del presupuesto y las solicitudes de gastos de capital
Planificacin, Preparacin del plan detallado, los requisitos de la definicin, la adquisicin y el
ciclo de adquisicin de la ayuda de consultora externa
Ejecucin-Ejecucin del plan de proyecto una vez se haya completado la fase de planificacin a
la fase de puesta en funcionamiento. Subfases de la fase incluyen:
- Creacin de procesos de negocio (automtico y manual), instrucciones y formacin
- El establecimiento de controles
- El establecimiento de procesos de conversin y de la transicin, el equilibrio de las rutinas,
y proceso de verificacin de la exactitud e integridad
Pruebas:
- Los procesos de conversin del negocio
- Las pruebas de estrs de los procesos
- Retrocesos
- Puesta en marcha
Conciliacin de la conversin
Ir en vivo de actividades asociadas con el inicio del nuevo proceso
Cierre-Cierre de proyectos, contabilidad y costos finalizados
Post implantacin:
- Revisin del xito de los proyectos
- Anlisis financiero del caso de negocio frente a los resultados

La decisin de llevar a cabo revisiones en cada etapa depende de los riesgos identificados y la confianza
puesta en la aplicacin. Las fases ms importantes para los profesionales de auditora incluyen la
planificacin, ejecucin y post implantacin. En la fase de inicio podra ser necesario revisar si el
modelo de negocio est en duda. Se recomienda que la fase de puesta en funcionamiento se revise
despus de los hechos como parte de una revisin post implantacin para asegurar que el proceso de
auditora no interfiera con las actividades en marcha.

El proceso de desarrollo de sistemas se produce durante un perodo de tiempo, que puede ir desde unas
pocas semanas para un pequeo proyecto y para varios aos para proyectos y/o programas a gran escala.
Para proyectos ms grandes con periodos prolongados de tiempo, puede ser necesario programar
mltiples revisiones de un mismo proyecto. El momento de la revisin debe estar alineado con el plan
de desarrollo y las fechas clave de hitos.

Impacto en el negocio y el riesgo
Las aplicaciones desarrolladas o adquiridas son la columna vertebral de las operaciones de la empresa.
Estos sistemas (tanto automticos y manuales) proveen aportes a los sistemas de informacin
financiera, son la fuente para el anlisis relacionado con las decisiones empresariales, o bien realizar o
controlar los procesos crticos de los medios de subsistencia de la empresa. El incumplimiento de la
buena prctica de desarrollo de sistemas y gestin de proyectos puede resultar en:
Seleccin de proveedores inapropiado
La solucin no cumple con las empresas y/o necesidades de los usuarios, no funciona como se
esperaba, o no puede integrarse con el plan estratgico de TI, arquitectura de la informacin y la
direccin de la tecnologa
Falta de comprensin de los objetivos del proyecto y los requisitos
Insuficiente participacin de los interesados en la definicin de requisitos y la revisin de los entregables
Mala solucin que faltan requisitos seleccionados o significativos descubierto ms adelante en
el proyecto, haciendo costosa remodelacin y retrasos en la puesta en prctica
Las soluciones alternativas que no se identifican
Altos costos de soluciones fragmentadas
Las discrepancias contractuales y las diferencias entre las expectativas de negocio y capacidades
de los proveedores
Gestin de conocimiento de los riesgos en la adquisicin de software
Las brechas entre los controles y las amenazas o los riesgos reales
Sistema de seguridad y confidencialidad comprometida
Las transacciones no vlidas o transacciones procesadas incorrectamente
Los controles de compensacin costosos
Reduccin de la disponibilidad del sistema y la integridad cuestionable de la informacin
Mala calidad del software, pruebas insuficientes y un alto nmero de fracasos
El enfoque desorganizado e ineficaz la gestin de proyectos, las prioridades inapropiadas, las
funciones crticas de retraso
Los presupuestos y recursos insuficientes
La falta de respuesta a las cuestiones del proyecto con las decisiones ptimas aprobadas
Las responsabilidades poco claras y rendicin de cuentas para asegurar el control de costes y el
xito del Proyecto
La creciente dependencia de personal clave, los problemas en las operaciones diarias, ayudar a
la sobrecarga de escritorio
Incapacidad para poner en prctica el nuevo sistema o la capacidad de retroceder el nuevo
sistema y restaurar el viejo sistema

Objetivos y alcance
Objectivos los objetivos del desarrollo de sistemas de gestin de proyectos y la revisin de auditora
son los siguientes:
Ofrecer una gestin con una evaluacin independiente del progreso, la calidad y el logro de los
objetivos del proyecto/programa en etapas definidas en el proyecto/programa.
Ofrecer una gestin con una evaluacin de los controles internos de los procesos de negocio
propuestos en un punto en el ciclo de desarrollo, donde las mejoras pueden ser fcilmente
aplicadas y los procesos adaptados.
Satisfacer los procesos de auditora de los objetivos de la revisin del proceso antes de que salga
la confianza en vivo, dar lugar a confianza futura en el proceso basado en el trabajo de control
realizado mientras la aplicacin est en fase de desarrollo, e implementar tcnicas de auditora
integradas asistida por ordenador como las (TAAC), como parte del diseo de la aplicacin.

Alcance La revisin se centrar en las fases de (iniciacin / planificacin / ejecucin / cierre / post-
implantacin) del proceso de desarrollo de sistemas para la aplicacin. Se apoyar en la metodologa de
desarrollo de sistemas para proporcionar un diseo, desarrollo y metodologa de prueba y la
metodologa de gestin de proyectos para proporcionar una planificacin precisa y eficiente, la
presupuestacin y el control de costes. Dentro de cada fase, la revisin se centrar en:
Gobierno
Gestin de proyectos
Presupuesto
Los controles internos
procesos de negocio
Los terceros proveedores y otras influencias externas
IMPORTANCIA DE LA AUDITORA AL CVDS
Aunque cualquier departamento o rea de una organizacin es susceptible de ser auditado, hay una
serie de circunstancias que hacen especialmente importante al rea de desarrollo, y por tanto tambin de
auditora, frente a otras funciones o reas dentro del departamento de informtica:
Los avances en tecnologas de las computadoras han hecho que actualmente el desafo ms
importante y el principal reto sea la calidad del software.
El gasto destinado a software es cada vez superior al que se dedica al hardware.
El software como producto es muy difcil de validar. Un mayor control en el proceso de desarrollo
incrementa la calidad del mismo y disminuye los costos de mantenimiento.
El ndice de fracasos en proyectos de desarrollo es demasiado alto, lo cual denota la inexistencia o
mal funcionamiento de los controles en este proceso.
Las aplicaciones informticas, que son el producto principal obtenido al final del desarrollo,
pasan a ser la herramienta de trabajo principal de las reas informatizadas, convirtindose en un
factor esencial para la gestin y la toma de decisiones.

Cul es la realidad de los proyectos TI?
En 2007 del total de lo proyectos de TI monitoreados, slo el 29% lo logr a tiempo y en costo, los
costos promedio se excedieron 56% y en promedio tom 84% ms de tiempo para completarse
1
.
15% de los proyectos fracasan y son cancelados totalmente.
51% no cumplen sus objetivos.
42% en promedio por encima del presupuesto.
82% no cumplen el cronograma.
US $55.000 millones perdidos en proyectos slo en USA.
US $17.000 millones en sobrecostos.

Por qu los Proyectos fallan?
1. Falta de comprensin del problema, visin ligera del alcance
2. Problemas tecnolgicos y con proveedores
3. Problemas de comunicacin y trabajo en equipo

1
Over due and over budget, over and over again The Economist, june 11th 2008
4. Problemas de liderazgo
5. Problemas metodolgicos. Falta de un proceso de administracin de proyectos.
Para tratar la auditora al CVDS es necesario, en primer lugar, acotar las funciones o tareas que son
responsabilidad del rea. Teniendo en cuenta que puede haber variaciones de una organizacin a otra,
las funciones que tradicionalmente se asignan al rea son:
Planificacin del rea y participacin en la elaboracin del plan estratgico de informtica.
Desarrollo de nuevos sistemas.
Estudio de nuevos lenguajes, tcnicas, metodologas, estndares, herramientas, etc. y adopcin
de los mismos para mantener un nivel de vigencia adecuado al momento.
Establecimiento de un plan de formacin para el personal adscrito al rea.
Establecimiento de normas y controles para todas las actividades que se realizan en el rea y
comprobacin de su observancia.

Una metodologa aplicable es la propuesta por la ISACA
(Information Systems Audit and Control Association), que est
basada en la evaluacin de riesgos partiendo de los riesgos
potenciales a los que est sometida una actividad (en este caso el
desarrollo de un sistema de informacin), se determinan una serie
de objetivos de control que minimicen esos riesgos.

Para cada objetivo de control se especifican una o ms tcnicas de control, tambin denominadas
simplemente controles, que contribuyan a lograr el cumplimiento de dicho objetivo. Adems, se
aportan una serie de pruebas de cumplimiento que permitan la comprobacin de la existencia y correcta
aplicacin de dichos controles.

Una vez fijados los objetivos de control, ser funcin del auditor determinar el grado de cumplimiento
de cada uno de ellos. Para cada objetivo se estudiarn todos los controles asociados al mismo, usando
para ello las pruebas de cumplimiento propuestas. Con cada prueba de cumplimiento se obtendr alguna
evidencia, bien sea directa o indirecta, sobre la correccin de los planes. Si una simple comprobacin no
ofrece ninguna evidencia, ser necesaria la realizacin de exmenes ms profundos.

En los controles en los que sea impracticable una revisin exhaustiva de los elementos de verificacin,
bien porque los recursos de auditora sean limitados o porque el nmero de elementos a inspeccionar sea
muy elevado, se examinar una muestra representativa que permita inferir el estado de todo el conjunto.

El estudio global de todas las conclusiones, pruebas y evidencias obtenidas sobre cada control
permitirn al auditor obtener el nivel de satisfaccin de cada objetivo de control, as como cules son
los puntos fuertes y dbiles del mismo. Con esta informacin y teniendo en cuenta las particularidades
de la organizacin en estudio, se determinar cules son los riesgos no cubiertos, en qu medida lo son
y qu consecuencias se pueden derivar de esa situacin. Estas conclusiones, junto con las
recomendaciones acumuladas, sern las que se plasmen en el informe de auditora.

Etapas del Ciclo de Vida del Desarrollo de Sistemas

EL PROGRAMA

Marco de Control
Este programa de auditora se han desarrollado en consonancia con los objetivos de TI Governance
Institute

(Control de ITGI
TM
) para la informacin y tecnologas relacionadas (COBIT

),
especficamente COBIT 4.1, utilizando las buenas prcticas generalmente aplicables y aceptadas, y
reflejadas en el ITAF, secciones 3400 -procesos de gestin de TI, 3600 -procesos de auditora y
aseguramiento, y 3800 -gestin de auditora de TI y aseguramiento.

Muchas organizaciones han adoptado varios marcos a nivel empresarial, incluido el Marco de Control
Interno del Comit de Organizaciones Patrocinadoras de la Comisin Treadway (COSO).

Aprobacin,
planificacin
y gestin del
proyecto
Anlisis Diseo Construccin Implantacin
El Gobierno de TI Riesgo y Control
El gobierno de TI, el riesgo y el control son fundamentales para la realizacin de cualquier proceso de
gestin de seguridad. La gobernanza del proceso bajo revisin ser evaluada como parte de las polticas
y controles de gestin de supervisin. Riesgo juega un papel importante en la evaluacin de lo que debe
auditar y cmo los enfoques de gestin y gestionan el riesgo. Ambos temas sern evaluados como pasos
en el programa de auditora. Los controles son el punto de evaluacin primaria en el proceso. El
programa de auditora identificar los objetivos de control y los pasos para determinar el diseo del
control y la eficacia.

Responsabilidades de Auditora de TI y los Profesionales de Aseguramiento
Este documento es para ser utilizado como una herramienta crtica y punto de partida. Puede ser
modificado por los profesionales de auditoria de TI, y no pretende ser una lista de control o
cuestionario. Se supone que los profesionales de auditora de TI son Certified Information Systems
Auditor (CISA), o tiene la experiencia en la materia necesaria, requerida para llevar a cabo el trabajo y
ser supervisado por un profesional con la certificacin CISA y la experiencia necesaria para revisar
adecuadamente el trabajo realizado.

Uso de este documento
Este programa de auditora fue desarrollado para ayudar a los profesionales de auditora en el diseo y
la ejecucin de una revisin sobre las diferentes fases del proyecto. El programa de auditora se
segmenta de acuerdo a la fase. Los profesionales de auditora deben personalizar y seleccionar aquellas
fases en el mbito especfico de revisin de la auditora. Adems, la evaluacin de los controles internos
especficos basados en la aplicacin dentro del mbito de aplicacin, y se trata en la seccin de
Controles Internos de este programa.

Pasos del Programa
En la primera columna del programa se describen los pasos a realizar. El esquema de numeracin utilizado
proporciona un trabajo de numeracin incorporado en el documento para facilitar la referencia cruzada con
el documento de trabajo especfico para esa seccin. Se anima a los profesionales de auditora de TI a
realizar modificaciones a este documento para adaptarlo al entorno especfico que se est evaluando.

Pasos 1 y 2 forman parte de la recopilacin de datos y la preparacin previa al trabajo de campo. Debido
a que el pre-trabajo de campo es esencial para una revisin exitosa y profesional, los pasos han
sido detallados en este plan. Los pasos de primer nivel, por ejemplo, 1.1, estn en negrita y
proporcionar al revisor un alcance o una explicacin de alto nivel de la finalidad para las subetapas.

Comenzando en el paso 3, se detallan los pasos asociados con el programa. Para simplificar el uso del
programa, el programa de auditora describe los objetivos de la auditora. La razn para llevar a cabo los
pasos en el rea temtica. Los controles especficos de seguimiento se muestran en AZUL. Cada paso
de revisin se enumeran a continuacin del control. Estas medidas pueden incluir la evaluacin del
diseo de control a pie a travs de un proceso, entrevistas, observacin, o la otra parte para verificar el
proceso y los controles que refiere ese proceso. En muchos casos, una vez que el diseo del control se
ha comprobado, las pruebas especficas se llevan a cabo para dar garantas de que el proceso asociado
con el control se est siguiendo. Los objetivos de la prueba se muestran en VERDE. El proceso de
prueba especfica sigue el objetivo de la prueba.

El Programa de Auditoria de Desarrollo de Sistemas y Gestin de Proyectos est destinado a ser
utilizado durante las diversas fases del proyecto. En todas las fases, la gestin de proyectos se dirige. Sin
embargo, en sistemas especficos, procesos de desarrollo y controles variarn en funcin de esa fase.
Las reas de control que no son aplicables, son de color GRIS. Esto da al profesional la oportunidad de
volver a aadirlas en el plan si es apropiado.

La evaluacin de la madurez, se describe con ms detalle ms adelante en este documento; constituye la
ltima seccin del programa.

El plan de auditora de recapitulacin, los procesos asociados con la
realizacin y revisin de papeles de trabajo, la preparacin de las
cuestiones y recomendaciones, redaccin de informes y el informe de
intercambio de informacin han sido excluida de este documento, ya que
es un estndar para la funcin de auditora y deben ser identificados en
otras partes de las normas de la empresa.

Proceso de COBIT relacionado y Subproceso a Evaluar
COBIT proporciona unas directrices de auditoria para los profesionales de auditora para referirse a los
objetivos de control COBIT especficos de apoyo a la etapa de auditora. Los objetivos de control de
COBIT deben ser identificados para cada etapa de la auditora. Mltiples referencias cruzadas no son
infrecuentes. Procesos en los niveles inferiores en el programa de trabajo son muy granulares a ser una
referencia cruzada con COBIT. El programa de auditora se organiza a manera de facilitar una
evaluacin a travs de una estructura paralela al proceso de desarrollo. COBIT provee a fondo los
objetivos de control y prcticas de control sugeridas en cada nivel.

Componentes COSO
Como se seala en la introduccin, los marcos de COSO y otras similares se han convertido en cada vez
ms popular entre los profesionales de auditora. Mientras que la funcin de la auditora de TI tiene a
COBIT como un marco operativo de auditora y los profesionales utilizan en el marco establecido por la
empresa. Desde que COSO es el marco de control interno ms frecuente, se ha incluido en este documento
y es un puente para alinear seguridad de la auditoria de TI con el resto de la funcin de auditora. Muchas
de las empresas de auditora incluyen los componentes de control de COSO dentro de su informe y un
resumen de las actividades de aseguramiento al comit de auditora del consejo de administracin.

Para cada control, el profesional de auditora debe indicar el componente(s) de COSO que se refiri. Esto es
posible, pero no es necesario en general, para extender este anlisis al paso especfico del nivel de auditora.

El marco original de control interno COSO contena cinco componentes. En 2004, COSO se revis el
Marco de Gestin de Riesgo Empresarial (ERM) integrado y se extendi a ocho componentes. La
principal diferencia entre los dos marcos es el enfoque adicional en el ERM y la integracin en el
modelo de decisin de negocios. ERM est en proceso de ser adoptados por las grandes empresas. Los
dos marcos se comparan en la figura 1.

El marco original COSO de control interno responde a las necesidades de la auditora de TI y seguridad
profesional: ambiente de control, evaluacin de riesgos, actividades de control, informacin y
comunicacin, y monitoreo. Como tal, ISACA ha optado por utilizar el modelo de cinco componentes
de estos programas de auditora. A medida que ms empresas implementan el modelo de ERM, las
otras tres columnas se pueden aadir, si procede. Al completar las columnas de los componentes de
COSO, tenga en cuenta las definiciones de los componentes como se describe en la figura 1.

Figura 1 Comparativa de los controles internos de COSO y los marcos integrados ERM
Marco de Control Interno Marco Integrado del ERM
El ambiente de control: El ambiente de control establece el tono
de una organizacin, influyendo en la conciencia de control de su
gente. Es la base para todos los dems componentes del control
interno, aportando disciplina y estructura. Factores del ambiente de
control incluyen la integridad, valores ticos, estilo de gestin de
operacin, la delegacin de los sistemas de autoridad, as como los
procesos de gestin y desarrollo de personas de la organizacin.
Ambiente Interno: El ambiente interno abarca el tono de una
organizacin, y establece las bases de cmo el riesgo se ve y se
dirigi a las personas de la entidad, incluyendo la filosofa de gestin
del riesgo y tolerancia al riesgo, la integridad y valores ticos, y el
medio ambiente en el que operan.
Establecimiento de Objetivos: Los objetivos deben existir antes que
la administracin puede identificar eventos potenciales que afectan a
su logro. La gestin del riesgo asegura que la gestin ha puesto en
marcha un proceso para establecer objetivos y que los objetivos
elegidos apoyen y se alinean con la misin de la entidad y que sean
compatibles con su apetito por el riesgo.
Identificacin de eventos: Los eventos internos y externos que
afectan el logro de los objetivos de la entidad deben ser identificados,
distinguiendo entre riesgos y oportunidades. Las oportunidades se
canalizan de vuelta a la estrategia de gestin o los procesos de
establecimiento de objetivos.
Evaluacin de Riesgos: Cada entidad se enfrenta a una variedad de
riesgos a partir de fuentes externas e internas que deben ser
evaluados. Una condicin previa para la evaluacin de riesgos es el
establecimiento de objetivos, y por lo tanto la evaluacin de riesgos
es la identificacin y anlisis de riesgos relevantes para el logro de
los objetivos asignados. La evaluacin de riesgos es un requisito
previo para determinar cmo los riesgos deberan ser manejados.
Evaluacin de riesgos: Los riesgos son analizados, teniendo en
cuenta la probabilidad e impacto, como una base para determinar la
forma en que podra ser manejado. Las reas de riesgo se evaluarn
de forma inherente y residual.
Respuesta a los Riesgos: Gestin de riesgo de las respuestas,
selecciona evitar, aceptar, reducir o compartir los riesgos
desarrollando un conjunto de acciones para alinear los riesgos con las
tolerancias al riesgo de la entidad y apetito de riesgo.
Actividades de Control: Las actividades de control son las
polticas y procedimientos que ayudan a asegurar las directivas de
gestin que se llevan a cabo. Ayudan a asegurar que las acciones
necesarias se toman para hacer frente a los riesgos para la
consecucin de los objetivos de la entidad. Las actividades de
control se producen en toda la organizacin, en todos los niveles y
en todas las funciones. Incluyen una amplia gama de actividades tan
diversas como aprobaciones, autorizaciones, verificaciones,
conciliaciones, revisiones de desempeo operacional, seguridad de
activos y segregacin de funciones.
Actividades de Control: Las polticas y procedimientos se
establecen e implementan para ayudar a garantizar las respuestas a los
riesgos que se lleven realmente a cabo.
Informacin y Comunicacin: Los sistemas de informacin
juegan un papel clave en los sistemas de control interno, ya que
producen los informes, incluidos los operativos, financieros e
informacin relacionada con el cumplimiento que hacen que sea
posible ejecutar y controlar el negocio. En un sentido ms amplio,
la comunicacin efectiva debe garantizar el flujo de informacin
hacia abajo, arriba y a travs de la organizacin. La comunicacin
efectiva tambin debe garantizarse con las partes externas, tales
como clientes, proveedores, reguladores y accionistas.
Informacin y Comunicacin: La informacin pertinente es
identificada, capturada, y comunicada en la forma y plazo que
permiten a las personas para llevar a cabo sus responsabilidades. La
comunicacin efectiva tambin se produce en un sentido ms amplio,
que fluye hacia abajo, al otro lado, y la entidad.
Monitoreo: Los sistemas de control interno deben ser supervisados
-un proceso que evala la calidad del desempeo del sistema a
travs del tiempo. Esto se logra a travs de actividades de
seguimiento en curso o evaluaciones separadas. Deficiencias de
control interno detectadas a travs de estas actividades de
monitoreo debe ser reportado las acciones globales y correctivas se
deben tomar para garantizar la mejora continua del sistema.
Monitoreo: La totalidad de la gestin del riesgo es supervisado y las
modificaciones que sean necesarias. El monitoreo se realiza a travs
de actividades de gestin en curso, evaluaciones independientes o
ambas cosas.
La Informacion para la figura 1 fue obtenida del sitio web de COSO www.coso.org/aboutus.htm.

Prioridad
Las buenas prcticas requieren que los profesionales auditora definan el nivel de prioridad para los
pasos del programa de acuerdo al grado de urgencia de realizacin de cada partida.


Requerimientos (a solicitar al rea auditada)
Esta columna se puede utilizar para marcar los requerimientos que el profesional de la auditora de TI
requiera para investigar ms a fondo o establecer como un hallazgo potencial. Los posibles hallazgos
que deben ser documentados en un documento de trabajo que indica la disposicin de los hallazgos
(formalmente informado, informado como una nota o hallazgo verbal, o renunciado).

ANLISIS DE MADUREZ DE LOS CONTROLES
Una de las peticiones constantes de los profesionales que se han sometido a auditora de TI, es un deseo
de entender cmo su rendimiento se compara con las buenas prcticas. Los profesionales de auditora
deben proporcionar una base objetiva para las conclusiones de revisin. El Modelo de Madurez para la
gestin y el control sobre los procesos de TI se basa en un mtodo de evaluacin de la organizacin, por
lo que puede ser evaluado a partir de un nivel de madurez de inexistente (0) y optimizado (5). Este
enfoque se deriva del modelo de madurez del Software Engineering Institute (SEI) de la Universidad
Carnegie Mellon y se define por la madurez del desarrollo de software.

La Gua de Aseguramiento de TI utilizando COBIT, Apndice VII-Modelo de Madurez de Control
Interno, en la figura 2, proporciona un modelo de madurez genrico que muestra el estado del entorno
de control interno y el establecimiento de controles internos de una empresa. Se muestra cmo la
gestin del control interno, y la conciencia de la necesidad de establecer mejores controles internos, por
lo general se desarrolla a partir una base ad hoc a un nivel optimizado. El modelo proporciona una gua
de alto nivel para ayudar a los usuarios de COBIT a apreciar lo que se requiere para la eficacia de los
controles internos de TI y para ayudar a posicionar su empresa en la escala de madurez.

1.1.1.1.1 Figura 2 Modelo de Madurez de Control Interno
1.1.1.1.2 Nivel
de Madurez
1.1.1.1.3 Estado de Medio Ambiente de
Control Interno
1.1.1.1.4 Establecimiento
de Controles Internos
1.1.1.1.5 0
Inexistente
1.1.1.1.6 No hay ningn reconocimiento de la
necesidad de un control interno. El control no es parte
de la cultura de la organizacin o misin. Hay un alto
riesgo de deficiencias de control y los incidentes.
1.1.1.1.7 No hay ninguna intencin de evaluar la
necesidad de control interno. Los incidentes se tratan a
medida que surjan.
1.1.1.1.8 1
Inicial/ad hoc
1.1.1.1.9 Hay algo de reconocimiento de la necesidad
de un control interno. El enfoque de los requisitos de
riesgo y el control es ad hoc y desorganizados, sin una
comunicacin o un control. Las deficiencias no se
identifican. Los empleados no son conscientes de sus
responsabilidades.
1.1.1.1.10 No hay conciencia de la necesidad de una
evaluacin de lo que se necesita en trminos de
controles de TI. Cuando se realiza, es slo sobre una
base ad hoc, en un nivel alto y en reaccin a incidentes
significativos. La evaluacin aborda slo el incidente
real.
1.1.1.1.11 2
Repetible pero
intuitivo
1.1.1.1.12 Los controles estn en su lugar, pero no
estn documentados. Su funcionamiento depende de los
conocimientos y la motivacin de las personas. La
1.1.1.1.13 Evaluacin de las necesidades de control se
produce slo cuando sea necesario para determinados
procesos de TI para determinar el nivel actual de
1.1.1.1.1 Figura 2 Modelo de Madurez de Control Interno
1.1.1.1.2 Nivel
de Madurez
1.1.1.1.3 Estado de Medio Ambiente de
Control Interno
1.1.1.1.4 Establecimiento
de Controles Internos
efectividad no es evaluada adecuadamente. Muchos
puntos dbiles de control existen y no se tratan
adecuadamente, el impacto puede ser severo. Las
acciones de manejo para resolver las cuestiones de
control no son prioridad ni consistente. Los empleados
no pueden ser conscientes de sus responsabilidades.
madurez de control, el nivel objetivo que debe
alcanzarse, y las lagunas que existen. Un enfoque de
taller informal, la participacin de los gerentes de TI y
el equipo involucrado en el proceso, se utiliza para
definir un enfoque adecuado a los controles para el
proceso y para motivar a un plan de accin acordado.
1.1.1.1.14 3
Definido
1.1.1.1.15 Los controles estn en su lugar y
documentado adecuadamente. Efectividad de la
operacin se evala de forma peridica y no es un
nmero promedio de cuestiones. Sin embargo, el
proceso de evaluacin no est documentado. Si bien la
gestin es capaz de hacer frente de manera predecible
con la mayora de los problemas de control, algunas
debilidades de control y los efectos que persisten
todava podran ser graves. Los empleados son
conscientes de sus responsabilidades de control.
1.1.1.1.16 Procesos crticos de TI se identifican sobre
la base de los indicadores de valor y riesgo. Un anlisis
detallado se realiza para identificar los requisitos de
control y la causa raz de las lagunas y desarrollar
oportunidades de mejora. Adems de los talleres
facilitados, se utilizan herramientas y las entrevistas se
llevan a cabo para apoyar el anlisis y asegurarse de
que un propietario de procesos de TI y quin dirige el
proceso de evaluacin y mejora.
1.1.1.1.17 4
Administrado
y medible
1.1.1.1.18 Hay un control interno efectivo y gestin del
riesgo del medio ambiente la. Una evaluacin formal y
documentada de los controles se produce con
frecuencia. Muchos controles estn automatizados y se
revisarn peridicamente. La administracin es
probable que para detectar la mayora de los problemas
de control, pero no todos los problemas se identifican
de forma rutinaria. No hay un seguimiento constante
para hacer frente a las deficiencias de control. Un uso
limitado, tctico de la tecnologa se aplica a
automatizar los controles.
1.1.1.1.19 TI criticidad proceso se define habitualmente
con el pleno apoyo y el acuerdo de los propietarios de
los procesos de negocio relevantes. Evaluacin de los
requisitos de control se basa en la poltica y la madurez
real de estos procesos, tras un minucioso anlisis y
medida la participacin de las principales partes
interesadas. La rendicin de cuentas para estas
evaluaciones es clara y forzada. Las estrategias de
mejora se apoyan en los casos de negocios. El
rendimiento en el logro de los resultados deseados es
constantemente monitoreado. Reseas externas de
control se organizan de vez en cuando.
1.1.1.1.20 5
Optimizado
1.1.1.1.21 Un riesgo para toda la empresa y el
programa de control ofrece un control continuo y eficaz
del riesgo y la resolucin de problemas. El control
interno y gestin de riesgos se integran con las
prcticas empresariales, apoyados con sistemas
automticos en tiempo real con la plena rendicin de
cuentas para el seguimiento de control, gestin de
riesgos y la aplicacin del cumplimiento normativo. La
evaluacin de control es continua, basada en la
autoevaluacin y la brecha de anlisis de causa raz.
Los empleados estn activamente involucrados en las
mejoras de control.
1.1.1.1.22 Los cambios de negocio en cuenta la
criticidad de los procesos de TI y cubrir cualquier
necesidad de volver a evaluar la capacidad del proceso
de control. Los propietarios de los procesos de TI
realizan regularmente auto-evaluaciones para confirmar
que los controles estn en el nivel adecuado de
madurez para satisfacer las necesidades de negocio y
consideran que los atributos de madurez para encontrar
maneras de hacer controles ms eficientes y eficaces.
Los puntos de referencia de la organizacin a las
mejores prcticas externas y busca asesoramiento
externo sobre la efectividad del control interno. Para
los procesos crticos, revisiones independientes de
llevarse a cabo para dar garantas de que los controles
estn en el nivel deseado de madurez y funciona segn
lo previsto.

La evaluacin del modelo de madurez es uno de los pasos finales en el proceso de evaluacin. Los
profesionales de auditora de TI pueden abordar los controles clave en el mbito del programa de
trabajo, y formular una evaluacin objetiva del nivel de madurez de las prcticas de control. La
evaluacin de la madurez puede ser una parte del informe de auditora y puede ser utilizado como un
indicador de ao en ao para documentar la progresin en la mejora de los controles. Sin embargo, debe
tenerse en cuenta que la percepcin sobre el nivel de madurez puede variar entre el proceso de SI/TI
propietario de los activos y el auditor. Por lo tanto, el auditor deber obtener el acuerdo del titular de la
participacin de los interesados antes de presentar el informe final a la gestin.

Al concluir la revisin, una vez que todas las conclusiones y recomendaciones se hayan completado, el
profesional evala el estado actual del sistema de control de COBIT, y le asigna un nivel de madurez
utilizando la escala de seis niveles. Algunos doctores en el rea utilizan decimales (X.25, X.5, X.75)
para indicar gradaciones en el modelo de madurez. Como referencia adicional, COBIT ofrece una
definicin de las denominaciones de madurez por parte de objetivo de control. Si bien este enfoque no
es obligatorio, el proceso se ofrece como una seccin separada al final del programa de auditora para
aquellas empresas que deseen ponerla en prctica. Se sugiere que una evaluacin de la madurez se haga
en el nivel de control de COBIT. Para proporcionar un mayor valor al cliente, el profesional tambin
puede obtener los objetivos de madurez del cliente. Con los niveles de madurez evaluados y el destino,
el profesional puede crear una presentacin eficaz grfica que describe el logro o brechas entre los
objetivos de madurez real y objetivo. Un grfico se ofrece en la ltima pgina de este documento, con
base en las evaluaciones de la muestra.
MARCO DE ASEGURAMIENTO Y CONTROL
Marco de Aseguramiento y Normas de TI de ISACA
En el desarrollo de sistemas y gestin de proyectos del ITAF se incluyen las siguientes secciones:
3420 Gestin de proyectos de TI.
3450 Procesos de TI.
3490 Apoyo de TI al Cumplimiento Normativo.
3650 Ciclo de Vida de Desarrollo de Sistemas.
3650 Los controles de auditora de aplicacin.
3657 Auditora de Estrategias Alternativas de Desarrollo de Software.

ISACA ha reconocido desde hace tiempo la naturaleza especializada de TI y se esfuerza por avanzar en
las normas aplicables a escala mundial. Directrices y procedimientos ofrecen una gua detallada sobre
cmo seguir las normas. Las Directrices de Auditora de SI G23 y las revisiones al Ciclo de Vida del
Desarrollo de Sistemas (CVDS), G26 Reingeniera de Procesos de Negocio (BPR), revisiones de
proyectos y G29 revisin post-implementacin, y el Procedimiento de Auditora de Aplicaciones de
Negocio P10 Control de cambios son relevantes para este programa de auditora.

Marco de Controles de ISACA
COBIT es un marco de gobernanza de TI y apoyo al conjunto de herramientas que permite a los administradores
cerrar la brecha entre los requerimientos de control, cuestiones tcnicas y riesgos de negocio. COBIT permite el
desarrollo de una poltica clara y de buenas prcticas para el control de TI en toda la empresa.
Utilizando COBIT como marco de control en el que basan en la auditora de las actividades alinea
auditora de TI y seguridad con las buenas prcticas desarrolladas por la empresa.

El dominio COBIT Adquisicin e Implementacin (AI) aborda las buenas prcticas para el desarrollo
de sistemas, el dominio Planeacin y Organizacin (PO), las direcciones de los procesos de TI PO10 la
gestin de proyectos. Las reas de COBIT para esta evaluacin son:

Los proyectos PO10 se han establecido para manejar el programa y el marco de la gestin de proyectos
para la gestin de todos los proyectos de TI. El marco garantiza la priorizacin correcta y la coordinacin
de todos los proyectos. El marco incluye un plan maestro, la asignacin de recursos, la definicin de las
prestaciones, la aprobacin de los usuarios, un enfoque gradual para la entrega, control de calidad, un
plan de pruebas formales, y las pruebas y el examen posterior a la ejecucin de la instalacin para
garantizar una gestin de riesgos del proyecto y la entrega de valor al negocio. Este enfoque reduce el
riesgo de costos inesperados y cancelaciones de proyectos, mejora las comunicaciones y la asociacin de
usuarios de negocios y al final, se asegura el valor y la calidad de los entregables del proyecto, y
maximiza su contribucin a los programas de inversiones habilitadas por TI.
AI1 Identificar soluciones automatizadas la necesidad de una nueva aplicacin o funcin requiere
de un anlisis antes de la adquisicin o creacin que asegure que los requerimientos del negocio se
cumplen en un enfoque eficaz y eficiente. Este proceso abarca la definicin de las necesidades, la
consideracin de fuentes alternativas, la revisin de la viabilidad tecnolgica y econmica, la
ejecucin de un anlisis de riesgos y anlisis de costo-beneficio, y la conclusin de una decisin
definitiva "hacer" o "comprar." Todos estos pasos permiten a las organizaciones minimizar el coste
de adquirir e implementar soluciones garantizando al mismo tiempo que permiten a la empresa
alcanzar sus objetivos.
AI2 Adquir y mantener software aplicativo las aplicaciones estn disponibles en lnea con los
requerimientos del negocio. Este proceso abarca el diseo de las aplicaciones, la inclusin adecuada
de los controles de aplicacin y requisitos de seguridad y el desarrollo y la configuracin en lnea
con las normas. Esto permite a las organizaciones apoyar adecuadamente las operaciones de negocio
con las aplicaciones automatizadas correctas.
AI3 Adquirir y mantener infraestructura tecnologa las organizaciones que tienen procedimientos
para la adquisicin, implementacin y actualizacin de la infraestructura tecnolgica. Esto requiere un
enfoque planificado para la adquisicin, mantenimiento y proteccin de la infraestructura en
consonancia con las estrategias de tecnologa acordadas y la provisin de entornos de desarrollo y
prueba. Esto asegura que existe un apoyo permanente tecnolgico para las aplicaciones empresariales.
AI4 Facilitar la operacin y uso el conocimiento sobre los sistemas nuevos que se encuentren disponibles.
Este proceso requiere la produccin de documentacin y manuales para los usuarios de TI, y proporciona
una formacin que garantice el buen uso y funcionamiento de las aplicaciones y la infraestructura.
AI5Adquirir recursos de TI los recursos de TI, incluyendo personas, hardware, software y
servicios, deben ser adquiridos. Esto requiere la definicin y aplicacin de los procedimientos de
contratacin, la seleccin de proveedores, la configuracin de los acuerdos contractuales, y la
adquisicin en s. As, asegura que la organizacin tiene todo lo que requiere, recursos de manera
oportuna y rentable.
AI7 Instalar y acreditar soluciones y cambios los nuevos sistemas deben ponerse en marcha, una
vez completado su desarrollo. Esto requiere pruebas adecuadas en un ambiente dedicado con datos
de las pruebas pertinentes, la definicin de las instrucciones de despliegue y la migracin, la
planificacin de la liberacin y la promocin real de la produccin, y una revisin post-
implementacin. Esto asegura que los sistemas operativos estn en lnea con las expectativas
acordadas y los resultados.

Consulte las Prcticas de Control de COBIT: Gua para lograr los objetivos de control de xito de
Gobierno de TI, 2da Edicin, publicado en 2007 del Gobierno de IT Governance Institute, por el valor
de control de la prctica relacionada con los conductores y el riesgo.

Habilidades Mnimas de auditora
El profesional de auditora de TI y seguridad debe tener una comprensin del desarrollo de la buena
prctica de los sistemas y los procesos de gestin de proyectos. Los profesionales de haber logrado la
certificacin CISA o tener las habilidades tcnicas necesarias para realizar algunos pasos de auditora.
Puede requerir la comprensin especfica de los entornos de sistemas operativos en uso, los sistemas de
gestin de bibliotecas y de informtica, tcnicas de auditora asistidas (TAAC).

Programa de Auditoria de Desarrollo de Sistemas y Gestin de Proyectos

PASOS DEL PROGRAMA
Proceso de
COBIT
relacionado
Subproceso
a evaluar
COSO
Prioridad
A
m
b
i
e
n
t
e

d
e

C
o
n
t
r
o
l

E
v
a
l
u
a
c
i

n

d
e

R
i
e
s
g
o
s

A
c
t
i
v
i
d
a
d
e
s

d
e

C
o
n
t
r
o
l

I n
f
o
r
m
a
c
i
n
y
c
o
m
u
n
i c
a
c
i
n

M
o
n
i
t
o
r
e
o

1 . PLANIFICACIN Y ALCANCE DE LA AUDITORA
1
Ideas / Descripcin de subprocesos


Definir los objetivos de la auditoria. 1.1
Los objetivos de la auditora son de alto nivel y describen los objetivos generales de auditora.
ME2 ME2.1

1.1.1.1 Revisar los objetivos de la auditoria para iniciar el programa de auditoria.


1.1.1.2 Modificar los objetivos de la auditoria para alinearlo con la auditoria general, el plan anual de auditoria o la carta de
la gerencia.


Definir los lmites de la revisin. 1.2
La revisin debe tener un alcance definido. El revisor debe comprender el entorno operativo y preparar una propuesta de alcance,
sin perjuicio para una posterior evaluacin de riesgos.
ME2 ME2.1

1.2.1.1 Realizar un recorrido de alto nivel del proyecto que ser revisado.


1.2.1.1.1.1 Determinar en que fase del proyecto esta.


1.2.1.1.1.2 Obtener una lista de los cambios implementados a la produccin para el periodo de prueba.


1.2.1.1.1.3 Determinar las aplicaciones y/o entornos operativos atendidos por proyectos.


1.2.1.1.1.4 Obtener una lista de las aplicaciones crticas de las especificadas en la Sarbanes-Oxley.


1.2.1.1.1.5 Obtener una lista de los nuevos sistemas implementados o mejoras importantes a los sistemas existentes para el periodo de
prueba.


1.2.1.2 Establecer los lmites iniciales de la revision de la auditoria.


1.2.1.2.1.1 Identificar las limitaciones y restrinciones que afectan a la auditoria de sistemas especificos.


1.2.1.3 Revisar todas las fases y pasos dentro de este programa de auditoria.


1.2.1.3.1.1 Seleccionar los pasos dentro de la fase que son aplicables a los alcances y los lmites establecidos.


1.2.1.3.1.2 Considerar medidas adicionales segn sea necesario en function del alcance establecido.


1.2.1.3.1.3 Considerar el uso de programas adidionales de auditorias para aplicaciones especificas y problemas operacionales de TI.


Definir la seguridad. 1.3


PASOS DEL PROGRAMA
Proceso de
COBIT
relacionado
Subproceso
a evaluar
COSO
Prioridad
A
m
b
i
e
n
t
e

d
e

C
o
n
t
r
o
l

E
v
a
l
u
a
c
i

n

d
e

R
i
e
s
g
o
s

A
c
t
i
v
i
d
a
d
e
s

d
e

C
o
n
t
r
o
l

I n
f
o
r
m
a
c
i
n
y
c
o
m
u
n
i c
a
c
i
n

M
o
n
i
t
o
r
e
o

La revisin require de dos fuentes. Los estandares corporativos definidos en la documentacion de politicas y procedimientos que
establezca las expectativas de las empresas. Como minino, los estndares corportativos deben ser implementados. La segunda
fuente, una referencia de buenas prcticas, establece estndares de la industria. Las mejoras deben ser propuestas para hacer frente
a las diferencias entre los dos.
1.3.1.1 Obtencin de las normas de desarrollo de los sistemas de la empresa, el manual de la metodologa del desarrollo de
los sistemas, las normas de gestin de proyectos y el manual de metodologa del proyecto.


1.3.1.2 Determinar si se usar COBIT y un marco de desarrollo de sistemas apropiado como buenas prcticas de referencia.


Identificar los riesgos y los documentos. 1.4
En la evaluacin de riesgos es necesario evaluar los recursos de auditoria en donde debe centrarse. En la mayora de las
organizaciones, los recursos de auditora no estn disponibles para todos los procesos. El enfoque basado en el riesgo garantiza la
utilizacin de los recuros de auditoria de la la manera ms efiecaz.


1.4.1.1 Para los proyectos identificados como foco potencial:


1.4.1.1.1.1 Identificar el riesgo del negocio asociado a la aplicacin en desarrollo.


1.4.1.1.1.2 Identificar los riesgos tecnolgicos asociados a la aplicacin en desarrollo.


1.4.1.1.1.3 Evaluar los riesgos empresariales y tecnolgicos.


1.4.1.2 Con base en la evaluacin de riesgos, identificar los cambios en el mbito de aplicacin.


1.4.1.3 Discutir los riesgos de TI, de negocios y de gestin de auditoria operacional, y ajustarlo a la evaluacin de riesgos.


1.4.1.4 Con base en la evaluacin de riesgos, revisar el alcance.


Definir el proceso de cambio. 1.5
El enfoque de la auditoria se basa en la compresin de la revicin del entorno operativo y los riesgos asociados. Y como es que se
lleva a cabo la investigacin y el anlisis, los cambios en el alcance y el enfoque.


1.5.1.1 Identificar el senior de IT responsable de la revisin de los recursos.


1.5.1.2 Establecer el proceso para sugerir e implementar cambios en el programa de auditora y las autorizaciones
requeridas.


Definir el exito de la asignacin. 1.6
Es necesario identificar los factores de xito. Es esencial la comunicacin entre el equipo de auditora de TI, los otros equipos de
aseguramiento y la empresa.


1.6.1.1 Identificar los controladores para una revisin exitosa (Esto debe existir en las normas de la funcin de garanta y
los procedimientos)


1.6.1.2 Comunicar el xito atribuye al propietario del proceso o los interesados clave y obtener un acuerdo.


PASOS DEL PROGRAMA
Proceso de
COBIT
relacionado
Subproceso
a evaluar
COSO
Prioridad
A
m
b
i
e
n
t
e

d
e

C
o
n
t
r
o
l

E
v
a
l
u
a
c
i

n

d
e

R
i
e
s
g
o
s

A
c
t
i
v
i
d
a
d
e
s

d
e

C
o
n
t
r
o
l

I n
f
o
r
m
a
c
i
n
y
c
o
m
u
n
i c
a
c
i
n

M
o
n
i
t
o
r
e
o

Definir los recursos de auditora requeridos. 1.7
Los recursos necesarios se definen en la introduccin de este programa de auditora.


1.7.1.1 Determinar las habilidades de auditora necesarios para su revisin.


1.7.1.2 Determinar el total de recursos estimados (horas) y los plazos (fechas de inicio y final) requieridos para la revisin.


Definir los entregables. 1.8
La entrega no se limita al informe final. Las comunicaciones entre los equipos de auditora y el propietario del proceso son
esenciales para el xito de la asignacin.


1.8.1.1 Determinar las prestaciones provisionales, incluidas las conclusiones iniciales, informes de situacin, informes de
proyectos, fechas de vencimiento para las respuestas y el informe final.


Comunicaciones
El proceso de auditora se comunica con claridad al cliente.


1.9.1 Llevar a cabo una conferencia de apertura para discutir los objetivos de la revisin con el ejecutivo responsable de
los sistemas operativos y de infraestructura.


2 . ENTENDIMIENTO DE APOYO DE INFRAESTRUCTURA


El proceso de desarrollo de sistemas y gestin de proyectos son compatibles con las normas de la entidad, los 2.1
procesos y procedimientos. Para evaluar correctamente el proceso, la infraestructura de apoyo debe ser revisado y
evaluado.


2.1.1.1 Revisar la documentacin de gestin de proyectos y establecer una comprensin del proceso y sus controles.


2.1.1.2 Revisar la documentacin de los sistemas en desarrollo y establecer una comprensin del proceso y sus controles.


3 . FASE DE INICIACIN
La fase de iniciacin aborda la preparacin del concepto inicial, caso de negocio, el alcance, la creacin del equipo de proyecto, y la
preparacin y aprobacin del presupuesto y las solicitudes de gastos de capital. Si se requiere de un tercero durante la fase de
iniciacin, la contratacin de ese servicio tambin es parte de esta fase.


Gobierno 3.1
Objetivo de auditora: La gestin debe proporcionar una gobernanza adecuada sobre el proyecto para asegurar que el proyecto
est adecuadamente definido y aprobado por la alta gerencia y el negocio, y los recursos tcnicos se asignan. Los
procedimientos deben ser definidos para que la administracin sea informada de la evolucin. Las comunicaciones y los
criterios de escalamiento deben estar en su lugar para permitir la administracin responder a las cuestiones que puedan surgir.


3.1.1.1 Caso de negocio
Control: Un caso de negocio ha sido preparado y revisado por la direccin. El caso de negocio es el fundamento
para iniciar el proyecto, los beneficios esperados, los costos estimados, y los atributos clave para evaluar el xito del

PO10.1
PO10.2
ME4.2
ME4.3
X

PASOS DEL PROGRAMA
Proceso de
COBIT
relacionado
Subproceso
a evaluar
COSO
Prioridad
A
m
b
i
e
n
t
e

d
e

C
o
n
t
r
o
l

E
v
a
l
u
a
c
i

n

d
e

R
i
e
s
g
o
s

A
c
t
i
v
i
d
a
d
e
s

d
e

C
o
n
t
r
o
l

I n
f
o
r
m
a
c
i
n
y
c
o
m
u
n
i c
a
c
i
n

M
o
n
i
t
o
r
e
o

proyecto.
3.1.1.1.1.1 Obtener el documento del caso de negocio.


3.1.1.1.1.2 Revisin del caso de negocio para determinar si se describe el motivo de la solicitud, los beneficios esperados, los costos
estimados, ahorros de costes o la generacin de ingresos, retorno estimada de la inversin (ROI) y los indicadores clave de
rendimiento (KPI) para el proyecto.


3.1.1.1.1.3 Entrevista a los interesados clave para determinar su participacin en el proceso.


3.1.1.1.1.4 Revisar la base para el caso de negocio para determinar si los supuestos utilizados para justificar el proyecto contaron con
el apoyo.


3.1.1.2 Gestin del alcance
Control: El alcance inicial del proyecto se ha establecido a travs de un estudio de viabilidad, la alineacin con la
arquitectura de TI y el desarrollo de un plan de proyecto inicial de alto nivel.

AI1.1
AI1.2
AI1.3
AI1.4
X X

3.1.1.2.1.1 Obtener el estudio de viabilidad inicial.


3.1.1.2.1.2 Con base en el documento de viabilidad y entrevistas con la administracin, determinar si el alcance del proyecto se
defini adecuadamente.


3.1.1.2.1.3 Si no se haba realizado un estudio de viabilidad, determinar cmo se logran las decisiones sobre el alcance y si son
compatibles con los objetivos de la empresa.


3.1.1.2.1.4 Determinar si se han revisado los niveles adecuados de gestin en el alcance inicial.


3.1.1.3 Funciones y responsabilidades
Control: La responsabilidad del proyecto se le asigna a los interesados clave seniors (de alto nivel) de las unidades
de negocio afectadas y de TI.

ME1.5
AI1.4
X X X X

3.1.1.3.1.1 Determinar si se ha establecido un comit de direccin para supervisar este proyecto.


3.1.1.3.1.2 Determinar el patrocinador ejecutivo y presidente del comit de direccin.


3.1.1.3.1.3 Determinar si el presidente tiene la autoridad necesaria para dirigir este proyecto.


3.1.1.3.1.4 Determinar si las unidades de negocio afectadas por el proyecto estn representados en el comit directivo en el nivel
ejecutivo apropiado.


3.1.1.3.1.5 Determinar el papel del comit de direccin, revisar el documento de carta o similar.


3.1.1.3.1.6 Determinar si se ha asignado el equipo senior del proyecto y reportado al comit directivo. Identificar el lder del
proyecto. Si el lder no es de la empresa (por ejemplo, que est liderando el proceso), determinar el efecto de este liderazgo en el
proyecto.


PASOS DEL PROGRAMA
Proceso de
COBIT
relacionado
Subproceso
a evaluar
COSO
Prioridad
A
m
b
i
e
n
t
e

d
e

C
o
n
t
r
o
l

E
v
a
l
u
a
c
i

n

d
e

R
i
e
s
g
o
s

A
c
t
i
v
i
d
a
d
e
s

d
e

C
o
n
t
r
o
l

I n
f
o
r
m
a
c
i
n
y
c
o
m
u
n
i c
a
c
i
n

M
o
n
i
t
o
r
e
o


3.1.1.4 Aprobaciones
Control: El proyecto es aprobado por la alta direccin, en funcin de la inversin y la criticidad del proyecto, y las
aprobaciones estn documentadas.

PO5.1
PO5.4
PO10.3
PO10.4
AI1.4
X X X

3.1.1.4.1.1 Determinar quin es el jefe ejecutivo responsable para el proyecto, obtener pruebas de su aprobacin del proyecto, y
determinar si est en el nivel de autoridad competente para aprobar el proyecto.


3.1.1.4.1.2 Determinar si se ha elaborado y aprobado una solicitud de financiacin del proyecto.


3.1.1.4.1.3 Determinar si las autorizaciones estn en conformidad con las polticas organizacionales.


3.1.1.4.1.4 Determinar si el presupuesto tiene el gasto de capital apropiado y/o categoras de gastos sobre la base de las prcticas
contables.


3.1.1.5 Retorno de la inversin y los indicadores clave de rendimiento
Control: mtricas para evaluar objetivamente el xito de un proyecto se han establecido.

PO5.1
PO5.5
PO10.3
ME4.3
X X

3.1.1.5.1.1 Determinar si la rentabilidad esperada de la inversin se ha definido en el caso de negocio. Evaluar la efectividad de esta
medida y la objetividad de su clculo.


3.1.1.5.1.2 Determinar si los indicadores clave de desempeo han sido establecidos para medir el rendimiento del equipo del proyecto
y el proyecto.


3.1.1.6 Gestin de Escalamiento
Control: el escalamiento de los problemas graves del proyecto deben dirigirse a el comit de direccin y la alta
gerencia de manera oportuna, el escalamiento debe ser documentado y monitoreado.


PO10.13

X X X

3.1.1.6.1.1 Obtener el procedimiento de escalamiento y evaluar el diseo de control para garantizar una respuesta oportuna.


3.1.1.7 Decisiones de comprar o construir
Control: las decisiones de comprar o construir se basan en hechos. La documentacin de soporte apoya la decisin
de comprar o construir.

AI1.3
AI2.5
ME4.2
X X

3.1.1.7.1.1 Determinar si el proyecto incluye una decisin de comprar o construir.



3.1.1.7.1.2 Si hay o ha haba una decisin de compra/construccin, determinar la objetividad de los criterios utilizados para tomar la
decisin.


3.1.1.7.1.3 Determinar que la decisin de comprar o construir no se vio influenciada por compensaciones o recompensas.


PASOS DEL PROGRAMA
Proceso de
COBIT
relacionado
Subproceso
a evaluar
COSO
Prioridad
A
m
b
i
e
n
t
e

d
e

C
o
n
t
r
o
l

E
v
a
l
u
a
c
i

n

d
e

R
i
e
s
g
o
s

A
c
t
i
v
i
d
a
d
e
s

d
e

C
o
n
t
r
o
l

I n
f
o
r
m
a
c
i
n
y
c
o
m
u
n
i c
a
c
i
n

M
o
n
i
t
o
r
e
o

Gestin de proyectos 3.2
Objetivo de auditora: El enfoque de la gestin de proyectos deben ser acordes con los requisitos de tamao, complejidad y
normativa del proyecto. Los controles de gestin del proyecto deben garantizar una supervisin adecuada del proyecto (los
plazos financieros, reuniones, etc.), la participacin adecuada de los interesados clave e iterativas de evaluacin de riesgos,
monitoreo de los problemas, y el escalamiento de los problemas cuando sea necesario.


3.2.1.1 Integracin de la gestin empresarial / informacin
Control: Los equipos de gestin empresarial y la informacin estn integrados, los requisitos de informacin estn
claramente documentados, los objetivos del proyecto estn alineados con las estrategias de negocios e informacin,
y todas las unidades de negocio afectadas estn involucradas en el proyecto. El comit de direccin revisa la
efectividad de la integracin.

PO8.1
PO10.3
PO10.6
ME4.2
X X X X

3.2.1.1.1.1 Entrevistar los lderes del equipo que representan a las unidades de negocio y tecnologa de la informacin. Determinar si
los equipos de proyecto estn en alineacin con las estrategias de su organizacin separada.


3.2.1.1.1.2 Obtener el organigrama del proyecto y determinar las posiciones de liderazgo.


3.2.1.1.1.3 Si se gestiona el proyecto, determinar el proceso para asegurar la plena participacin y concertacin con las unidades de
negocio.


3.2.1.2 Composicin del equipo de proyecto
Control: El equipo del proyecto est formado por un jefe de equipo del proyecto con la experiencia adecuada en
gestin de proyectos y el equipo se compone de los conjuntos de habilidades y niveles de autoridad de sus
respectivas unidades de negocio.

PO10.3
PO10.8
X X

3.2.1.2.1.1 Evaluar la experiencia del lder del equipo del proyecto. Considere la posibilidad de su experiencia profesional, que
conocimientos de procesos de negocio estn desarrollando, las habilidades de liderazgo y la autoridad otorgada por el comit de
direccin.


3.2.1.2.1.2 Determinar si existen restricciones o gravmenes que impidan que el lder del equipo del proyecto lidere el proyecto de
manera efectiva.


3.2.1.2.1.3 Los conocimientos de revisin del equipo del proyecto. Determinar si las habilidades apropiadas estn representadas.
Considere la posibilidad de conocimiento del negocio, la representacin de las unidades de negocio afectadas, la experiencia de TI,
etc.


3.2.1.3 Gestion de riesgo y problemas
Control: El anlisis de riesgos se ha aplicado al proyecto durante la fase inicial, los riesgos han sido identificados.
Cuando los riesgos pueden ser mitigados, los procesos correspondientes se han realizado, donde los riesgos son
inherentes al proceso, los procesos apropiados de Monitoreo estn claros.

PO9.1
PO10.2
PO10.9
PO10.13
AI1.2
X X X X

3.2.1.3.1.1 Determinar si el equipo del proyecto ha preparado un perodo inicial de evaluacion de riesgos.


PASOS DEL PROGRAMA
Proceso de
COBIT
relacionado
Subproceso
a evaluar
COSO
Prioridad
A
m
b
i
e
n
t
e

d
e

C
o
n
t
r
o
l

E
v
a
l
u
a
c
i

n

d
e

R
i
e
s
g
o
s

A
c
t
i
v
i
d
a
d
e
s

d
e

C
o
n
t
r
o
l

I n
f
o
r
m
a
c
i
n
y
c
o
m
u
n
i c
a
c
i
n

M
o
n
i
t
o
r
e
o

3.2.1.3.1.2 Revisin de la evaluacin de riesgos a fin de determinar si la evaluacin es integral y los riesgos se identifican claramente.
Tenga en cuenta la reputacin, los negocios operativos, riesgos financieros, regulatorios y organizacionales.


3.2.1.3.1.3 Revisar el proceso de Monitoreo para garantizar que el comit directivo y de los patrocinadores principales del proyecto
han revisado la evaluacion de riesgos.


3.2.1.4 Procedimientos de escalamiento
Control: los procedimientos de escalamiento se establecen para incluir monitoreo por el comit directivo.
PO10.3 X X X

3.2.1.4.1.1 Los procedimientos de revisin de escalamiento para verificar la existencia de un plan de escalamiento y la inclusin de
un proceso de revisin documentada por la gestin del proyecto y el comit directivo.


3.2.1.5 Gestin de la calidad
Control: El promotor del proyecto ha definido expectativas especficas y criterios de calidad.

PO8.6
PO10.10
AI2.8
X X X

3.2.1.5.1.1 Los requisitos de revisin de gestin de calidad, identificar el proceso de aseguramiento de la calidad. Tenga en cuenta los
criterios de aceptacin del usuario, el proceso de revisin de los modelos financieros, las decisiones importantes de revisin,
programacin, supervisin del diseo, etc.


3.2.1.5.1.2 Revisin aprobacin de la gerencia del plan de calidad y las comunicaciones con el equipo de proyecto y los interesados.


3.2.1.6 Uso de la metodologa de desarrollo
Control: El proyecto utiliza la metodologa de la organizacin el desarrollo y la metodologa es apropiada para el
tamao, el alcance y la arquitectura del proyecto.

PO10.2
PO10.3
X X

3.2.1.6.1.1 Determinar la metodologa de desarrollo de los sistemas utilizados para el proyecto.


3.2.1.6.1.2 Basndose en el tamao del proyecto, el alcance y la arquitectura, verificar que la metodologa de desarrollo de sistemas
es amplia para alcanzar los objetivos del proyecto y no es demasiado complejo para el proyecto.


3.2.1.7 Gestin del cambio


3.2.1.8 Planificacin y control


3.2.1.9 Progreso de control


3.2.1.10 Gestion de gastos y del tiempo


3.2.1.11 Comunicaciones
Control: un plan de comunicacin se ha establecido para proporcionar a los interesados y el liderazgo del proyecto
con la informacin apropiada para asegurar que el proyecto cumple con la funcionalidad, los objetivos
presupuestarios y la lnea de tiempo.

PO10.1
PO10.2
X X

3.2.1.11.1.1 Obtener el plan de comunicaciones.


PASOS DEL PROGRAMA
Proceso de
COBIT
relacionado
Subproceso
a evaluar
COSO
Prioridad
A
m
b
i
e
n
t
e

d
e

C
o
n
t
r
o
l

E
v
a
l
u
a
c
i

n

d
e

R
i
e
s
g
o
s

A
c
t
i
v
i
d
a
d
e
s

d
e

C
o
n
t
r
o
l

I n
f
o
r
m
a
c
i
n
y
c
o
m
u
n
i c
a
c
i
n

M
o
n
i
t
o
r
e
o

3.2.1.11.2 Verificar que los interesados clave, los participantes del proyecto y los patrocinadores se incluyen en las listas de
distribucin.


3.2.1.11.3 Verificar que el plan de comunicacin incluye el mtodo de las comunicaciones (correo electrnico, presentacin, informe
oficial, el informe de estado, etc.) y el contenido que se publicar, incluyendo su frecuencia.


3.2.1.11.4 Determinar si el plan incluye los informes de excepciones.


Presupuesto 3.3
Objetivo de auditora: El presupuesto y los procesos de contabilidad deben ser exactos, completo y proporcionar la informacin
necesaria para gestionar el proyecto.


3.3.1.1 Estado del presupuesto


3.3.1.2 Contabilidad
Control: El reconocimiento de los gastos frente a los gastos de capital se encuentra en el cumplimiento de
impuestos y los principios de contabilidad.
ME1.2 X

3.3.1.2.1.1 Determinar si las solicitudes de gastos de capital para el proyecto han sido autorizados por el responsable de aprobacin
correspondiente.


3.3.1.2.1.2 Determinar si el tratamiento de los gastos de capital en cumplimiento de los requisitos contables y fiscales.


3.3.1.2.1.3 Determinar si el trabajo inicial del proyecto ha sido imputados con la intencin de transferir posteriormente los gastos a la
cuenta de gastos de capital.


3.3.1.3 Contabilidad en tiempo real


Los controles internos 3.4


3.4.1.1 Requisitos de control interno


3.4.1.2 Control interno de evaluacion de riesgos


3.4.1.3 Desarollo de las TACC


La adecuacin de las pruebas 3.5


Implantacin 3.6


Proveedores externos 3.7
Objetivo de Auditora: El uso y la adquisicin de la asistencia de terceros deben ser definidos, y los criterios para obtener y
evaluar los servicios de terceros objetivamente establecidos y documentados.


3.7.1.1 Proveedores de Servicios
Control: los requisitos de los proveedores de servicios estn claramente establecidos, los criterios para solicitar y

AI5.1
AI5.2
X

PASOS DEL PROGRAMA
Proceso de
COBIT
relacionado
Subproceso
a evaluar
COSO
Prioridad
A
m
b
i
e
n
t
e

d
e

C
o
n
t
r
o
l

E
v
a
l
u
a
c
i

n

d
e

R
i
e
s
g
o
s

A
c
t
i
v
i
d
a
d
e
s

d
e

C
o
n
t
r
o
l

I n
f
o
r
m
a
c
i
n
y
c
o
m
u
n
i c
a
c
i
n

M
o
n
i
t
o
r
e
o

aceptar los servicios estn documentados y seguir un procedimiento establecido. AI5.3
AI5.4
3.7.1.1.1.1 Determinar si se ha documentado un caso de negocio para la adquisicin de los servicios de un proveedor externo.


3.7.1.1.1.2 Determinar si las alternativas internas han sido consideradas.


3.7.1.1.1.3 Revisar los criterios documentados para solicitar y aceptar los servicios de terceros.


3.7.1.1.1.4 Determinar si es necesario un tercero para las fases iniciales y la planificacin.


3.7.1.1.1.5 Si es necesario un tercero para la fase de planificacin, revisar el proceso de contratacin y determinar si los
procedimientos se han seguido.



4 . FASE DE PLANIFICACIN
La fase de planificacin se refiere a la preparacin del plan de detalle del proyecto. Durante esta fase, la definicin de requisitos, que
describe los atributos de los datos y procesos especficos de negocios, se prepara. Si la solucin implica la compra de software, se
inicia un ciclo de adquisicin. Se trata de solicitar la solicitud de propuestas (RFP), la evaluacin de respuestas de los proveedores,
la seleccin de un proveedor y negociar un contrato. Si la solucin se dise en la empresa, la fase de planificacin consiste en un
diseo detallado de la solucin para su uso por los desarrolladores en la fase de ejecucin.


Gobierno 4.1
Objetivo de auditora: La gestin debe proporcionar una gobernanza adecuada sobre el proyecto para asegurar que el proyecto est
adecuadamente planificado y los recursos tcnicos y de negocio se han asignado. Los procedimientos deben ser definidos para que
la administracin sea informada de la evolucin. Comunicaciones y procedimientos de escalamiento deben estar en su lugar para
permitir la administracin para responder a las cuestiones que puedan surgir.


4.1.1.1 Caso de Negocio
Control: Sobre una base regular, el liderazgo del equipo del proyecto supervisa y proporciona informes a los
patrocinadores ejecutivos en la adaptacin constante del plan de proyecto con el modelo de negocio.

PO10.1
AI1.1
ME1.5
ME4.2
ME4.3
X X X

4.1.1.1.1.1 Verifique que los interesados clave han recibido una declaracin documentada formalmente definiendo los objetivos, el
alcance y valor de los negocios del proyecto antes que el trabajo haya comenzado en la fase de planificacin.


4.1.1.1.1.2 Verificar que el proyecto ha sido acordado y que no se documenta la aceptacin de las principales partes interesadas,
patrocinadores ejecutivos y el comit de direccin.
X X X

4.1.1.1.1.3 Los procedimientos de revisin del equipo del proyecto para verificar que el equipo del proyecto analiza sistemticamente
la alineacin del plan del proyecto y el modelo de negocio.


4.1.1.1.1.4 Revisar las comunicaciones del equipo del proyecto con el patrocinador ejecutivo para determinar que el plan del proyecto
y caso de negocio estn en alineacin, o que las comunicaciones describen los cambios realizados ya sea el caso de negocio o el plan


PASOS DEL PROGRAMA
Proceso de
COBIT
relacionado
Subproceso
a evaluar
COSO
Prioridad
A
m
b
i
e
n
t
e

d
e

C
o
n
t
r
o
l

E
v
a
l
u
a
c
i

n

d
e

R
i
e
s
g
o
s

A
c
t
i
v
i
d
a
d
e
s

d
e

C
o
n
t
r
o
l

I n
f
o
r
m
a
c
i
n
y
c
o
m
u
n
i c
a
c
i
n

M
o
n
i
t
o
r
e
o

para mantener la alineacin.
4.1.1.2 mbito de Gestin
Los objetivos de control: El alcance del proyecto est claramente definido y un plan de proyecto ha sido
desarrollado que claramente identifica las fases, procesos y subprocesos. La responsabilidad de la gestin de
cambios en el alcance se define y se establezcan procedimientos para obtener la aprobacin de los cambios en el
alcance del comit directivo del proyecto o de los patrocinadores ejecutivos.
PO10.5 X X X

4.1.1.2.1.1 Obtener el plan del proyecto.


4.1.1.2.2 Revisar el plan del proyecto y evaluar los detalles del plan. Como mnimo, un plan detallado de las fases, procesos,
subprocesos, los hitos y las asignaciones de recursos deben ser documentados. Este plan puede cambiar con el tiempo, y debe
considerarse un documento vivo.


4.1.1.2.3 En base al conocimiento del revisor del proyecto, evaluar la totalidad del plan del proyecto.


4.1.1.2.3.1 Obtener el procedimiento de cambio de alcance y determinar si el procedimiento requiere de la participacin del comit
directivo, cuando el alcance ha cambiado. Para la muestra de los cambios seleccionados, obtenga el cuaderno del proyecto para todos
los cambios incluidos en la muestra para verificar que en cada uno:
Se ha entrado en la herramienta de gestin de proyectos
Se ha llevado a cabo un anlisis de costo-beneficio en el umbral que requiere anlisis de este tipo
Un anlisis del efecto sobre la totalidad del proyecto, realizado y aprobado por el director del
proyecto y patrocinador ejecutivo (umbral por encima)
Un anlisis de los recursos realizado y aprobado


4.1.1.2.4 Objetivo de la prueba: verificar que los cambios en el alcance se implementan con el conocimiento y aprobacin del comit
de direccin o de los patrocinadores ejecutivos


4.1.1.2.4.1 Seleccione una muestra representativa de los cambios de alcance, centrndose en
aquellos de mayor impacto para el proyecto.


4.1.1.2.4.2 Verifique lo siguiente para el cambio de alcance:
Aprobacin documentada de la gestin
Rapidez en la aprobacin


4.1.1.2.5 Determinar si el proceso se ha retrasado o evitado.


4.1.1.2.5.1 Determinar que las reas "fuera del campo" estn claramente identificadas.


4.1.1.3 Funciones y responsabilidades
Control: Funciones y responsabilidades del equipo del proyecto estn claramente identificadas; adecuados
expertos en la materia y los interesados clave se incluyen en el equipo del proyecto, y la divisin de
responsabilidades es apropiada para el proyecto y la estructura de la entidad el nivel de organizacin (incluyendo
la separacin de funciones).

PO7.3
PO10.3
X X

PASOS DEL PROGRAMA
Proceso de
COBIT
relacionado
Subproceso
a evaluar
COSO
Prioridad
A
m
b
i
e
n
t
e

d
e

C
o
n
t
r
o
l

E
v
a
l
u
a
c
i

n

d
e

R
i
e
s
g
o
s

A
c
t
i
v
i
d
a
d
e
s

d
e

C
o
n
t
r
o
l

I n
f
o
r
m
a
c
i
n
y
c
o
m
u
n
i c
a
c
i
n

M
o
n
i
t
o
r
e
o

4.1.1.3.1.1 Determinar si las siguientes funciones se identifican: Propietario, patrocinador ejecutivo, jefe de proyecto, el representante
del comit directivo (del equipo del proyecto).


4.1.1.3.1.2 Determinar si el equipo del proyecto incluye a miembros de todas las unidades de negocio afectadas, el desarrollo de
sistemas, operaciones de TI, seguridad de informacin, auditora interna, cumplimiento legal, proveedores y otras reas pertinentes.


4.1.1.3.1.3 Determinar la conveniencia de la divisin de responsabilidades entre el grupo ejecutivo de la organizacin (comit
directivo), el patrocinador ejecutivo, el director del proyecto y de terceros proveedores (si procede).


4.1.1.3.1.4 Determinar quin es responsable de la totalidad del proyecto, incluyendo la entrega de los alcances del proyecto aprobado,
el presupuesto y el calendario. Evaluar si la responsabilidad se ha asignado en el nivel ejecutivo apropiado


4.1.1.3.1.5 Determinar si el lder del proyecto tiene adecuadas las responsabilidades asignadas, incluyendo la gestin de la calidad, la
autoridad presupuestaria (recursos y gastos), los resultados y las decisiones de ir o no ir.


4.1.1.4 Retorno de la inversin y KPIs
Control: Los clculos para determinar el proyecto de retorno de la inversin y los KPIs son aprobados por el
comit directivo y el patrocinador ejecutivo, son objetivos y describen el estado significativo del proyecto y una
medida de su xito.

PO10.3
PO13.13
ME4.3
X X X

4.1.1.4.1.1 Determinar los atributos para el clculo de retorno de la inversin del proyecto. Considere si los atributos son objetivos,
repetibles e incluir la informacin relevante que se puede comparar de perodo a perodo.


4.1.1.4.1.2 Determinar si los KPI objetivamente representan un avance del proyecto. Considere si los indicadores clave de
rendimiento bastante compensar el equipo del proyecto (si procede) y la compensacin no afectar a la objetividad del equipo en la
presentacin de informes (evitar conflictos de intereses).


4.1.1.5 Gestin de escalamiento
Control: El comit directivo y los patrocinadores ejecutivos reciben y actan sobre los problemas intensificados
por el equipo del proyecto.
PO10.13 X X X X

4.1.1.5.1.1 Determinar los asuntos identificados en la progresividad procedimientos de escalamiento como se ve en el paso 4.2.4, que
se presentan al comit directivo, con disposicin adecuada.


4.1.1.6 Anlisis funcional compatible con las decisiones de comprar o construir
4.1.1.7 Control: La decisin de comprar o construir se basa en los requisitos empresariales y funcionales, con los
procedimientos de contratacin correspondientes y la autorizacin del comit de direccin.

AI1.1
AI1.2
AI2.3
AI2.5
AI3.1
AI5.1
AI5.2
ME4.2
X X X

4.1.1.7.1.1 Determinar el proceso para decidir si comprar o construir.


PASOS DEL PROGRAMA
Proceso de
COBIT
relacionado
Subproceso
a evaluar
COSO
Prioridad
A
m
b
i
e
n
t
e

d
e

C
o
n
t
r
o
l

E
v
a
l
u
a
c
i

n

d
e

R
i
e
s
g
o
s

A
c
t
i
v
i
d
a
d
e
s

d
e

C
o
n
t
r
o
l

I n
f
o
r
m
a
c
i
n
y
c
o
m
u
n
i c
a
c
i
n

M
o
n
i
t
o
r
e
o

4.1.1.7.1.2 Determinar si la alternativa de construccin fue planeada y si los costos asociados con esta alternativa se considera.


4.1.1.7.1.3 Determinar si el proceso de adquisicin incluye una solicitud de propuesta, una seleccin metdica de los candidatos de
proveedores y los criterios establecidos para la evaluacin de las respuestas.




4.1.1.7.1.4 Determinar si el equipo del proyecto, incluyendo los miembros de equipo de la unidad de negocios bien informados del
proceso de negocio que se sustituye, y los miembros del equipo de TI de los conocedores de la direccin estratgica de TI y la
arquitectura participan activamente en el proceso de evaluacin de proveedores.


4.1.1.7.1.5 Determinar si el cumplimiento legal, y el personal de auditora interna han revisado los acuerdos de contratacin.


4.1.1.7.1.6 Determinar si la decisin final de comprar o construir prev la participacin activa del comit de direccin y aprobacin.


4.1.1.7.1.7 Confirmar a travs de entrevistas con miembros clave del personal que todos los requisitos y criterios de aceptacin han
sido considerados, evaluados, priorizados y documentado de una manera que sea comprensible para los interesados y patrocinadores.


4.1.1.7.1.8 Confirmar a travs de entrevistas con miembros clave del personal que la aplicacin y los requisitos de infraestructura
tcnica satisfacen las necesidades de las normas de la organizacin arquitectura de la informacin y la direccin estratgica.


4.1.1.7.1.9 Verificar a travs de entrevistas con los principales miembros del personal de TI que las excepciones y/o desviaciones de
los estndares de arquitectura de la informacin y la direccin estratgica han documentado la aprobacin de la gestin senior de TI y
de los comits estratgicos.


4.1.1.7.1.10 Verificar si existe un estudio de viabilidad, que establece un curso de accin alternativo que satisfaga los requerimientos
del negocio tcnicos y funcionales.


4.1.1.7.1.11 Verifique que el estudio de viabilidad considera que el potencial de anlisis costo-beneficio de cada una de las
alternativas identificadas y la funcionalidad del sistema.


Gestion de proyectos 4.2
Objetivo de auditora: La actividad de gestin del proyecto debe proporcionar una supervisin adecuada y el proceso para
asegurar la ejecucin oportuna del plan, la mitigacin de los riesgos a medida que se identifican, los problemas se resuelven o se
intensific el nivel de gestin adecuada, la calidad del proceso se mantiene, los costos son monitoreados y reducir al mnimo, y
una decisin de punto clave se hace en cada hito fundamental.



4.2.1.1 Integracin de la gestin empresarial/informacin
Control: Los equipos de gestin empresarial y la informacin siguen integrados como el equipo del proyecto
creado para el proyecto, todas las unidades de negocio afectadas estn involucradas en el proyecto. El comit de
direccin supervisa la efectividad de la integracin.

PO10.3
PO10.6
ME4.2
X X

PASOS DEL PROGRAMA
Proceso de
COBIT
relacionado
Subproceso
a evaluar
COSO
Prioridad
A
m
b
i
e
n
t
e

d
e

C
o
n
t
r
o
l

E
v
a
l
u
a
c
i

n

d
e

R
i
e
s
g
o
s

A
c
t
i
v
i
d
a
d
e
s

d
e

C
o
n
t
r
o
l

I n
f
o
r
m
a
c
i
n
y
c
o
m
u
n
i c
a
c
i
n

M
o
n
i
t
o
r
e
o

4.2.1.1.1.1 Los miembros del equipo de la entrevista, minutos de reunin del equipo de examen, y observar las reuniones de equipo
para determinar la plena participacin de los miembros del equipo.


4.2.1.1.1.2 Determinar si los miembros del equipo parecen ser intimidante o ignorando otros miembros del equipo.


4.2.1.1.1.3 Determinar si el director del proyecto ha informado de ningn cualquier en el proceso de integracin.


4.2.1.2 Composicin del equipo de proyecto
Control: El equipo del proyecto est formado por los recursos adecuados, con el conocimiento de los procesos de
negocio y la solucin automatizada, para planificar de manera efectiva el proyecto.

PO7.3
PO7.4
PO10.3
PO10.8


4.2.1.2.1.1 Determinar si la fase de planificacin del equipo de proyecto es adecuado en trminos de habilidades, el conocimiento del
proceso y el liderazgo para el tamao y el alcance del proyecto.


4.2.1.2.2 Obtener y evaluar las hojas de vida o experiencia profesional de los miembros del equipo.


4.2.1.2.3 Obtener un organigrama y evaluar la eficacia de la organizacin del proyecto.


4.2.1.2.3.1 Determinar si los miembros del equipo estn disponibles para participar en las actividades del proyecto y que otras
obligaciones que no constituyen un obstculo para el progreso del proyecto.


4.2.1.2.4 Entrevistar al director del proyecto y al personal para determinar la disponibilidad.


4.2.1.2.5 Revisar reuniones de minutos para los problemas de asistencia.


4.2.1.2.5.1 Determinar si los planes de contingencia estn claros para reemplazar a los miembros del equipo, ya sea permanentemente
o de forma interina.


4.2.1.3 Gestin de riesgos y problemas
Control: El anlisis de riesgos se ha aplicado al proyecto durante la fase de planificacin, los riesgos han sido
identificados. Cuando los riesgos pueden ser mitigados, los procesos correspondientes se han realizado, donde los
riesgos son inherentes al proceso, los procesos apropiados de Monitoreo estn claro. Los problemas identificados
durante la planificacin se inform, y los temas son controlados y cerrados.

PO10.2
PO10.9
PO10.13
AI1.2
X X X X

4.2.1.3.1.1 Determinar si los riesgos se clasifican en trminos de impacto (la reputacin, las operaciones, las finanzas o la fecha
presupuestaria, la finalizacin, reglamentos, etc.) y la probabilidad de ocurrencia (probabilidad).


4.2.1.3.1.2 Determinar si se utiliza un enfoque holstico para el anlisis de riesgos.


4.2.1.3.1.3 Determinar si los interesados clave estn establecidos en los niveles de tolerancia al riesgo y han participado en el anlisis
de riesgos.


4.2.1.3.1.4 Determinar si los interesados son notificados cuando sus niveles de tolerancia se han superado.


4.2.1.3.1.5 Objetivo de la prueba: Para verificar que los riesgos han sido evaluados y reportados a los interesados clave.


PASOS DEL PROGRAMA
Proceso de
COBIT
relacionado
Subproceso
a evaluar
COSO
Prioridad
A
m
b
i
e
n
t
e

d
e

C
o
n
t
r
o
l

E
v
a
l
u
a
c
i

n

d
e

R
i
e
s
g
o
s

A
c
t
i
v
i
d
a
d
e
s

d
e

C
o
n
t
r
o
l

I n
f
o
r
m
a
c
i
n
y
c
o
m
u
n
i c
a
c
i
n

M
o
n
i
t
o
r
e
o

4.2.1.3.2 Obtener la evaluacin de riesgos inicial para determinar la calidad y el alcance de los Riesgos Evaluacion.


4.2.1.3.3 Determinar si los nuevos riesgos han sido identificados durante el proceso de planificacin. Si es as, determinar cmo el
impacto del riesgo y la probabilidad se evaluaron, cmo los actores fueron notificados, y la disposicin del riesgo (la aceptacin del
riesgo o la mitigacin del proceso que desencaden el riesgo).


4.2.1.3.3.1 Determinar si esta en uso un sistema de Monitoreo por problemas.


4.2.1.3.3.2 Determinar si los problemas estn documentados, revisados y monitoreados.


4.2.1.3.3.3 Objetivo de la prueba: Para verificar que los temas sean identificados, documentados y controlados.



4.2.1.3.4 Entrevistar el equipo de gestin de proyectos y varios miembros del equipo para documentar los problemas conocidos
identificados durante la fase de planificacin.


4.2.1.3.5 Obtener los problemas de registro y comparar los problemas conocidos a los reportados.


4.2.1.4 Procedimientos de escalamiento
Control: los procedimientos de escalamiento se utilizan para informar al equipo del proyecto y el comit de
direccin, en su caso.
PO10.3 X X X

4.2.1.4.1.1 Verificar que un procedimiento de escalamiento est en uso.


4.2.1.4.1.2 Determinar si las cuestiones han requerido el escalamiento, si es as, seguir el proceso del escalamiento.


4.2.1.4.1.3 Determinar si los problemas escalados permanecern abiertos, y en caso afirmativo, determinar el efecto sobre el
proyecto.


4.2.1.5 Gestin de la calidad
Control: El proceso del proyecto se ha definido los procedimientos de garanta de calidad (QA).

PO8.1
PO10.10
AI2.8
X X

4.2.1.5.1.1 Determinar si para las decisiones importantes, hay un plan de control de calidad frente a la revisin de las presentaciones,
los criterios y supuestos.


4.2.1.5.1.2 Evaluar la solidez del plan de control de calidad, considerar la aprobacin de los entregables, revisin de la
documentacin, revisiones de pares, la racionalidad y el proceso de asuncin de gestin de proyectos.


4.2.1.5.1.3 Determinar si se han establecido las funciones de control de calidad.


4.2.1.5.1.4 Determinar si se ha llevado a cabo un examen de control de calidad para la fase actual. Si es as, determinar la gestin del
nivel de documentacin y revisin.


4.2.1.5.1.5 Verificar con el patrocinador de negocios que las revisiones de calidad se llevan a cabo para conocer los requisitos de
negocio funcionales y tcnicas y los informes del estudio de viabilidad, y que los criterios de aceptacin de originales se consideran


PASOS DEL PROGRAMA
Proceso de
COBIT
relacionado
Subproceso
a evaluar
COSO
Prioridad
A
m
b
i
e
n
t
e

d
e

C
o
n
t
r
o
l

E
v
a
l
u
a
c
i

n

d
e

R
i
e
s
g
o
s

A
c
t
i
v
i
d
a
d
e
s

d
e

C
o
n
t
r
o
l

I n
f
o
r
m
a
c
i
n
y
c
o
m
u
n
i c
a
c
i
n

M
o
n
i
t
o
r
e
o

en la evaluacin de la calidad.
4.2.1.5.1.6 Verifique que el plan de calidad identifica claramente a la propiedad, los procesos y las mtricas para proporcionar control
de calidad de los entregables del proyecto que constituyen el sistema de la calidad del proyecto.


4.2.1.5.1.7 Verifique que el plan de calidad establece los requisitos para la validacin y la verificacin independiente de la solucin
de negocios y tcnicos.


4.2.1.6 Uso de la metodologa de desarrollo
Control: El proyecto utiliza la metodologa de la organizacin el desarrollo y la metodologa es apropiada para el
tamao, el alcance y la arquitectura del proyecto.

AI2.1
AI2.2
X

4.2.1.6.1.1 Determinar la metodologa de desarrollo de sistemas que se utilizan para este proyecto.


4.2.1.6.1.2 Confirmar con miembros clave del personal de TI que una especificacin de diseo de alto nivel se define que se traduce
en los requisitos empresariales de desarrollo de software.


4.2.1.6.1.3 Objetivo de la prueba: Para verificar que las especificaciones de alto nivel se traducen en los requisitos empresariales.


4.2.1.6.2 Obtener las especificaciones de diseo del proyecto y determinar que se dirigen a los requerimientos del negocio.


4.2.1.6.2.1 Evaluar el uso de la metodologa de desarrollo de los sistemas en funcin del tamao, el alcance y la arquitectura.
2



4.2.1.6.2.2 Determinar si la metodologa de desarrollo de sistemas se utiliza segn lo previsto.


4.2.1.6.3 Seleccione varias subfases de la fase de planificacin, determinar si el proceso se est siguiendo.



4.2.1.7 Gestin del cambio
Control: Un procedimiento de gestin del cambio se ha implementado que documenta y obtiene la aprobacin de
los cambios en el mbito de aplicacin, ejemplos o atributos clave del proyecto.

PO10.11
AI6.1
AI6.3
AI6.4
X

4.2.1.7.1.1 Obtener el procedimiento de gestin del cambio


4.2.1.7.2 Verificar que se requiere el procedimiento de cambio:


4.2.1.7.2.1 Una solicitud documentada para uncambio


4.2.1.7.2.2 Umbrales, donde el director del proyecto puede aprobar el cambio sin patrocinador
ejecutivo o la autorizacin del comit de direccin



2
Nota: No es la posicin del revisor evaluar la metodologa a utilizar para el sistema de desarrollo, sino ms bien para determinar si el proceso se ajusta al proyecto.
PASOS DEL PROGRAMA
Proceso de
COBIT
relacionado
Subproceso
a evaluar
COSO
Prioridad
A
m
b
i
e
n
t
e

d
e

C
o
n
t
r
o
l

E
v
a
l
u
a
c
i

n

d
e

R
i
e
s
g
o
s

A
c
t
i
v
i
d
a
d
e
s

d
e

C
o
n
t
r
o
l

I n
f
o
r
m
a
c
i
n
y
c
o
m
u
n
i c
a
c
i
n

M
o
n
i
t
o
r
e
o

4.2.1.7.2.3 Los umbrales donde se debe el cambio presentadas a la aprobacin del
patrocinador ejecutivo y/o el comit de direccin


4.2.1.7.2.4 Determinar el proceso de cambios que afectan al modelo de negocio.


4.2.1.7.3 Verificar que los beneficios para el cambio han sido analizados, incluyendo sus efectos sobre los principales riesgos,
costos y fechas de entrega.


4.2.1.7.4 Verificar que los cambios del negocio de casos requieren patrocinador ejecutivo y/o la aprobacin del comit ejecutivo.


4.2.1.7.4.1 objetivo de la prueba: Para verificar que los procedimientos de gestin del cambio se han seguido.


4.2.1.7.5 Seleccin de los cambios del registro de la gestin del cambio.


Verificar que la descripcin apropiadadel cambio ha sido documentada.


Verificar que el efecto en el caso de negocio y el proyecto ha sido documentado.



Determinacin de si se requiere una nueva evaluacin de riesgos y si se hallevado a cabo.


Verificar que las aprobaciones correspondientes se obtuvieron, en base a los umbrales.


Para los proyectos no realizados con xito en la produccin, verificar que la anulacinse
document correctamente y ejecutado con xito por IT en el momento oportuno.


4.2.1.8 Planificacin y control
Control: La planificacin y el control del proyecto incluye el control eficaz del tiempo, un plan de proyecto con
hitos, entregables, una secuencia de proceso, las proyecciones de recursos y la dependencia de la actividad.
PO10.6 X

4.2.1.8.1.1 Determinar la amplitud del plan del proyecto. Considere el nivel de detalle para cada fase, subfase y tarea, los recursos
necesarios, los resultados, los hitos y dependencias.


4.2.1.8.2 Verificar que los hitos y tareas se puede lograr con los recursos disponibles.


4.2.1.8.3 Verificar que la utilizacin de recursos se pueden realizar (recursos trabajando en doble turno o el mantenimiento de las
responsabilidades regulares, mientras que se le asigne al equipo del proyecto).


4.2.1.8.4 Verificar que los entregables se han traducido en las actividades.


4.2.1.8.5 Determinar que los supuestos del proyecto y las limitaciones estn documentados y se incluyen en el plan.


4.2.1.8.6 Determinar que cada tarea tiene un objetivo bien claro y objetivo.


4.2.1.8.6.1 Determinar si los cambios a los documentos de planificacin de proyectos requieren una revisin de control de calidad y
de gestin.


PASOS DEL PROGRAMA
Proceso de
COBIT
relacionado
Subproceso
a evaluar
COSO
Prioridad
A
m
b
i
e
n
t
e

d
e

C
o
n
t
r
o
l

E
v
a
l
u
a
c
i

n

d
e

R
i
e
s
g
o
s

A
c
t
i
v
i
d
a
d
e
s

d
e

C
o
n
t
r
o
l

I n
f
o
r
m
a
c
i
n
y
c
o
m
u
n
i c
a
c
i
n

M
o
n
i
t
o
r
e
o


4.2.1.8.6.2 Determinar si el tiempo de los recursos est claramente establecida. Compruebe que no hay recursos no estn asignados.


4.2.1.9 Hitos de puntos de decisiones
Control: En los principales hitos, ejercicios de gestin y los documentos de puntos de decisiones.
PO10.6 X X X

4.2.1.9.1.1 Determinar si las revisiones de gestin de los hitos importantes, y hace un punto de decisin de ir a la subfase siguiente o
tarea basada en la finalizacin con xito de la tarea anterior o subfase, que est debidamente autorizado.


4.2.1.9.1.2 Objetivo de la prueba: Para verificar que los puntos de decisin, se estn realizando en momentos apropiados, aprobados
por la gestin autorizada y documentada correctamente.


4.2.1.9.2 Seleccionar varios hitos.


4.2.1.9.3 Determinar si un proceso de punto de decisin se tom la decisin en aquel hito.


4.2.1.9.4 Evaluar si el hito requiere un punto de decisin de no ir.


4.2.1.9.5 Revise la documentacin para el proceso de toma de decisiones para garantizar la aprobacin correspondiente y la
descripcin.


4.2.1.10 El progreso de control
Control: El progreso se define como hitos de reuniones y los presupuestos se mantienen y se inform.

PO10.2
PO10.3
PO10.7
X X X

4.2.1.10.1.1 Determinar si los informes de recursos de tiempo, porcentajes de finalizacin de tareas y resultados se registran en el
documento de gestin de proyectos.


4.2.1.10.1.2 Determinar el ciclo de presentacin de informes para el control de los progresos, la adecuacin de la lista de distribucin
y el proceso de revisin de los informes sobre la marcha.


4.2.1.11 Gestin de gastos y del tiempo
Control: la gestin de gastos y del tiempo se han registrado correctamente y aprobado.

PO10.2
PO10.3
PO10.7
X X

4.2.1.11.1.1 Determinar la forma de registro de recursos y el tiempo de gasto para el proyecto.


4.2.1.11.2 Verificar que todos los miembros del equipo registren su tiempo.
3



4.2.1.11.3 Verificar que todos los costos se registren.


4.2.1.11.4 Verificar que el documento de consultores externos est en su tiempo.



3
Algunas entidades registran el tiempo del desarrollo de sistemas, pero no es tiempo de unidad de negocio, especialmente cuando dichos gastos no se capitalizan. Si no se registran todos los tiempos
afectar el rendimiento de clculo de la inversin y un punto de referencia para la participacin futura unidad de negocio.
PASOS DEL PROGRAMA
Proceso de
COBIT
relacionado
Subproceso
a evaluar
COSO
Prioridad
A
m
b
i
e
n
t
e

d
e

C
o
n
t
r
o
l

E
v
a
l
u
a
c
i

n

d
e

R
i
e
s
g
o
s

A
c
t
i
v
i
d
a
d
e
s

d
e

C
o
n
t
r
o
l

I n
f
o
r
m
a
c
i
n
y
c
o
m
u
n
i c
a
c
i
n

M
o
n
i
t
o
r
e
o

4.2.1.11.5 Determinar la forma de aprobacin de los gastos.


4.2.1.12 Comunicaciones
Control: un plan de comunicacin se ha establecido para proporcionar a los interesados y el liderazgo del proyecto
con la informacin apropiada para asegurar que el proyecto cumple con la funcionalidad, los objetivos
presupuestarios y la lnea de tiempo.

PO10.2
PO10.3
PO10.7
X X X

4.2.1.12.1.1 Determinar que el plan de comunicacin contempla los informes de situacin e informes de excepcin que se mueven por
la jerarqua de gestin de proyectos.


4.2.1.12.1.2 Determinar que el plan de comunicacin facilita la presentacin de informes entre equipos.


4.2.1.12.1.3 Determinar que la frecuencia de las comunicaciones y el contenido estn en alineacin con el plan de comunicaciones
documentado.


Presupuesto 4.3
Objetivo de auditora: El presupuesto y los procesos de contabilidad deben ser exactos, completos y proporcionar la informacin
necesaria para gestionar el proyecto.


4.3.1.1 Estado del presupuesto
Control: El presupuesto del proyecto se define, separado de los otros proyectos y est en consonancia con el caso de
negocio.

PO5.2
PO10.2
PO10.3
PO10.7
PO10.13
X

4.3.1.1.1.1 Determinar que los costos del proyecto han sido claramente identificados, documentados y aprobados por el patrocinador
ejecutivo y/o el comit de direccin.


4.3.1.1.1.2 Verificar que el presupuesto se estableci basndose en un proceso de estimacin de costos.


4.3.1.1.1.3 Determinar si el presupuesto es igual a la estimacin de negocio. Si no es as, determinar si la variacin ha sido aprobado
por el patrocinador ejecutivo y/o comit de direccin.


4.3.1.1.1.4 Discutir el presupuesto y los resultados con los miembros clave del equipo del proyecto y patrocinador ejecutivo.
Determinar si hay diferencias conocidas que podran afectar el presupuesto.


4.3.1.1.1.5 Determinar que el proyecto tiene su centro de coste propio que no se comparte con otros proyectos.


4.3.1.1.1.6 Determinar si las siguientes fases tienen componentes por separado en el presupuesto: anlisis, diseo y seleccin de las
pruebas (incluidas las pruebas de aceptacin del usuario [UAT]), la Implantacin y puesta en marcha, formacin, reconversin, y
modificaciones de infraestructura.


4.3.1.1.1.7 Determinar si hay una emergencia integrado en el presupuesto y si est dentro de los lmites aceptados.


4.3.1.2 Contabilidad

PO10.2
PO10.3
X

PASOS DEL PROGRAMA
Proceso de
COBIT
relacionado
Subproceso
a evaluar
COSO
Prioridad
A
m
b
i
e
n
t
e

d
e

C
o
n
t
r
o
l

E
v
a
l
u
a
c
i

n

d
e

R
i
e
s
g
o
s

A
c
t
i
v
i
d
a
d
e
s

d
e

C
o
n
t
r
o
l

I n
f
o
r
m
a
c
i
n
y
c
o
m
u
n
i c
a
c
i
n

M
o
n
i
t
o
r
e
o

Control: La contabilidad del proyecto est en conformidad con los gastos y los requisitos de capitalizacin. PO10.7
PO10.13
4.3.1.2.1.1 Determinar si los costos correspondientes se capitalizan o gasto basada en los principios de contabilidad estndar.


4.3.1.2.1.2 Objetivo de la prueba: Para comprobar que los gastos estn debidamente asignados.


4.3.1.2.2 Para un perodo seleccionado, localizar a los cargos de gastos y recursos a travs del sistema de contabilidad. Determinar si
las asignaciones se encuentran dentro de las directrices de contabilidad.


Los controles internos 4.4
Los objetivos de auditora: los controles internos que garantizan el procesamiento preciso y completo de los datos, deben ser
diseados en la fase de planificacin, cuando es ms eficaz para modificar, mejorar o agregar controles para proporcionar una
eficiente, pero a fondo, el enfoque al control interno de la aplicacin datos y procesos..


4.4.1.1 Requisitos de control interno
Control: los requisitos de control interno se establecen durante la fase de planificacin como parte del diseo del
sistema de alto nivel o de definicin de requisitos.

AI2.3
AI2.4
X

4.4.1.1.1.1 Obtener una comprensin de la funcionalidad prevista de la nueva aplicacin.


4.4.1.1.1.2 Con base en la funcin de la aplicacin, determinar si el equipo del proyecto ha identificado los controles clave necesarios
para la supervisin. Considere la posibilidad de presentacin de informes financieros, las operaciones, la seguridad y los requisitos
reglamentarios.


4.4.1.1.1.3 Revisar el documento de requisitos para los controles de diseo, e identificar los casos en que la autorizacin, de entrada,
salida y procesamiento de los controles de frontera, la seguridad, integridad de datos, registros de auditora, control de acceso y
controles de base de datos de integridad son insuficientes.


4.4.1.1.1.4 Los planes de revisin para la Implantacin de controles automatizados en aplicaciones de software empaquetadas y
determinar que los requisitos de control de procesos de negocio se tratan adecuadamente.


4.4.1.1.1.5 Determinar los requisitos de control que sean aprobados.


4.4.1.2 Control interno de evaluacion de riesgos
Control: Un control de evaluacion de riesgos fue preparado por el equipo del proyecto para identificar los
requisitos de control interno sobre la base de la transformacin, los riesgos operativos y financieros.

PO9.1
PO10.9
ME2.1
X X

4.4.1.2.1.1 Revisar el control del equipo del proyecto evaluacion de riesgos para determinar si los controles identificados estn
colocados correctamente y que la evaluacin se ha completado.


4.4.1.2.1.2 Suplemento de control de los riesgos de evaluacion con la auditora de TI de los riesgos identificados.


4.4.1.3 Desarollo de las TACC
Control: auditora de TI se utilizan las revisiones de las fases de desarrollo de sistemas para entender y probar la

ME2.4
ME2.5
X X X

PASOS DEL PROGRAMA
Proceso de
COBIT
relacionado
Subproceso
a evaluar
COSO
Prioridad
A
m
b
i
e
n
t
e

d
e

C
o
n
t
r
o
l

E
v
a
l
u
a
c
i

n

d
e

R
i
e
s
g
o
s

A
c
t
i
v
i
d
a
d
e
s

d
e

C
o
n
t
r
o
l

I n
f
o
r
m
a
c
i
n
y
c
o
m
u
n
i c
a
c
i
n

M
o
n
i
t
o
r
e
o

aplicacin, y para permitir que la confianza en los controles internos de la solicitud completa y prctica.
4.4.1.3.1.1 Determinar el nivel de confianza que ser colocado en la auditora de TI de la revisin del proceso de desarrollo. Si las
pruebas suficientes y se llevar a cabo la gestin del cambio est en un nivel de buenas prcticas, el sistema de entrega se puede
confiar para fines de auditora.


4.4.1.3.1.2 Determinar si integrados asistida por ordenador las tcnicas de auditora (CAAT) se integrar en el sistema para facilitar
la posterior auditora de las actividades.


La adecuacin de las pruebas 4.5
Objetivo de auditora: El plan del proyecto debe prever las pruebas adecuadas en las diferentes etapas de desarrollo, incluyendo la
definicin de los tipos de pruebas a realizar, el plazo para las pruebas y requisitos de documentacin. Como mnimo, las pruebas
deben incluir las pruebas unitarias, pruebas de integracin, UAT, la integracin de los procesos manuales y automatizados,
pruebas de conversin y las pruebas de estrs. Tenga en cuenta las pruebas en paralelo o de la plataforma de operacin por
separado las pruebas antes de su Implantacin.


4.5.1.1 Requisitos de prueba
Control: los requisitos de ensayo se han establecido y se incluyen los estndares de documentacin y revisin.

AI1.2
AI2.3
X

4.5.1.1.1.1 Determinar si los requisitos de prueba se han establecido para cada tipo de pruebas, incluyendo Objetivo de la prueba, el
alcance, tamao, horario de secuencias de comandos (si procede), la documentacin, revisin y aprobacin.


4.5.1.1.1.2 Determinar si el proceso de planificacin incluye la unidad, la integracin, la aceptacin del usuario, el estrs y las
pruebas de conversin.


4.5.1.1.1.3 Determinar si el proceso de planificacin ha definido como la UAT se llevar a cabo: en una plataforma independiente o
en el sistema de produccin.


4.5.1.1.1.4 Determinar si un conjunto de pruebas de las transacciones se desarrollar y estar disponible a finales de las pruebas de
regresin despus de las actualizaciones importantes del sistema.


4.5.1.2 Plan del proyecto
Control: El plan del proyecto proporciona suficiente tiempo para pruebas y correcciones basadas en resultados de
la prueba.

PO8.3
PO10.2


4.5.1.2.1.1 Revisar el plan del proyecto y determinar si el tiempo adecuado se ha prestado para la prueba.


4.5.1.2.1.2 Determinar qu disposiciones se han hecho, si la entrega del sistema UAT es tarde-si los retrasos en el desarrollo de
acortar o de otra manera limitar el tiempo disponible antes de la Implantacin.
X

4.5.1.3 Pruebas de contenido
Control: scripts de prueba y los volmenes son suficientes para garantizar resultados precisos, eficaces y
completos.
PO10.2 X

4.5.1.3.1.1 Revisar los planes de prueba para asegurar la prueba completa del sistema.


PASOS DEL PROGRAMA
Proceso de
COBIT
relacionado
Subproceso
a evaluar
COSO
Prioridad
A
m
b
i
e
n
t
e

d
e

C
o
n
t
r
o
l

E
v
a
l
u
a
c
i

n

d
e

R
i
e
s
g
o
s

A
c
t
i
v
i
d
a
d
e
s

d
e

C
o
n
t
r
o
l

I n
f
o
r
m
a
c
i
n
y
c
o
m
u
n
i c
a
c
i
n

M
o
n
i
t
o
r
e
o

4.5.1.3.1.2 Revisar los planes para conciliar los resultados de pruebas con los resultados conocidos (ya sea sobre la base de un
proceso independiente o el clculo manual).).


4.5.1.3.1.3 Las pruebas de estrs Revisar los planes de ensurethat un volumen realista, se utiliza para el sistema de pruebas de
esfuerzo para el volumen actual y futuro.


Implantacin 4.6
Objetivo de auditora: El plan de Implantacin debe ser desarrollado para asegurar la mnima interrupcin durante la aplicacin
inicial del nuevo sistema y de investigacin de antecedentes a fondo de los procesos antes de la final de "tirar el interruptor" para
el nuevo sistema.


4.6.1.1 Plan piloto de pruebas
Control: las implementaciones piloto de los nuevos procesos se utilizan para reducir al mnimo los riesgos de un
pleno despliegue de la aplicacin.

PO10.7
AI7.3
AI7.4
X

4.6.1.1.1.1 Revisar los planes para las pruebas piloto. Determinar el alcance y evaluar la efectividad de la prueba piloto.


4.6.1.1.1.2 Determinar que un proceso de revisin se ha establecido para asegurar que la prueba piloto resulta adecuado abordar las
cuestiones identificadas durante el proceso de prueba y que estos temas estn incluidos en el sistema de Monitoreo tema.


4.6.1.1.1.3 Determinar que los objetivos del piloto son claramente para permitir la evaluacin objetiva de los xitos despus de la
finalizacin de los pilotos.


4.6.1.1.1.4 Determinar si los puntos de decisin de evaluacin est incluido en el plan de implantacin piloto.


4.6.1.2 Preparacin de la evaluacin
Control: Una evaluacin de la preparacin es parte del plan de Implantacin para asegurar que el sistema est
listo para la fase de ejecucin.

PO10.6
PO10.7
X X X X

4.6.1.2.1.1 Determinar si una evaluacin de la preparacin se requiere antes de mover el proyecto a la siguiente fase.


4.6.1.2.1.2 Determinar si la evaluacin de la preparacin incluye un inventario de cuestiones pendientes, un anlisis de riesgo del
impacto al negocio de pasar a la ejecucin, la aprobacin de las principales partes interesadas, e informar al patrocinador ejecutivo y/o
comit de direccin.


4.6.1.3 Planificacin de recursos
Control: La planificacin de recursos se incluye en el proceso de planificacin para asegurar una cobertura
adecuada de los procesos esenciales durante la ejecucin.

PO10.6
PO10.8
X

4.6.1.3.1.1 Determinar que se ha llevado a cabo un plan de recursos para hacer frente a los recursos necesarios para convertir y poner
en prctica el nuevo sistema.


4.6.1.3.1.2 Determinar si el plan se ocupa de la cobertura de la carga de trabajo existente, as como los nuevos procesos y los
procesos intermedios de conversin.


PASOS DEL PROGRAMA
Proceso de
COBIT
relacionado
Subproceso
a evaluar
COSO
Prioridad
A
m
b
i
e
n
t
e

d
e

C
o
n
t
r
o
l

E
v
a
l
u
a
c
i

n

d
e

R
i
e
s
g
o
s

A
c
t
i
v
i
d
a
d
e
s

d
e

C
o
n
t
r
o
l

I n
f
o
r
m
a
c
i
n
y
c
o
m
u
n
i c
a
c
i
n

M
o
n
i
t
o
r
e
o

4.6.1.3.1.3 Determinar si el plan de contingencias permite, vacaciones, enfermedades, etc.


4.6.1.4 Conversin de plan
Control: Un plan de conversin es parte de la actividad de planificacin general e incluye documentados
especificaciones de conversin, un ensayo general de la conversin, un plan de anulacin en el caso de la conversin
no tiene xito, y una reconciliacin de datos entre los sistemas nuevos y viejos.

PO10.6
AI7.5
X

4.6.1.4.1.1 Revisar el plan de reconversin de la integridad. Determine si las siguientes tareas estn incluidas en el plan::


4.6.1.4.2 Requisitos y especificaciones de conversin





4.6.1.4.3 Un plan de ensayo para probar el proceso de conversin con una copia del volumen total de datos que desea convertir


4.6.1.4.4 Un plan de anulacin en el caso de la conversin no tiene xito


4.6.1.4.5 Una reconciliacin efectiva entre los sistemas nuevos y viejos


4.6.1.4.5.1 El comit de direccin y/o patrocinador ejecutivo ha revisado y aprobado el plan de conversin.


4.6.1.5 Plan de comunicacin
Control: Un plan de comunicacin informa a los interesados y el manejo de los avances de la puesta en marcha.
AI7.5 X X

4.6.1.5.1.1 Revisar el plan de comunicacin. Determinar la frecuencia, la lista de distribucin y el contenido del plan de
comunicacin para asegurar que se informa a los interesados clave de la puesta en marcha de manera oportuna.


4.6.1.6 Formacin de planificacin
Control: Un programa de formacin adecuado ha capacitado a las funciones afectadas con antelacin a su
aplicacin.
AI7.1 X

4.6.1.6.1.1 Revisar los programas de capacitacin para las distintas partes afectadas.



4.6.1.6.2 Determinar que los procesadores de transacciones han sido debidamente entrenados en el uso del nuevo sistema.


4.6.1.6.3 Determinar que las operaciones de TI han sido entrenados en la programacin y el procesamiento del nuevo sistema.


4.6.1.6.4 Determinar que la mesa de ayuda est preparado para ayudar a los usuarios en el uso del nuevo sistema.


4.6.1.7 Plan de transicin
Control: Un plan de transicin se ha creado para hacer frente a los procesos intermedios que son necesarios hasta
que el nuevo sistema est plenamente operativo e integrado con otros sistemas.
AI7.3 X

4.6.1.7.1.1 Determinar si, como parte del proceso de planificacin, el equipo del proyecto ha identificado los procesos intermedios
que sern necesarias debido a las interfaces o procesos temporales hasta la plena integracin de los procesos se logra.


4.6.1.7.1.2 Determinar si los recursos adicionales se han incluido en el plan para aumentar los recursos internos durante el perodo de


PASOS DEL PROGRAMA
Proceso de
COBIT
relacionado
Subproceso
a evaluar
COSO
Prioridad
A
m
b
i
e
n
t
e

d
e

C
o
n
t
r
o
l

E
v
a
l
u
a
c
i

n

d
e

R
i
e
s
g
o
s

A
c
t
i
v
i
d
a
d
e
s

d
e

C
o
n
t
r
o
l

I n
f
o
r
m
a
c
i
n
y
c
o
m
u
n
i c
a
c
i
n

M
o
n
i
t
o
r
e
o

proceso de transicin.
4.6.1.7.1.3 Determinar si los costos de los recursos adicionales se han incluido en el presupuesto.


4.6.1.8 Plan de restitucin
Control: El plan de anulacin se prepara con los puntos apropiados de revisin, aprobacin y decisin de iniciar el
plan.
AI7.3 X

4.6.1.8.1.1 Revisar el plan de restitucin.


4.6.1.8.1.2 Evaluar el plan de anulacin de los puntos de decisin objetivos para tomar la decisin de retirarse de la conversin.


4.6.1.8.1.3 Determinar si el plan de anulacin incluye la participacin activa de la gestin de proyectos, las principales partes
interesadas y patrocinador ejecutivo.


Proveedores externos 4.7
Objetivos de la auditora: Los Proveedores externos deben ser seleccionados y una gestin eficaz para proporcionar el mximo
rendimiento de la inversin, deben ser adecuadamente investigados, y los contratos deben prever resultados cuantificables y la
proteccin de la propiedad de la entidad intelectual.
4



4.7.1.1 Seleccin de proveedores
Control: Criterios para la seleccin de proveedores estn predefinidos antes de la seleccin, la seleccin y
negociacin de los contratos se realizan de acuerdo a la poltica y los criterios y el proceso de seleccin son
objetivos.
AI5.3 X

4.7.1.1.1.1 Determinar los criterios de seleccin utilizados para la seleccin de un proveedor externo.


4.7.1.1.1.2 Determinar que el proceso de seleccin incluye la evaluacin de estos criterios con las respuestas de los vendedores a la
solicitud de ofertas o de otros procesos de seleccin.


4.7.1.1.1.3 Revisar el proceso de decisin documentada y la justificacin para la seleccin del proveedor final.


4.7.1.1.1.4 Determinar si las disposiciones de la entidad requerida contrato estndar y fueron incluidos en el contrato.


4.7.1.1.1.5 Determinar si la autorizacin del contrato fue de conformidad con el proyecto de empresa de la autoridad por la cantidad y
contenido del contrato.


4.7.1.1.1.6 Determinar si los contratos de adquisicin de software incluyen y hacer cumplir los derechos y obligaciones de todas las
partes que abordan la propiedad y concesin de licencias de propiedad intelectual, mantenimiento, garantas, procedimientos de
arbitraje, actualizar los trminos, la aptitud para el propsito de los derechos, la seguridad, custodia y acceso.


4.7.1.2 SLA y el cumplimiento del contrato
AI5.3 X


4
Se recomienda que se realice una evaluacin aparte de auditora externa para la adquisicin de gran escala de servicios de terceros. Los programas de auditoria para entornos tercerizados de
ISACA/ITGI se puede utilizar para ese fin.
PASOS DEL PROGRAMA
Proceso de
COBIT
relacionado
Subproceso
a evaluar
COSO
Prioridad
A
m
b
i
e
n
t
e

d
e

C
o
n
t
r
o
l

E
v
a
l
u
a
c
i

n

d
e

R
i
e
s
g
o
s

A
c
t
i
v
i
d
a
d
e
s

d
e

C
o
n
t
r
o
l

I n
f
o
r
m
a
c
i
n
y
c
o
m
u
n
i c
a
c
i
n

M
o
n
i
t
o
r
e
o

Control: se definen los SLA y el objetivo de permitir monitoreo de las actividades de los proveedores, el
cumplimiento del contrato y la asignacin de las sanciones por incumplimiento de contrato.
DS1.1
DS1.2
DS1.3
DS1.4
DS1.5
DS1.6
4.7.1.2.1.1 Determinar si los SLA estn documentados. Si documentada, determinar si los SLA son como se describen en el contrato.


4.7.1.2.1.2 Revisiar los SLA para determinar si utilizan indicadores que son monitoreados y medidos.


4.7.1.2.1.3 Determinar si los SLA sean apropiados para medir la actividad realizada por el vendedor.


4.7.1.2.1.4 Determinar si los SLA permiten la evaluacin de sancin por incumplimiento de contrato trabajado.


4.7.1.3 La propiedad intelectual
Control: Los vendedores firman acuerdos de confidencialidad que limitan su acceso y capacidad de difusin de la
propiedad intelectual de la empresa. El proveedor de acceso est limitado a la informacin necesaria para llevar a
cabo sus funciones contratadas.
AI5.3

4.7.1.3.1.1 Determinar si los proveedores firmar acuerdos de confidencialidad relativas a la propiedad intelectual.


4.7.1.3.1.2 Determinar si las revisiones de gestin de acceso de proveedores a la propiedad intelectual.


5 . FASE DE EJECUCIN
La fase de ejecucin del plan de proyecto generalmente es de la mayor duracin e incluye todos los procesos despus de la
finalizacin de la fase de planificacin hasta la fase de puesta en funcionamiento. Subfases de ejecucin incluyen:
Si el proyecto en fase de desarrollo se compra, un anlisis de brecha para determinar las modificaciones
Diseo del nuevo sistema, incluyendo:
Nuevo proceso de negocio (manual y automatizado)
Los nuevos controles
Desarrollo de interfaces para cerrar el nuevo sistema con las aplicaciones existentes de retenidos
Desarrollo de procesos intermedios, en caso que el nuevo sistema deba funcionar con el sistema anterior hasta que todos los
procesos se ejecuten
Conversin de utilidades para convertir el nuevo sistema
Desarrollo de las aplicaciones (programas)
Establecimiento de procesos de conversin y de la transicin, las rutinas de equilibrio, y la verificacin de la precisin del proceso
y la integridad
Pruebas:
Los procesos de negocio (las pruebas unitarias y pruebas de integracin)
UAT
Conversin de las pruebas
Las pruebas de estrs de los procesos y equipos


PASOS DEL PROGRAMA
Proceso de
COBIT
relacionado
Subproceso
a evaluar
COSO
Prioridad
A
m
b
i
e
n
t
e

d
e

C
o
n
t
r
o
l

E
v
a
l
u
a
c
i

n

d
e

R
i
e
s
g
o
s

A
c
t
i
v
i
d
a
d
e
s

d
e

C
o
n
t
r
o
l

I n
f
o
r
m
a
c
i
n
y
c
o
m
u
n
i c
a
c
i
n

M
o
n
i
t
o
r
e
o

Si la conversin de restitucin debe posponerse
Puesta en marcha
Conciliacin de la conversin

Gobierno 5.1
Objetivo de auditora: La gestin debe dar el gobierno sobre el proyecto para asegurar que el proyecto de la adecuada supervisin.
Los recursos tcnicos y de negocio deben ser asignados para asegurar el progreso prevista del proyecto. Los procedimientos deben
ser definidos para que la administracin sea informada de la evolucin. Comunicaciones y procedimientos de escalamiento deben
estar en su lugar para permitir la administracin para responder a las cuestiones que puedan surgir.


5.1.1.1 Caso de negocio
Control: La direccin del equipo del proyecto, sobre una base regular, supervisa y proporciona informes a los
patrocinadores ejecutivos en la adaptacin constante del plan de proyecto con el modelo de negocio y cualquier
cambio en la satisfaccin de los argumentos comerciales.

PO10.1
AI1.1
ME1.5
ME4.2
ME4.3
X X X

5.1.1.1.1.1 Revisar los registros de cambios del proyecto para determinar si se han hecho los cambios significativos al proyecto.
Entrevistar al gerente de proyecto para determinar el impacto de los cambios. Determinar si los cambios han afectado al caso de
negocio. Entrevistar al director del equipo del proyecto para determinar si los cambios en el plan del proyecto han influido en el caso
de negocio.


5.1.1.1.1.2 Si los cambios significativos se han implementado, la revisin del comit de direccin actas de las reuniones y otros
documentos para determinar la evidencia de la supervisin de la gestin de la administracin.


5.1.1.2 mbito de aplicacin de gestin
Los objetivos de control: el alcance del proyecto est claramente definida, un plan de proyecto es mantenido y
actualizado que identifique claramente las fases, procesos y subprocesos. La responsabilidad de la gestin de
cambios en el alcance se define y se establezcan procedimientos para obtener la aprobacin de los cambios en el
alcance del comit directivo del proyecto o de los patrocinadores ejecutivos.
PO10.5 X X X

5.1.1.2.1.1 Revisar el plan del proyecto e identificar los cambios en el plan. Determinar si los cambios de este proyecto u otros
proyectos de interfaz afecta al mbito de este proyecto.


5.1.1.2.2 Si el alcance ha cambiado, verifique que el plan del proyecto se ha actualizado.


5.1.1.2.3 Si el alcance ha cambiado, determinar que se obtuvo la autorizacin del comit de direccin ejecutiva y el patrocinador
correspondiente.


5.1.1.2.4 Objetivo de la prueba: Para comprobar que los cambios de mbito se llevan a cabo con el conocimiento y aprobacin del
comit de direccin o de los patrocinadores ejecutivos.


5.1.1.2.4.1 Seleccione una muestra representativa de los cambios de alcance, centrndose en
aquellos de mayor impacto para el proyecto.


PASOS DEL PROGRAMA
Proceso de
COBIT
relacionado
Subproceso
a evaluar
COSO
Prioridad
A
m
b
i
e
n
t
e

d
e

C
o
n
t
r
o
l

E
v
a
l
u
a
c
i

n

d
e

R
i
e
s
g
o
s

A
c
t
i
v
i
d
a
d
e
s

d
e

C
o
n
t
r
o
l

I n
f
o
r
m
a
c
i
n
y
c
o
m
u
n
i c
a
c
i
n

M
o
n
i
t
o
r
e
o

5.1.1.2.4.2 Verifique lo siguiente para el cambio de mbito:
Aprobacin documentada de la gestin
Rapidez en la aprobacin
Determinar si el proceso se ha retrasado o evitado


5.1.1.3 Funciones y responsabilidades
Control: Funciones y responsabilidades del equipo del proyecto siguen siendo claramente identificadas,
correspondientes expertos en la materia y los interesados estn participando activamente en el equipo del proyecto,
y la divisin de responsabilidades es apropiada para el proyecto y la entidad a nivel de la estructura organizativa
(incluyendo la separacin de funciones).

PO7.1
PO7.3
PO10.3
X X

5.1.1.3.1.1 Determinar si han surgido problemas en las funciones y responsabilidades en el proyecto que requiere la intervencin la
alta direccin para asegurar la participacin oportuna y efectiva de todas las unidades de negocio afectadas, y para asegurar el
desarrollo de sistemas, operaciones de TI, seguridad de informacin, auditora interna, cumplimiento legal, y los proveedores y otras
reas pertinentes estn activamente involucrados en el proyecto.


5.1.1.4 Retorno de la inversin y KPIs
Control: Los clculos para determinar el proyecto de retorno de la inversin y los KPIs se actualizan y se inform
que el comit directivo y patrocinador ejecutivo como el alcance u otros componentes que afectan a los cambios de
rendimiento o retorno de la inversin.

PO10.3
PO13.13
ME4.3
X X X

5.1.1.4.1.1 Determinar si los atributos para el clculo de retorno de la inversin del proyecto y los KPI han cambiado debido a las
modificaciones del proyecto.


5.1.1.5 Escalada de gestin
Control: El comit directivo y los patrocinadores ejecutivos estn recibiendo y actuar sobre los problemas se
intensificaron por el equipo del proyecto.
PO10.13 X X X X

5.1.1.5.1.1 Determinar si se ha identificado algn problema del escalamiento libre en los procedimientos de escalamiento, sin
disposicin apropiada.


5.1.1.5.1.2 El anlisis funcional apoya las decisiones de comprar o construir


Gestin de proyectos 5.2
Objetivo de auditora: La actividad de gestin del proyecto debe proporcionar una supervisin adecuada y el proceso para
asegurar la ejecucin oportuna del plan, la mitigacin de los riesgos a medida que se identifican, los problemas se resuelven o se
intensific el nivel de gestin adecuada, la calidad del proceso se mantiene, los costos son monitoreados y reducir al mnimo, y un
punto de decisin se hace en cada hito fundamental.


5.2.1.1 Integracin de la gestin empresarial / informacin
Control: Los equipos de gestin empresarial y la informacin siguen siendo integrados como el equipo del proyecto
se ejecuta el plan del proyecto, todas las unidades de negocio afectadas estn involucradas en el proyecto. El comit
de direccin supervisa la efectividad de la integracin.

PO10.3
PO10.6
ME4.2
X X

PASOS DEL PROGRAMA
Proceso de
COBIT
relacionado
Subproceso
a evaluar
COSO
Prioridad
A
m
b
i
e
n
t
e

d
e

C
o
n
t
r
o
l

E
v
a
l
u
a
c
i

n

d
e

R
i
e
s
g
o
s

A
c
t
i
v
i
d
a
d
e
s

d
e

C
o
n
t
r
o
l

I n
f
o
r
m
a
c
i
n
y
c
o
m
u
n
i c
a
c
i
n

M
o
n
i
t
o
r
e
o

5.2.1.1.1.1 Funciones miembros del equipo de la entrevista, minutos de reunin del equipo de examen, y observar las reuniones de
equipo para determinar la plena participacin de los miembros del equipo.


5.2.1.1.1.2 Determinar si los miembros del equipo parecen ser intimidante o ignorar los miembros del equipo.


5.2.1.1.1.3 Determinar si el director del proyecto ha informado de ningn conflicto en el proceso de integracin.


5.2.1.2 Composicin del equipo de proyecto
Control: El equipo del proyecto est formado por los recursos adecuados, con el conocimiento de los procesos de
negocio y la solucin automatizada, para planificar de manera efectiva el proyecto.

PO7.1
PO7.2
PO7.3
PO10.3
PO10.8
X

5.2.1.2.1.1 Determinar si es adecuado el equipo de la fase de ejecucin del proyecto en trminos de habilidades, el conocimiento del
proceso y el liderazgo para el tamao y el alcance del proyecto.


5.2.1.2.1.2 Determinar si los miembros del equipo estn disponibles para participar en las actividades del proyecto y que otras
obligaciones que no constituyen un obstculo para el progreso del proyecto.


5.2.1.2.2 Entrevistar al director del proyecto y el personal para determinar la disponibilidad.


5.2.1.2.3 Revisin minutos de reunin para los problemas de asistencia.


5.2.1.2.3.1 Determinar si los planes de contingencia y se han implementado para reemplazar a los miembros del equipo, ya sea
permanentemente o de forma interina.


5.2.1.3 Gestin de riesgos y problemas
Control: El anlisis de riesgo se sigue aplicando en el proyecto durante la fase de ejecucin como se identifican los
riesgos. Cuando los riesgos pueden ser mitigados, los procesos correspondientes se han realizado, donde los riesgos
son inherentes al proceso, los procesos apropiados de Monitoreo estn en su lugar. Los problemas identificados
durante la planificacin se inform, y los temas son controlados y cerrados.

PO10.2
PO10.9
PO10.13
AI1.2
X X X X

5.2.1.3.1.1 Determinar si los riesgos han cambiado durante el proceso de ejecucin. Si los cambios se notan, determinar si el impacto
adecuado (reputacin, operaciones, finanzas / presupuesto, fecha de finalizacin, reglamentos, etc) el anlisis y la probabilidad de
ocurrencia (probabilidad) se han aplicado.


5.2.1.3.1.2 Si los riesgos han cambiado, determinar si los interesados han participado en el proceso y han aprobado los cambios en los
riesgos.


5.2.1.3.1.3 Determinar si los interesados han sido notificados cuando sus niveles de tolerancia se han superado.


5.2.1.3.1.4 Objetivo de la prueba: Para verificar que los riesgos han sido evaluados y reportados a los interesados clave.


5.2.1.3.2 Obtener la evaluacin de riesgos inicial para determinar la calidad y el alcance de la evaluacin de riesgos.


5.2.1.3.3 Determinar si los nuevos riesgos han sido identificados durante el proceso de ejecucin. Si es as, determinar cmo el


PASOS DEL PROGRAMA
Proceso de
COBIT
relacionado
Subproceso
a evaluar
COSO
Prioridad
A
m
b
i
e
n
t
e

d
e

C
o
n
t
r
o
l

E
v
a
l
u
a
c
i

n

d
e

R
i
e
s
g
o
s

A
c
t
i
v
i
d
a
d
e
s

d
e

C
o
n
t
r
o
l

I n
f
o
r
m
a
c
i
n
y
c
o
m
u
n
i c
a
c
i
n

M
o
n
i
t
o
r
e
o

impacto del riesgo y la probabilidad se evaluaron, cmo los actores fueron notificados, y la disposicin del riesgo (la aceptacin del
riesgo o la mitigacin del proceso que desencaden el riesgo).
5.2.1.3.3.1 Determinar si los problemas estn documentados, revisados y monitoreados mediante el sistema de monitoreo.


5.2.1.3.3.2 Objetivo de la prueba: Para verificar que los temas sean identificados, documentados y controlados.


5.2.1.3.4 Entrevistar el equipo de la gestin de proyectos y varios miembros del equipo para documentar los problemas conocidos
identificados durante la fase de planificacin.


5.2.1.3.5 Obtener los problemas de registro y comparar los problemas conocidos a los reportados.


5.2.1.4 Procedimientos de escalamiento
Control: los procedimientos de escalamiento se siguen para informar al equipo del proyecto y el comit de
direccin, en su caso.
PO10.3 X X X

5.2.1.4.1.1 Determinar si las cuestiones han requerido el escalamiento, si es as, seguir el proceso del escalamiento.


5.2.1.4.1.2 Determinar si los problemas escalados permanecern abiertas, y en caso afirmativo, determinar el efecto sobre el
proyecto.


5.2.1.5 Gestin de la calidad
Control: El proceso del proyecto ha definido los procedimientos de control de calidad.

PO8.6
PO10.10
AI2.8
X X

5.2.1.5.1.1 Determinar si el plan de control de calidad frente a la revisin de las presentaciones, los criterios y supuestos se ha
seguido.


5.2.1.5.1.2 Determinar si un examen de control de calidad ha llevado a cabo para la fase actual. Si es as, determinar el nivel de
documentacin y revisin de la gestin.


5.2.1.5.1.3 Determinar si las revisiones de control de calidad se llevan a cabo independientemente del equipo de desarrollo.


5.2.1.5.1.4 Objetivo de la prueba: Para verificar que los exmenes de control de calidad se llevan a cabo por expertos independientes
y sus resultados son analizados, aprobados y las acciones correctivas tomadas fueron las adecuadas.


5.2.1.5.2 Revisar la documentacin pertinente para comprobar la existencia de aseguramiento de calidad de rutina.


5.2.1.5.2.1 Determinar si el proceso de monitoreo de calidad del software se ha definido y se lleva a cabo sobre una base regular.


5.2.1.5.3 Objetivo de la prueba: Para verificar que el desarrollo de software es revisado de forma rutinaria por la calidad.


5.2.1.5.3.1 Seleccionar varios programas dentro del proceso de desarrollo del
proyecto. Verifiqueque el examen de control de calidad se llev a cabo sobre los
programas y los resultados informados.


5.2.1.5.3.2 Identificar situaciones en donde no se realiz control de calidad o cuando no se


PASOS DEL PROGRAMA
Proceso de
COBIT
relacionado
Subproceso
a evaluar
COSO
Prioridad
A
m
b
i
e
n
t
e

d
e

C
o
n
t
r
o
l

E
v
a
l
u
a
c
i

n

d
e

R
i
e
s
g
o
s

A
c
t
i
v
i
d
a
d
e
s

d
e

C
o
n
t
r
o
l

I n
f
o
r
m
a
c
i
n
y
c
o
m
u
n
i c
a
c
i
n

M
o
n
i
t
o
r
e
o

tomaron medidas sobre la base de crtica negativa.


5.2.1.6 Uso de la metodologa de desarrollo
Control: El proyecto utiliza la metodologa de desarrollo de la empresa.
AI
AI2.2
AI2.7
AI7.2
AI7.3
AI7.5
AI7.7
AI7.8
AI7.9
X

5.2.1.6.1.1 Determinar si la metodologa de desarrollo de los sistemas est siendo utilizado para este proyecto segn lo previsto.


5.2.1.6.1.2 Realizar cdigo de recorrido y examinar la documentacin relacionada con las entradas y salidas de datos para determinar
si los mtodos de almacenamiento, localizacin y recuperacin se ejecutarn de acuerdo con las normas de datos del diccionario.


5.2.1.6.1.3 Examinar la arquitectura de informacin y documentacin del diccionario de datos para identificar las desviaciones de las
normas del diccionario de datos en el diseo del programa.


5.2.1.6.1.4 Pregunte a los miembros clave del personal si las normas del diccionario de datos se estn utilizando y comparar el
rendimiento real de las entradas y salidas de datos con las respuestas de los miembros clave del personal.


5.2.1.6.1.5 Confirmar con miembros clave del personal que la fuente de diseo de la recogida de datos se especifica que incorpora los
controles sobre los datos calculados y almacenados.


5.2.1.6.1.6 Realizar cdigo de recorrido e inspeccionar los planes para confirmar que los datos son recogidos y validados para
procesar las transacciones.


5.2.1.6.1.7 Confirmar con miembros clave del personal de TI que la redundancia adecuada, la recuperacin de errores y los arreglos
de seguridad se definen y se incluyen en la especificacin de diseo detallado.


5.2.1.6.1.8 Revisar el plan de copia de seguridad y los procedimientos para determinar que se preste suficiente atencin a los
requisitos de disponibilidad del nuevo sistema y son rentables.


5.2.1.6.1.9 Revisin documentacin del proyecto para determinar si las buenas prcticas, tales como disponibilidad, control y
auditora, seguridad y requisitos de la red, se consideran.


5.2.1.6.1.10 Pregunte a los miembros clave del personal e inspeccionar la documentacin pertinente del proyecto para determinar si
los pasos de procesamiento, incluidos los tipos de transaccin, y las reglas de procesamiento que incluyen transformaciones lgicas o
clculos especficos se definen y se incluyen en las especificaciones de diseo detalladas.


5.2.1.6.1.11 Confirmar con miembros clave del personal de TI que todos los requisitos de salida de datos se identificaron


PASOS DEL PROGRAMA
Proceso de
COBIT
relacionado
Subproceso
a evaluar
COSO
Prioridad
A
m
b
i
e
n
t
e

d
e

C
o
n
t
r
o
l

E
v
a
l
u
a
c
i

n

d
e

R
i
e
s
g
o
s

A
c
t
i
v
i
d
a
d
e
s

d
e

C
o
n
t
r
o
l

I n
f
o
r
m
a
c
i
n
y
c
o
m
u
n
i c
a
c
i
n

M
o
n
i
t
o
r
e
o

adecuadamente definidos.
5.2.1.6.1.12 Revisin de documentacin de diseo detallado para determinar que los detalles de diseo pertinentes, tales como
diferentes tipos de receptores, el uso, los detalles requeridos, la frecuencia y el mtodo de generacin, se consideran.


5.2.1.6.1.13 Revisar los detalles del diseo de documentacin requisito para determinar si la disponibilidad, integridad, integridad y
confidencialidad de los datos de salida, as como el impacto de las salidas de datos a otros programas se aborden debidamente.


5.2.1.6.1.14 Confirmar con miembros clave del personal que la interfaz entre el usuario y la aplicacin del sistema se define y se
incluyen en la especificacin de diseo detallado.


5.2.1.6.1.15 Inspeccionar las especificaciones de diseo detallados para confirmar que se preste suficiente atencin los requisitos de
la interfaz de usuario.


5.2.1.6.1.16 Revisin de documentos tales como informes del sistema de anlisis de diseo o el sistema de solicitudes de cambio de
diseo para confirmar que los procedimientos de diseo del sistema de reevaluacin se siguen (por ejemplo, el cambio en las
necesidades de diseo del sistema debe ser aprobado por las empresas y los patrocinadores de TI).


5.2.1.6.1.17 Revisar la documentacin detallada de las especificaciones de diseo para determinar si se ha preparado en
cumplimiento con la organizacin y normas de la industria y la arquitectura de la informacin.


5.2.1.6.1.18 Confirmar con la TI y de negocio que los interesados clave un paseo a travs del diseo se ha realizado antes de su
desarrollo comenz.


5.2.1.6.1.19 Revisin de las especificaciones de diseo detallado para confirmar que el diseo de recorrido se lleva a cabo para todos
los interesados y que los interesados clave de cierre de sesin se ha iniciado antes de su desarrollo (por ejemplo, la firma y la fecha de
confirmacin o e-mail).


5.2.1.6.1.20 Confirmar con miembros clave del personal que ha sido toda actividad de desarrollo establecidos para garantizar el
cumplimiento de las normas de desarrollo y que el software desarrollado se basa en las especificaciones acordadas para atender
negocio, requerimientos funcionales y tcnicos.


5.2.1.6.1.21 Inspeccionar la documentacin pertinente (por ejemplo, revisin de cdigo, diseo y pruebas) para identificar las
excepciones a las especificaciones y normas.


5.2.1.6.1.22 Obtener y revisar la documentacin de evaluacin del software desarrollado para confirmar la adecuacin.


5.2.1.6.1.23 Confirmar con miembros clave del personal que las autoridades tcnicas y aplicaciones de gestin de operaciones est
listo y adecuado para la migracin al entorno de produccin


5.2.1.6.1.24 Realizar un paseo a travs de cdigo e identificar problemas y excepciones.


5.2.1.6.1.25 Inspeccionar la documentacin pertinente (por ejemplo, revisin de cdigo, diseo y caminar through) para identificar
las excepciones a las especificaciones y normas.


PASOS DEL PROGRAMA
Proceso de
COBIT
relacionado
Subproceso
a evaluar
COSO
Prioridad
A
m
b
i
e
n
t
e

d
e

C
o
n
t
r
o
l

E
v
a
l
u
a
c
i

n

d
e

R
i
e
s
g
o
s

A
c
t
i
v
i
d
a
d
e
s

d
e

C
o
n
t
r
o
l

I n
f
o
r
m
a
c
i
n
y
c
o
m
u
n
i c
a
c
i
n

M
o
n
i
t
o
r
e
o

5.2.1.6.1.26 Confirmar con miembros clave del personal que las autoridades tcnicas y aplicaciones de gestin de operaciones est
listo y adecuado para la migracin al entorno de produccin.


5.2.1.6.1.27 Realizar un paseo a travs de cdigo e identificar problemas y excepciones.


5.2.1.6.1.28 Pregunte de los miembros clave del personal para determinar el cumplimiento con todas las obligaciones y requisitos.


5.2.1.6.1.29 Revisin obligaciones contractuales y los requisitos de concesin de licencias relativas a los desarrolladores de terceros.


5.2.1.7 Gestin del cambio
Control: Un procedimiento de gestin del cambio est siendo utilizado para documentar los cambios y la
aprobacin en el mbito de aplicacin, caso de negocio o de los atributos clave del proyecto.

PO10.11
AI6.1
AI6.2
AI6.3
AI6.4
X X

5.2.1.7.1.1 Los procedimientos de revisin para la transferencia del programa para verificar que existe un proceso formal que
requiere la aprobacin documentada de la gestin de usuarios y el desarrollo del sistema.


5.2.1.7.1.2 Asegrese de que el proceso de aprobacin identifica las fechas de vigencia para la promocin de nuevos sistemas,
aplicaciones o la infraestructura para la produccin.


5.2.1.7.1.3 Averiguar si y confirmar que el proceso de aprobacin incluye una documentada aprobacin formal de los propietarios de
procesos de negocio, terceras partes y los interesados, segn proceda (por ejemplo, el desarrollo del grupo, el grupo de seguridad,
gestin de base de datos, soporte al usuario y grupo de operaciones).


5.2.1.7.1.4 Confirmar los procedimientos para la actualizacin de las copias de la documentacin del sistema y un plan de
contingencia correspondiente.


5.2.1.7.1.5 Preguntar a los funcionarios clave en materia de procedimientos para la actualizacin de todas las bibliotecas de
programas fuente y los procedimientos para el etiquetado y la retencin de versiones anteriores.


5.2.1.7.1.6 Objetivo de la prueba: Para verificar que los procedimientos de gestin del cambio se han seguido.


5.2.1.7.2 Seleccin de los cambios del registro de la gestin del cambio.


5.2.1.7.2.1 Verificar que la descripcin apropiadadel cambio se haba documentado.


5.2.1.7.2.2 Verificar que el efecto en el caso de negocio y el proyecto se haba documentado.

5.2.1.7.2.3 Determinar de si un nuevoEvaluacion de Riesgos se requiere y ha sido realizada.

PASOS DEL PROGRAMA
Proceso de
COBIT
relacionado
Subproceso
a evaluar
COSO
Prioridad
A
m
b
i
e
n
t
e

d
e

C
o
n
t
r
o
l

E
v
a
l
u
a
c
i

n

d
e

R
i
e
s
g
o
s

A
c
t
i
v
i
d
a
d
e
s

d
e

C
o
n
t
r
o
l

I n
f
o
r
m
a
c
i
n
y
c
o
m
u
n
i c
a
c
i
n

M
o
n
i
t
o
r
e
o

5.2.1.7.2.4 Verificar que las aprobaciones correspondientes se han obtenido basndose enlos
umbrales.


5.2.1.8 Planificacin y control
Control: La planificacin y el control del proyecto incluyen el control eficaz del tiempo, un plan de proyecto con
hitos, entregables, una secuencia de proceso, las proyecciones de recursos y la dependencia de la actividad.

PO10.6
PO10.7
PO10.11
PO10.13
X

5.2.1.8.1.1 Determinar que el plan del proyecto se actualiza con los cambios de alcance, recursos y un hito.


5.2.1.8.2 Verificar que los hitos y tareas se puede lograr con los recursos disponibles.


5.2.1.8.3 Verificar que la utilizacin de recursos se pueden realizar (recursos trabajando en doble turno o el mantenimiento de las
responsabilidades regulares, mientras que se le asigne al equipo del proyecto).


5.2.1.8.4 Verificar que los entregables se han traducido en las actividades.


5.2.1.8.5 Determinar que los supuestos del proyecto y las limitaciones estn documentados y se incluyen en el plan.


5.2.1.8.6 Determinar que cada tarea tiene un objetivo bien claro y objetivo.


5.2.1.8.6.1 Verifique que el estado de cada subfase se actualiza en el momento oportuno para mostrar porcentaje de finalizacin
exacta y cualquier retraso.


5.2.1.9 Hitos de puntos de decisiones
Control: En los principales hitos, ejercicios de manejo y los documentos puntos de decisiones.
PO10.6 X X X

5.2.1.9.1.1 Determinar si las revisiones de gestin de los hitos importantes, y hace un punto de decisin de pasar a la siguiente
subfase o tarea basada en la finalizacin con xito de la tarea anterior o subfase y que las decisiones estn debidamente autorizados.


5.2.1.9.1.2 Objetivo de la prueba: Para verificar que los puntos de decisiones, se estn realizando en momentos apropiados,
aprobados por la gestin autorizada y documentada correctamente.


5.2.1.9.2 Seleccionar varios hitos.


5.2.1.9.3 Determinar si un proceso de punto de decisin se tom en aquel hito.


5.2.1.9.4 Evaluar si el hito requiere un punto de decisin de no ir.


5.2.1.9.5 Revisar la documentacin para el proceso de toma de decisiones para asegurar la aprobacin y descripcin apropiad.


5.2.1.10 Progreso de control
Control: El progreso, que se define como se informaron y mantienen los hitos de reuniones y los presupuestos.

PO10.2
PO10.3
PO10.7
X X X

5.2.1.10.1.1 Determinar si los informes de recursos de tiempo, porcentajes de finalizacin de tareas y las entregas se registran en el
documento de gestin de proyectos.


PASOS DEL PROGRAMA
Proceso de
COBIT
relacionado
Subproceso
a evaluar
COSO
Prioridad
A
m
b
i
e
n
t
e

d
e

C
o
n
t
r
o
l

E
v
a
l
u
a
c
i

n

d
e

R
i
e
s
g
o
s

A
c
t
i
v
i
d
a
d
e
s

d
e

C
o
n
t
r
o
l

I n
f
o
r
m
a
c
i
n
y
c
o
m
u
n
i c
a
c
i
n

M
o
n
i
t
o
r
e
o

5.2.1.10.1.2 Determinar el ciclo de presentacin de informes para el control de los progresos, la adecuacin de la lista de distribucin
y el proceso de revisin de los informes sobre la marcha.


5.2.1.11 Gastos y gestin del tiempo
Control: Los Gestin de gastos y del tiempo se han registrado correctamente y aprobad.

PO10.2
PO10.3
PO10.7
X X

5.2.1.11.1.1 Determinar el registro de los recursos y el tiempo de gasto para el proyecto.


5.2.1.11.2 Verificar que todos los mienbros del equipo registren su tiempo..
5



5.2.1.11.3 Verificar que todos los costos se registran.


5.2.1.11.4 Verificar que el documento de consultores externos de su tiempo.


5.2.1.11.5 Determinar la forma y los gastos son aprobados.


5.2.1.12 Comunicaciones
Control: un plan de comunicacin se ha establecido para proporcionar a los interesados y el liderazgo del proyecto
con la informacin apropiada para asegurar que el proyecto cumple con la funcionalidad, los objetivos
presupuestarios y la lnea de tiempo.

PO10.2
PO10.3
PO10.7
X X X

5.2.1.12.1.1 Determinar que las comunicaciones planea proporcionar informes de situacin e informes de excepcin en la jerarqua
de la gestin del proyecto se ejecuta de manera oportuna y los informes se distribuyen segn lo previsto.


5.2.1.12.1.2 Determinar que el plan de comunicacin para la informacin entre los equipos se est siguiendo.


5.2.1.12.1.3 Determinar que la frecuencia de las comunicaciones y el contenido estn en alineacin con el plan de comunicaciones
documentado.


Presupuesto 5.3
Objetivo: El presupuesto y los procesos de contabilidad deben ser exactos, completos y proporcionar la informacin necesaria
para gestionar el proyecto.


5.3.1.1 Presupuesto de diseo
Control: El presupuesto del proyecto se define, separado de los otros proyectos y est en consonancia con el caso de
negoci.

PO10.2
PO10.3
PO10.7
PO10.13
X

5.3.1.1.1.1 Verificar que el presupuesto refleja los cambios en el alcance o los problemas identificados.


5.3.1.1.1.2 Determinar si el presupuesto es igual a la estimacin de negocio. Si no es as, determinar si la variacin ha sido aprobado



5
Algunas entidades registran el tiempo de desarrollo de sistemas, pero no el tiempo de unidad de negocio, especialmente cuando dichos gastos no se capitalizan. Si no se registran todos los tiempos
afectar el rendimiento de clculo de la inversin y en un referente para la participacin futura unidad de negocio.
PASOS DEL PROGRAMA
Proceso de
COBIT
relacionado
Subproceso
a evaluar
COSO
Prioridad
A
m
b
i
e
n
t
e

d
e

C
o
n
t
r
o
l

E
v
a
l
u
a
c
i

n

d
e

R
i
e
s
g
o
s

A
c
t
i
v
i
d
a
d
e
s

d
e

C
o
n
t
r
o
l

I n
f
o
r
m
a
c
i
n
y
c
o
m
u
n
i c
a
c
i
n

M
o
n
i
t
o
r
e
o

por el patrocinador ejecutivo y/o comit de direccin.
5.3.1.1.1.3 Discutir el presupuesto y los resultados con los miembros clave del equipo del proyecto y patrocinador ejecutivo.
Determinar si hay diferencias conocidas que podran afectar el presupuesto.


5.3.1.2 Estado del presupuesto
Determinar si los costos presupuestarios y reales (incluidos los recursos y gastos) estn en consonancia con el
porcentaje de finalizaci.

PO10.2
PO10.3
PO10.7
PO10.13
X

5.3.1.2.1.1 Obtencin de los costos presupuestarios y reales.


5.3.1.2.1.2 Verifique que los costos reales en la etapa actual del proyecto (basado en el porcentaje de finalizacin) estn en lnea con
el presupuesto de la misma etapa del proyecto


5.3.1.2.1.3 Con base en los resultados de la real en comparacin con el presupuesto, determinar si los informes de gestin se ha
iniciado una excepcin si el proyecto se encuentra detrs.


5.3.1.3 Contabilidad
Control: La contabilidad del proyecto est en conformidad con los gastos y los requisitos de capitalizacin.
X

5.3.1.3.1.1 Determinar si los costos correspondientes se capitalizan o gastos basados en los principios de contabilidad estndar.

PO10.2
PO10.3
PO10.7
PO10.13


5.3.1.3.1.2 Objetivo de la prueba: Para comprobar que los gastos estn debidamente asignados.


5.3.1.3.2 Para un perodo seleccionado, rastrear los gastos y cargas de recursos a travs del sistema de contabilidad. Determinar si las
asignaciones se encuentran dentro de las directrices de contabilidad.


Los controles internos 5.4
Los objetivos de auditora: los controles internos que garantizan el procesamiento preciso y completo de los datos, debe ser
desarrollado para proporcionar un enfoque eficiente, racional y completa para el control interno de los datos de aplicaciones y
procesos.


5.4.1.1 Subfase de diseo


5.4.1.1.1.1 Los requisitos de control interno
Control: detallados requisitos de control interno se establecen durante la subfase de diseo como parte del
diseo detallado.
AI2.3 X

5.4.1.1.2 Obtener una comprensin de la funcionalidad prevista de la nueva aplicacin.


5.4.1.1.2.1 Si se trata de un sistema adquirido, anlisis crtica brecha de la funcionalidad del
sistema a los requerimientos del sistema. Determinar si la lista la modificacin o


PASOS DEL PROGRAMA
Proceso de
COBIT
relacionado
Subproceso
a evaluar
COSO
Prioridad
A
m
b
i
e
n
t
e

d
e

C
o
n
t
r
o
l

E
v
a
l
u
a
c
i

n

d
e

R
i
e
s
g
o
s

A
c
t
i
v
i
d
a
d
e
s

d
e

C
o
n
t
r
o
l

I n
f
o
r
m
a
c
i
n
y
c
o
m
u
n
i c
a
c
i
n

M
o
n
i
t
o
r
e
o

sistema paralelo proporciona la funcionalidad requerida.
5.4.1.1.3 Sobre la base de la funcin de la aplicacin, determinar si el equipo del proyecto ha identificado los controles clave
necesarios para la supervisin. Considere la posibilidad de presentacin de informes financieros, las operaciones, la seguridad y los
requisitos reglamentarios.


5.4.1.1.3.1 Revise los controles clave identificados y recomendar los controles adicionales
que sean necesarios para proporcionar las buenas prcticas.


5.4.1.1.3.2 Entrevistar las entidades interesadas para identificar su punto de vista de los
requisitos de control interno y garantizar que sus necesidades se incluyen en el
diseo y el proceso de auditora.


5.4.1.1.4 Preparar documentos de trabajo para el futuro de auditora de comentarios.


5.4.1.1.4.1 Ampliar este programa de auditora para hacer frente a los procesos de la
aplicacin.


5.4.1.1.4.2 Preparacin de los objetivos de control para cada zona de control.


5.4.1.1.4.3 Para cada objetivo de control, documentar cmo cada control se ejecutar en el
nuevo sistema. Considere las siguientes reas: las interfaces con otras
aplicaciones, los procesos crticos o los clculos y las interfaces manuales.


5.4.1.1.4.4 Funciones de Control interno de evaluacion de riesgos
Control: A los controles de evaluacion de riesgos elaborados por el equipo del proyecto durante la fase de
planificacin se actualiza para identificar los requisitos detallados de control interno sobre la base de la
transformacin, los riesgos operativos y financieros.
PO10.9 X X

5.4.1.1.5 Examen de control actualizado del equipo de proyecto evaluacion de riesgos para determinar si los controles identificados
estn colocados correctamente y la evaluacin se ha completado.


5.4.1.1.6 Suplemento de control de los riesgos de evaluacion de con auditora de TI de los riesgos identificados.


5.4.1.1.6.1 Desarollo de las TACC
Control: auditora de TI se utilizan las revisiones de las fases de desarrollo de sistemas para entender y
probar la aplicacin, para permitir que la confianza en los controles internos de la solicitud completa y
prctica.
X X X

5.4.1.1.7 Identificar el diseo de los CAAT. Auditora de TI es una parte interesada en el proceso de diseo y forma parte del equipo
del proyecto para este proceso.


5.4.1.1.8 Determinar que el diseo va a satisfacer en el futuro TAACs auditora de TI de las necesidades.


5.4.1.2 Subfase de Desarrollo/Prototipo


PASOS DEL PROGRAMA
Proceso de
COBIT
relacionado
Subproceso
a evaluar
COSO
Prioridad
A
m
b
i
e
n
t
e

d
e

C
o
n
t
r
o
l

E
v
a
l
u
a
c
i

n

d
e

R
i
e
s
g
o
s

A
c
t
i
v
i
d
a
d
e
s

d
e

C
o
n
t
r
o
l

I n
f
o
r
m
a
c
i
n
y
c
o
m
u
n
i c
a
c
i
n

M
o
n
i
t
o
r
e
o

5.4.1.2.1.1 Requisitos de control interno
Control: los requisitos de control interno establecidos durante el proceso del proyecto se han localizado e
incluido en soluciones de procesamiento especficas.
AI2.3 X

5.4.1.2.2 Identificar los controles que auditora de TI considera de alto riesgo, que requiere Monitoreo durante la fase de desarrollo.


5.4.1.2.2.1 ampliar este programa de auditora para reflejar el Monitoreo y el proceso de
revisin.


5.4.1.2.3 Revisin tema monitoreo reporta a determinar si los problemas de control han sido identificados.


5.4.1.2.3.1 Si los problemas de control han sido identificados, evaluar si el alcance del
proyecto de auditora debe ser ampliado para incluir estas reas.



5.4.1.2.3.2 Si se requiere mayor alcance y aprobado, preparar adicionales de auditora de los
pasos dentro de este programa.


5.4.1.2.4 Si prototipo est siendo utilizado como una metodologa de desarrollo, verificar que las actividades de creacin de
prototipos se centran en la subfase de desarrollo. El diseo no debe ser modificado sin revisiones y aprobaciones correspondientes.


5.4.1.2.4.1 de Control interno de evaluacion de riesgos


5.4.1.2.4.2 Desarollo de las TACC
Control: auditora de TI en el desarrollo de procesos de datos computarizada.
X X X

5.4.1.2.5 Establecer hitos en el desarrollo TAACs requiere auditora de TI de la participacin.


5.4.1.2.6 Participar en el desarrollo como es requerido por el equipo del proyecto.


5.4.1.2.7 Realizar la revisin de la funcionalidad de TAACs en etapas y garantizar auditora de los objetivos ser recibido por los
CAAT.


5.4.1.3 Pruebas


5.4.1.3.1.1 Requisitos de control interno
Control: los requisitos de control interno establecidos en el proyecto se han asignado a su Implantacin y
probado a fondo.

AI2.3
AI7.2
AI7.4
AI7.7
AI7.8
X

5.4.1.3.2 Revisin del las pruebas de aceptacin planes para garantizar la rigurosidad de las pruebas.


5.4.1.3.2.1 Revisin de secuencias de comandos de usuario de prueba para asegurarse de que
tanto los procesos automatizados y manuales que constituyen el sistema de


PASOS DEL PROGRAMA
Proceso de
COBIT
relacionado
Subproceso
a evaluar
COSO
Prioridad
A
m
b
i
e
n
t
e

d
e

C
o
n
t
r
o
l

E
v
a
l
u
a
c
i

n

d
e

R
i
e
s
g
o
s

A
c
t
i
v
i
d
a
d
e
s

d
e

C
o
n
t
r
o
l

I n
f
o
r
m
a
c
i
n
y
c
o
m
u
n
i c
a
c
i
n

M
o
n
i
t
o
r
e
o

controles internos se ponen a prueba.


5.4.3.1.1.2 Revise la calidad de los scripts de prueba para asegurarse de que se puede ejecutar
en el futuro como el cambio de procesos y que el nivel de detalle es suficiente
para permitir que las secuencias de comandos para ser repetible en el futuro.


5.4.1.3.3 Revisar los resultados de las pruebas para asegurar identificados los problemas de pruebas se registran en el sistema de
gestin de problemas, los problemas son los riesgos evaluados, y la rehabilitacin est programada adecuadamente.


5.4.1.3.4 Examinar la cuestin de los informes de Monitoreo para garantizar que las cuestiones presentadas han sido remediadas a
tiempo con las soluciones definidas en la documentacin de remediacin.


5.4.1.3.5 Determinar si las pruebas independientes es requerido por la auditora de TI de satisfacer auditora de los objetivos.


5.4.1.3.5.1 Si se requiere de pruebas independiente, determinar si las pruebas pueden ser re-
ejecucin de la UAT o si nuevos guiones deben ser creados y ejecutados.


5.4.1.3.5.2 Preparar scripts de prueba, si es necesario.


5.4.1.3.5.3 Realizar las pruebas y documentar los resultados.


5.4.1.3.5.4 Control interno de evaluacion de riesgos


5.4.1.3.5.5 Desarollo de las TACC
Control: auditora de TI de prueba minuciosamente los procesos de TAACs como UAT.
X X X

5.4.1.3.6 Determinar el nivel de confianza que ser colocado en la auditora de TI de la revisin del proceso de desarrollo. Si las
pruebas suficientes y se llevar a cabo la gestin del cambio est en un nivel de buenas prcticas, el sistema de entrega se puede
confiar para fines de auditora.


5.4.1.3.7 Determinar si TAACs integrados se construir en el sistema para facilitar la posterior auditora de las actividades.


5.4.1.4 Conversin


5.4.1.4.1.1 Requisitos de control interno
Control: conversin de los requisitos de control interno establecidos en el proyecto se han diseado,
implementado y probado.
AI2.3 X

5.4.1.4.2 Conversin de revisar los controles para garantizar que los datos se convertir en forma precisa y completa.


5.4.1.4.3 Prueba de conversin de revisin de ejecucin para asegurar que el proceso est listo para la conversin final antes de que el
sistema va en vivo.


PASOS DEL PROGRAMA
Proceso de
COBIT
relacionado
Subproceso
a evaluar
COSO
Prioridad
A
m
b
i
e
n
t
e

d
e

C
o
n
t
r
o
l

E
v
a
l
u
a
c
i

n

d
e

R
i
e
s
g
o
s

A
c
t
i
v
i
d
a
d
e
s

d
e

C
o
n
t
r
o
l

I n
f
o
r
m
a
c
i
n
y
c
o
m
u
n
i c
a
c
i
n

M
o
n
i
t
o
r
e
o

5.4.1.4.4 Revisar los finales de conversin de control/reconciliacin y los informes de resumen de conversin preparados para la
gestin para identificar los problemas de control identificadas durante el proceso de conversin.


5.4.1.4.4.1 Evaluar el riesgo de control interno


5.4.1.4.4.2 Desarrollar TAAC


La adecuacin de las pruebas 5.5
Objetivo de auditora: La fase de ejecucin debe presentar las pruebas adecuadas en las diferentes etapas de desarrollo, incluyendo
la definicin de los tipos de pruebas a realizar, el plazo para las pruebas y requisitos de documentacin. Como mnimo, las
pruebas deben incluir las pruebas unitarias, pruebas de integracin, UAT, la integracin de los procesos manuales y
automatizados, pruebas de conversin y las pruebas de estrs. Las pruebas en paralelo o de la plataforma de operacin por
separado las pruebas antes de su Implantacin debe ser considerada.


5.5.1.1 Requisitos de prueba
Control: La prueba se realiz de acuerdo a las normas del proyecto y de la empresa y los requisitos y las pruebas
se ha documentado y estudiado.

AI7.2
AI7.7
X

5.5.1.1.1.1 Determinar si los requisitos de pruebas se han realizado para cada tipo de prueba de acuerdo con la subfase (unidad,
integracin, aceptacin por el usuario, el estrs y el ensayo de conversin). Las pruebas deben incluir Objetivo de la prueba, el
alcance, tamao, horario de secuencias de comandos (si procede), la documentacin, revisin y aprobacin.


5.5.1.1.1.2 Determine si el conjunto de pruebas de las transacciones estar disponible a finales de las pruebas de regresin despus de
las actualizaciones importantes del sistema.


5.5.1.1.1.3 Verificar la aprobacin del plan de pruebas por el dueo del negocio.


5.5.1.1.1.4 Asegrese de que el lder del proyecto ha firmado-off en los resultados de la prueba.


5.5.1.1.1.5 Verifique que los scripts de prueba y resultados de pruebas han sido debidamente revisadas y aprobadas por la
administracin y el propietario del negocio.


5.5.1.2 Proyecto de Plan
Control: El plan del proyecto proporciona suficiente tiempo para pruebas y correcciones basadas en resultados de
la prueba.

AI7.2
AI7.7
X

5.5.1.2.1.1 Revisar el plan del proyecto y determinar si el tiempo adecuado se ha prestado para la prueba.


5.5.1.2.1.2 Determinar si la entrega de la UAT sistema es tarda, resultando en pruebas limitadas o remediacin identificados por las
pruebas no incluidas en la versin de produccin.


5.5.1.3 Pruebas de contenido
Control: scripts de prueba y los volmenes son suficientes para garantizar resultados precisos, eficaces y
completos.

AI7.2
AI7.7
X

PASOS DEL PROGRAMA
Proceso de
COBIT
relacionado
Subproceso
a evaluar
COSO
Prioridad
A
m
b
i
e
n
t
e

d
e

C
o
n
t
r
o
l

E
v
a
l
u
a
c
i

n

d
e

R
i
e
s
g
o
s

A
c
t
i
v
i
d
a
d
e
s

d
e

C
o
n
t
r
o
l

I n
f
o
r
m
a
c
i
n
y
c
o
m
u
n
i c
a
c
i
n

M
o
n
i
t
o
r
e
o

5.5.1.3.1.1 Funciones Revisar los resultados de prueba para asegurar la prueba completa del sistema.


5.5.1.3.1.2 Revisar los resultados de pruebas con los resultados conocidos (ya sea sobre la base de un proceso independiente o el
clculo manual).


5.5.1.3.1.3 Revisin de resultados de las pruebas de estrs para asegurar que el volumen real se utiliza para pruebas de carga del
sistema para el volumen actual y futuro.


Implantacin 5.6
Objetivo de auditora: El plan de Implantacin debe ser desarrollado para asegurar la mnima interrupcin durante la aplicacin
inicial del nuevo sistema y de investigacin de antecedentes a fondo de los procesos antes de la final de "tirar el interruptor" para
el nuevo sistema.



5.6.1.1 Plan piloto de pruebas
Control: las implementaciones piloto de los nuevos procesos se utilizan para reducir al mnimo los riesgos de un
pleno despliegue de la aplicacin..

PO10.7
AI7.3
AI7.4
X

5.6.1.1.1.1 Revisar los resultados de las pruebas piloto. Determinar si el alcance del piloto es completa y evaluar la efectividad de la
prueba piloto.


5.6.1.1.1.2 Determinar que un proceso de revisin fue efectiva en asegurar que la prueba piloto resulta adecuado abordar las
cuestiones identificadas durante el proceso de prueba y que estos temas estn incluidos en el sistema de Monitoreo tema.


5.6.1.1.1.3 Determinar que los objetivos del piloto se logr despus de la finalizacin de los pilotos.


5.6.1.1.1.4 Determinar si los puntos de decisin de evaluacin se consider a la conclusin de la prueba piloto.


5.6.1.2 Preparacin de la evaluacin
Control: Una evaluacin de la preparacin es parte del plan de Implantacin para asegurar que el sistema est
listo para la fase de ejecucin.

PO10.6
PO10.7
AI7.3
X X X X

5.6.1.2.1.1 Determinar si una evaluacin de la preparacin se llev a cabo antes de mover el proyecto a la fase de ejecucin.


5.6.1.2.1.2 Determinar si la evaluacin de la preparacin incluye un inventario de cuestiones pendientes, un anlisis de riesgo del
impacto al negocio de pasar a la ejecucin, la aprobacin de las principales partes interesadas y un informe de patrocinador ejecutivo
y/o comit de direccin.


5.6.1.3 Planificacin de recursos
Control: La planificacin de recursos se controla durante el proceso de ejecucin para garantizar una cobertura
adecuada de los procesos esenciales durante la ejecucin.

PO10.6
PO10.7
AI7.3
X

5.6.1.3.1.1 Determinar que el plan de recursos de mantenimiento y vigilancia para hacer frente a los recursos necesarios para la
subfase actual.


PASOS DEL PROGRAMA
Proceso de
COBIT
relacionado
Subproceso
a evaluar
COSO
Prioridad
A
m
b
i
e
n
t
e

d
e

C
o
n
t
r
o
l

E
v
a
l
u
a
c
i

n

d
e

R
i
e
s
g
o
s

A
c
t
i
v
i
d
a
d
e
s

d
e

C
o
n
t
r
o
l

I n
f
o
r
m
a
c
i
n
y
c
o
m
u
n
i c
a
c
i
n

M
o
n
i
t
o
r
e
o

5.6.1.3.1.2 Determinar si las cuestiones de planificacin de recursos se identificaron; evaluar la eficacia de la disposicin y los
riesgos para el proyecto.


5.6.1.4 Conversin de plan
Control: Un plan de conversin ha sido probado a fondo y los datos de reconciliarse antes de su Implantacin.

PO10.6
AI7.5
X

5.6.1.4.1.1 Revisar los resultados del plan de conversin, las pruebas y la reconciliacin de datos para la integridad y la
disponibilidad.


5.6.1.4.1.2 Considere la posibilidad de realizar nuevos ensayos independientes de la conversin de la reconciliacin, si se considera
de alto riesgo o las pruebas de conversin no son adecuados documentar los procesos de garanta.


5.6.1.4.1.3 Determinar si el comit de direccin y/o patrocinador ejecutivo han revisado y aprobado la conversin antes de ir en vivo.


5.6.1.5 Plan de comunicacin
Control: un plan de comunicacin informa a los interesados y el manejo de los avances de la puesta en marcha.
AI7.5 X X

5.6.1.5.1.1 Revisar el plan de comunicaciones. Determinar que las comunicaciones estn en el cumplimiento del plan incluyendo la
lista de distribucin de frecuencias, y el contenido del plan de comunicaciones.


5.6.1.6 Formacin de planificacin
Control: El programa ha capacitado a las funciones afectadas con antelacin a su aplicacin.

AI4.2
AI4.4
AI7.1
X

5.6.1.6.1.1 Revisar los resultados de los programas de capacitacin para las distintas partes afectadas.


5.6.1.6.2 Entrevista de la transaccin procesadores para comprobar que han sido debidamente entrenados en el uso del nuevo sistema.


5.6.1.6.3 Entrevista al personal de TI las operaciones para verificar que han sido entrenados en la programacin y elaboracin del
nuevo sistema.


5.6.1.6.4 Entrevista al personal de mesa de ayuda para comprobar que estn preparados para ayudar a los usuarios en el uso del nuevo
sistema.


5.6.1.6.4.1 Revisin de formacin y materiales de aplicacin para el contenido requerido.


5.6.1.6.4.2 Revisar los materiales de apoyo (por ejemplo, materiales de capacitacin, manuales de usuario, manuales de
procedimientos, la ayuda en lnea, servicio de asistencia procedimientos escritos, etc) para la adecuacin.


5.6.1.7 Plan de transicin
Control: Un plan de transicin se ha implementado para hacer frente a los procesos intermedios que son
necesarios hasta que el nuevo sistema est plenamente operativo e integrado con otros sistemas.

AI4.1
AI7.3
X

5.6.1.7.1.1 Determinar si los procesos intermedios que se requieren debido a las interfaces temporales o procesos hasta que la plena
integracin de los procesos estn funcionando.


PASOS DEL PROGRAMA
Proceso de
COBIT
relacionado
Subproceso
a evaluar
COSO
Prioridad
A
m
b
i
e
n
t
e

d
e

C
o
n
t
r
o
l

E
v
a
l
u
a
c
i

n

d
e

R
i
e
s
g
o
s

A
c
t
i
v
i
d
a
d
e
s

d
e

C
o
n
t
r
o
l

I n
f
o
r
m
a
c
i
n
y
c
o
m
u
n
i c
a
c
i
n

M
o
n
i
t
o
r
e
o

5.6.1.8 Plan de restitucin
Control: El plan de anulacin ha sido preparado con los puntos apropiados de revisin, aprobacin y decisin de
iniciar el plan.

AI4.1
AI7.3
X

5.6.1.8.1.1 Determinar si el plan de anulacin se inici.


5.6.1.8.1.2 Si el plan de anulacin se ha iniciado, determine que el proceso ha vuelto a un estado de equilibrio con los sistemas
antiguos.


Los Proveedores externos 5.7
Objetivos de la auditora: Los Proveedores externos deben ser gestionados eficazmente para proporcionar el mximo rendimiento
de la inversin y garantizar prestaciones se consiguen y los pagos a los proveedores se les paga sobre la consecucin de las
disposiciones del contrato.


5.7.1.1 Seleccin de proveedores


5.7.1.2 SLA y el cumplimiento del contrato
Control: Los SLA se ha cumplido y el vendedor se encuentra en cumplimiento con el contrato, y la asignacin de las
sanciones por incumplimiento de contrato han sido impuestas y cobradas.
AI5.2 X

5.7.1.2.1.1 Determinar que los SLA se han logrado.


5.7.1.2.2 Obtener un acuerdo SLA y documentos de Monitoreo de SLA.


5.7.1.2.3 Verificar que los SLA se han logrado mediante la comparacin de los acuerdos a los documentos.


5.7.1.2.3.1 Determinar que los procedimientos de remediacin se han implementado en los SLA no se han cumplido.


5.7.1.2.4 Verificar que los SLA que no se han alcanzado han sido incluidos en el plan de remediacin de proveedores.


5.7.1.2.4.1 Determinar si las sanciones han sido evaluados y se recoge en el cumplimiento del contrato..


5.7.1.2.5 Revisar las sanciones impuestas. Determinar si se han pagado. Si no, determinar el estado actual.


5.7.1.2.5.1 Determinar si una mayor escalada se ha iniciado, debe ser iniciado o cuestiones jurdicas deben ser escalado.


5.7.1.3 Proveedor de facturacin
Control: la facturacin de proveedores se revisan con regularidad y cargos en disputa se devuelven al proveedor.
AI5.4 X

5.7.1.3.1.1 Determinar si los vendedores proporcionan hojas de asistencia para reflejar el trabajo realizado. Determinar que la tabla
de tiempos han sido aprobados por la direccin del equipo de proyecto.


5.7.1.3.1.2 Determinar si la facturacin de proveedores se precisa de acuerdo con el contrato y con el apoyo de los partes de horas u
otras prestaciones.


5.7.1.4 La propiedad intelectual


PASOS DEL PROGRAMA
Proceso de
COBIT
relacionado
Subproceso
a evaluar
COSO
Prioridad
A
m
b
i
e
n
t
e

d
e

C
o
n
t
r
o
l

E
v
a
l
u
a
c
i

n

d
e

R
i
e
s
g
o
s

A
c
t
i
v
i
d
a
d
e
s

d
e

C
o
n
t
r
o
l

I n
f
o
r
m
a
c
i
n
y
c
o
m
u
n
i c
a
c
i
n

M
o
n
i
t
o
r
e
o

5.7.1.5 Integracin de la proporcionada por el proveedor de software de aplicacin en la organizacin
Control: vendedor siempre el software de aplicacin est sujeto a pruebas de control de calidad y anlisis para
asegurar que va a integrar en la arquitectura de la organizacin.
AI2.5

5.7.1.5.1.1 Confirmar con miembros clave del personal si el software de aplicacin est adaptado y configurado utilizando las buenas
prcticas segn lo aconsejado por los vendedores y de acuerdo con las normas de arquitectura de interiores.


5.7.1.5.1.2 Inspeccione las buenas prcticas suministrados por los proveedores, comparar con la estrategia de Implantacin, e
identificar configuracin inadecuada y la personalizacin.


6 . FASE DE CIERRE
El cierre es el proceso de cierre del proyecto, la finalizacin de los costos y el tratamiento contable, y la transferencia de los dems
procesos a las funciones de operaciones..


Gobierno 6.1
Objetivo de auditora: Gobierno sobre el proyecto debe lograrse a travs de la supervisin de la administracin.


6.1.1.1 caso de negocio
Control: Todas las modificaciones del caso de negocio han sido aprobadas por el patrocinador ejecutivo y/o comit
de direccin.

PO10.1
PO10.14
AI1.1
ME1.5
ME4.2
ME4.3
X X X

6.1.1.1.1.1 Entrevista el patrocinador ejecutivo para asegurar que el modelo de negocio y el negocio espera que los procesos y
caractersticas se entregaron con la solicitud.


6.1.1.1.1.2 Revise el registro de cambio de alcance y verificar que todos los cambios importantes que afectan al modelo de negocio se
han incluido.


6.1.1.2 mbito de aplicacin de gestin


6.1.1.3 Funciones y responsabilidades
Control: El patrocinador ejecutivo ha aprobado y documentado formalmente el cierre del proyecto.
PO10.3 X

6.1.1.3.1.1 Verificar el cierre formal del proyecto por el patrocinador ejecutivo.


6.1.1.4 Retorno de la inversin y KPIs


6.1.1.5 Gestin de escalamiento


PASOS DEL PROGRAMA
Proceso de
COBIT
relacionado
Subproceso
a evaluar
COSO
Prioridad
A
m
b
i
e
n
t
e

d
e

C
o
n
t
r
o
l

E
v
a
l
u
a
c
i

n

d
e

R
i
e
s
g
o
s

A
c
t
i
v
i
d
a
d
e
s

d
e

C
o
n
t
r
o
l

I n
f
o
r
m
a
c
i
n
y
c
o
m
u
n
i c
a
c
i
n

M
o
n
i
t
o
r
e
o

Gestin de proyectos 6.2
Objetivo de auditora: La actividad de gestin del proyecto debe ser terminado, con todos los proyectos de seguimiento activo
transferido a las operaciones o unidades de negocio.


6.2.1.1 Integracin de la gestin empresarial/informacin


6.2.1.2 Composicin del equipo de proyecto


6.2.1.3 Gestin de riesgos y problemas
Control: cuestiones abiertas se han transferido a las operaciones de lnea.

PO10.2
PO10.9
PO10.13
PO10.14
AI1.2
X

6.2.1.3.1.1 Verificar que las cuestiones pendientes, incluidas las revisiones y correcciones necesarias abiertas (a veces conocido como
una lista, son transferidos al grupo operativo que corresponda.


6.2.1.4 Procedimientos de escalamiento


6.2.1.5 Gestin de la calidad


6.2.1.6 Uso de la metodologa de desarrollo


6.2.1.7 Gestin del cambio


6.2.1.8 Planificacin y control
Control: La gestin del proyecto verifica que todas las entregas han sido completadas.

PO10.6
PO10.14
X

6.2.1.8.1.1 Verifique que el director del proyecto ha documentado formalmente la recepcin de todos los productos esperados.


6.2.1.9 Hitos de puntos de decisiones


6.2.1.10 Progreso de Control


6.2.1.11 Gestin de gastos y del tiempo
Control: los procesos de gasto y el tiempo de gestin estn cerradas, as que no hay recursos adicionales o los gastos
de los gastos puede ser asignado al proyecto..

PO10.2
PO10.3
PO10.7
X

6.2.1.11.1.1 Compruebe que el tiempo y los gastos se ha cerrado el proyecto.


6.2.1.11.1.2 Verifique que no haya cargos se han aplicado al proyecto desde la fecha de cierre.



6.2.1.12 Comunicaciones
Control: Los interesados clave han sido notificados del cierre del proyecto..

PO10.2
PO10.3
PO10.7
X X X

PASOS DEL PROGRAMA
Proceso de
COBIT
relacionado
Subproceso
a evaluar
COSO
Prioridad
A
m
b
i
e
n
t
e

d
e

C
o
n
t
r
o
l

E
v
a
l
u
a
c
i

n

d
e

R
i
e
s
g
o
s

A
c
t
i
v
i
d
a
d
e
s

d
e

C
o
n
t
r
o
l

I n
f
o
r
m
a
c
i
n
y
c
o
m
u
n
i c
a
c
i
n

M
o
n
i
t
o
r
e
o

6.2.1.12.1.1 Verifique que los interesados clave son conscientes de que el proyecto ha sido cerrada.


Presupuesto 6.3
Objetivo: El presupuesto y los procesos de contabilidad debe ser exacta, completa y proporcionar la informacin necesaria para
asignar los costos finales para el proyecto.


6.3.1.1 Estado del presupuesto
Control: El presupuesto del proyecto se concluya con todos los gastos. El presupuesto que esten preparados, con
una explicacin de la varianza.

PO10.2
PO10.3
PO10.7
PO10.13
PO10.14
X

6.3.1.1.1.1 Revisar las cifras definitivas del presupuesto. Determinar que todos los costos se han aplicado.


6.3.1.1.1.2 Determinar si todos los cambios en el alcance se han incluido en el informe financiero final.


6.3.1.1.1.3 Realizar una auditora de corte para asegurar que todos los gastos estn incluidos.


6.3.1.1.1.4 Determinar si el presupuesto es igual a la estimacin de negocio. Si no es as, determinar si la variacin ha sido aprobado
por el patrocinador ejecutivo y/o comit de direccin.


6.3.1.1.1.5 Discutir el presupuesto y los resultados con los miembros clave del equipo del proyecto y patrocinador ejecutivo.
Determinar si las cifras definitivas del presupuesto estaban en lnea con las expectativas.


6.3.1.2 Contabilidad
Control: La contabilidad del proyecto est en conformidad con los gastos y los requisitos de capitalizacin.

PO10.2
PO10.3
PO10.7
PO10.13
PO10.14
X

6.3.1.2.1.1 Determinar si los costos correspondientes se han capitalizado o gasto basada en los principios de contabilidad estndar.


6.3.1.2.1.2 Determinar si las solicitudes adicionales de financiacin haba sido aprobada y se refleja en la contabilidad del proyecto.


Los controles internos 6.4


6.4.1.1 Requisitos de control interno


6.4.1.2 Control interno de evaluacion de riesgos


6.4.1.3 Desarollo de las TAAC


La adecuacin de las pruebas 6.5


6.5.1.1 Requisitos de prueba


6.5.1.2 Proyecto de plan


PASOS DEL PROGRAMA
Proceso de
COBIT
relacionado
Subproceso
a evaluar
COSO
Prioridad
A
m
b
i
e
n
t
e

d
e

C
o
n
t
r
o
l

E
v
a
l
u
a
c
i

n

d
e

R
i
e
s
g
o
s

A
c
t
i
v
i
d
a
d
e
s

d
e

C
o
n
t
r
o
l

I n
f
o
r
m
a
c
i
n
y
c
o
m
u
n
i c
a
c
i
n

M
o
n
i
t
o
r
e
o

6.5.1.3 Pruebas de contenido


Implantacin 6.6


6.6.1.1 Plan piloto de pruebas


6.6.1.2 Preparacin de la evaluacin


6.6.1.3 Planificacin de recursos


6.6.1.4 Conversin de plan


6.6.1.5 Plan de comunicacin


6.6.1.6 Formacin de planificacin


6.6.1.7 Plan de transicin


6.6.1.8 Plan de restitucin


Los Proveedores externos 6.7
Objetivos de la auditora: Los Proveedores externos deben ser pagados de acuerdo a sus contratos, los procesos de remediacin
lleg a la conclusin, las sanciones recaudadas y recibidas todas las entregas, debido a los vendedores.


6.7.1.1 Seleccin de proveedores


6.7.1.2 SLA y el cumplimiento del contrato
Control: Las disposiciones contractuales han sido revisadas, todas las entregas han sido revisadas y aceptadas, las
cuestiones pendientes del contrato han sido revisadas por la gerencia del proyecto y el patrocinador ejecutivo, si es
necesario.
AI5.2 X

6.7.1.2.1.1 Determinar si el director del proyecto ha revisado todas las entregas de proveedores para determinar la satisfaccin del
contrato.


6.7.1.2.1.2 Determinar si es legal ha revisado la entrega de las prestaciones del contrato y de acuerdo a la terminacin exitosa del
contrato.


6.7.1.3 Proveedor de facturacin


6.7.1.4 Propiedad intelectual
Control: el acceso de proveedores de informacin de la empresa se desactiva y se devuelve toda la propiedad de la
empresa.
IA2.5 X

6.7.1.4.1.1 Determinar si los vendedores estn obligados a devolver los bienes de la empresa (tarjetas, documentos, etc.)


6.7.1.4.1.2 Determinar si el acceso de proveedores de sistemas de informacin empresarial ha sido suspendido o eliminado.


PASOS DEL PROGRAMA
Proceso de
COBIT
relacionado
Subproceso
a evaluar
COSO
Prioridad
A
m
b
i
e
n
t
e

d
e

C
o
n
t
r
o
l

E
v
a
l
u
a
c
i

n

d
e

R
i
e
s
g
o
s

A
c
t
i
v
i
d
a
d
e
s

d
e

C
o
n
t
r
o
l

I n
f
o
r
m
a
c
i
n
y
c
o
m
u
n
i c
a
c
i
n

M
o
n
i
t
o
r
e
o

7 . FASE POST IMPLANTACIN
La revisin post implantacin se refiere a la:
Revisin del xito de los proyectos
Anlisis financiero del caso de negocio frente a los resultados
Lecciones aprendidas y las mejoras para el futuro


Gobierno 7.1
Objetivo de auditora: El caso de negocio debe ser logrado, (es decir, costes de los proyectos estn dentro de la gestin
presupuestaria y ha proporcionado el gobierno sobre el proyecto).


7.1.1.1 Caso de negocio
Control: La direccin del equipo del proyecto, sobre una base regular, los monitores y proporciona informes al
patrocinador ejecutivo de la adaptacin constante del plan de proyecto con el modelo de negocio.
AI7.9 X X X

7.1.1.1.1.1 Entrevista el patrocinador ejecutivo para asegurar que el modelo de negocio y el negocio espera que los procesos y
caractersticas se entregaron con la solicitud.


7.1.1.2 mbito de aplicacin de gestin


7.1.1.3 Retorno de la inversin y KPIs
Control: El retorno de la inversin del proyecto y los KPI han sido revisados por el comit directivo y patrocinador
ejecutivo.
AI7.9 X X X

7.1.1.3.1.1 Revisar el clculo del retorno de la inversin del proyecto.


7.1.1.3.1.2 Revisar los indicadores clave de rendimiento definitivo de precisin.


7.1.1.3.1.3 Determinar si los indicadores clave han sido revisados y aprobados por el comit directivo y el patrocinador ejecutivo.


7.1.1.4 Gestin de escalamiento


Gestin de proyectos 7.2


7.2.1.1 Integracin de la gestin empresarial/informacin


7.2.1.2 Gestin de riesgos y problemas


7.2.1.3 procedimientos de escalamiento


7.2.1.4 Gestin de la calidad


7.2.1.5 Uso de la metodologa de desarrollo


7.2.1.6 Gestin del cambio


7.2.1.7 Planificacin y control


PASOS DEL PROGRAMA
Proceso de
COBIT
relacionado
Subproceso
a evaluar
COSO
Prioridad
A
m
b
i
e
n
t
e

d
e

C
o
n
t
r
o
l

E
v
a
l
u
a
c
i

n

d
e

R
i
e
s
g
o
s

A
c
t
i
v
i
d
a
d
e
s

d
e

C
o
n
t
r
o
l

I n
f
o
r
m
a
c
i
n
y
c
o
m
u
n
i c
a
c
i
n

M
o
n
i
t
o
r
e
o

7.2.1.8 Milestone pasa / no pasa decisiones


7.2.1.9 Progreso de control


7.2.1.10 Gestin de gastos y del tiempo


7.2.1.11 Comunicaciones
Control: Los interesados clave se han recibido y revisado retorno de la inversin y las mtricas clave de
rendimiento.
AI7.9 X X X

7.2.1.11.1.1 Verifique que el retorno de la inversin y las mtricas clave de rendimiento se han proporcionado a las principales partes
interesadas, incluido el patrocinador ejecutivo y el comit de direccin.


7.2.1.11.1.2 Determinar si existe evidencia documentada de la revisin ejecutiva de las mtricas.


Presupuesto 7.3
Objetivo: El presupuesto y los procesos de contabilidad debe ser exacta, completa y proporcionar la informacin necesaria para
asignar los costos finales para el proyecto.


7.3.1.1 Estado del presupuesto
Control: El presupuesto del proyecto se concluya con todos los gastos. El presupuesto que esten preparados, con
una explicacin de la varianza. La administracin analiza las diferencias y evala cmo las variaciones negativas se
pueden minimizar en el futuro.
AI7.9 X

7.3.1.1.1.1 Determinar el informe resumen del proyecto recibido por la administracin.


7.3.1.1.1.2 Determinar si el nivel de detalle proporciona una gestin con las explicaciones necesarias para evaluar las diferencias.


7.3.1.1.1.3 Realizar una auditora de corte para asegurar que todos los gastos estn incluidos.


7.3.1.1.1.4 Determinar si el presupuesto es igual a la estimacin de negocio. Si no es as, determinar si la variacin ha sido aprobado
por el patrocinador ejecutivo y/o comit de direccin.


7.3.1.1.1.5 Discutir el presupuesto y los resultados con los miembros clave del equipo del proyecto y patrocinador ejecutivo.
Determinar si las cifras definitivas del presupuesto estaban en lnea con las expectativas.


7.3.1.2 Contabilidad
Control: La contabilidad del proyecto est en conformidad con los gastos y los requisitos de capitalizacin.
AI7.9 X

7.3.1.2.1.1 Determinar si los costos correspondientes se han capitalizado o gasto basada en los principios de contabilidad estndar.


7.3.1.2.1.2 Determinar si las solicitudes adicionales de financiacin han sido aprobadas y reflejadas en la contabilidad del proyecto.


PASOS DEL PROGRAMA
Proceso de
COBIT
relacionado
Subproceso
a evaluar
COSO
Prioridad
A
m
b
i
e
n
t
e

d
e

C
o
n
t
r
o
l

E
v
a
l
u
a
c
i

n

d
e

R
i
e
s
g
o
s

A
c
t
i
v
i
d
a
d
e
s

d
e

C
o
n
t
r
o
l

I n
f
o
r
m
a
c
i
n
y
c
o
m
u
n
i c
a
c
i
n

M
o
n
i
t
o
r
e
o

Los controles internos 7.4
Los objetivos de auditora: los controles internos que garantizan el procesamiento preciso y completo de los datos, deben ser
diseados en la fase de planificacin, cuando es ms eficaz para modificar, mejorar o agregar controles de proporcionar a un
mtodo simplificado pero completo al control interno de los datos de aplicacin y procesos.


7.4.1.1 Requisitos de control interno
Control: los requisitos de control interno fueron revisados y aplicados durante el proceso de desarrollo y
deficiencias de control interno no han sido identificados despus de la Implantacin.
X

7.4.1.1.1.1 Verificar que los requisitos de control interno identificados en las fases de planificacin y el diseo se han aplicado.


7.4.1.1.1.2 Determine si las deficiencias de control identificadas despus del desarrollo, durante las pruebas, la ejecucin o despus
de su instrumentacin. Determinar si un plan de remediacin ha sido desarrollado e implementado.


7.4.1.1.1.3 Revisar los controles clave identificados y recomendar los controles adicionales que sean necesarias para proporcionar
buenas prctica.


7.4.1.2 Control interno de evaluacion de riesgos


7.4.1.3 Desarollo de las TAAC


7.4.1.3.1.1 Determinar el nivel de confianza que ser colocado en la auditora de TI de la revisin del proceso de desarrollo. Si las
pruebas suficientes y se llevar a cabo la gestin del cambio est en un nivel de buenas prcticas, el sistema de entrega se puede
confiar para fines de auditora.


7.4.1.3.1.2 Determinar si TAACs integrados se construir en el sistema para facilitar la posterior auditora de las actividades.


La adecuacin de las pruebas 7.5


7.5.1.1 Requisitos de prueba


7.5.1.2 Proyecto de plan


7.5.1.3 Pruebas de contenido


Implantacin 7.6


7.6.1.1 Plan piloto de pruebas


7.6.1.2 Preparacin de la evaluacin


7.6.1.3 Planificacin de recursos


7.6.1.4 Conversin de plan


7.6.1.5 Plan de comunicacin


PASOS DEL PROGRAMA
Proceso de
COBIT
relacionado
Subproceso
a evaluar
COSO
Prioridad
A
m
b
i
e
n
t
e

d
e

C
o
n
t
r
o
l

E
v
a
l
u
a
c
i

n

d
e

R
i
e
s
g
o
s

A
c
t
i
v
i
d
a
d
e
s

d
e

C
o
n
t
r
o
l

I n
f
o
r
m
a
c
i
n
y
c
o
m
u
n
i c
a
c
i
n

M
o
n
i
t
o
r
e
o

7.6.1.6 Formacin de planificacin


7.6.1.7 Plan de transicin


7.6.1.8 Plan de restitucin


Proveedores externos 7.7
Objetivos de la auditora: Los Proveedores externos deben ser pagados de acuerdo a sus contratos, los procesos de remediacin
lleg a la conclusin, las sanciones recaudadas y recibidas todas las entregas, debido a los vendedores.


7.7.1.1 Seleccin de proveedores


7.7.1.2 SLA y el cumplimiento de contratos
Control: Las disposiciones contractuales se han cumplido, todas las entregas han sido revisadas y aceptadas, las
cuestiones pendientes del contrato han sido revisadas por la gerencia del proyecto y patrocinador ejecutivo, si es
necesario.
AI5.3 X

7.7.1.2.1.1 Determinar si los problemas permanecen abiertos con el vendedor.


7.7.1.2.1.2 Determinar si los planes de rehabilitacin estn en vigor para hacer frente a las cuestiones pendientes.


7.7.1.3 Propiedad intelectual




Modelo de Madurez

La evaluacin de la madurez es una oportunidad para que el revisor evalue la madurez de los procesos analizados. Con base en los resultados del examen de
auditora, y las observaciones del revisor, asignar un nivel de madurez de cada una de las siguientes prcticas de control de COBIT.

Prctica de control de COBIT
Evaluacin
de madurez
Meta de
madurez
Comentarios
P10. Administrar Proyectos.

PO10.1 Marco de Trabajo para la Administracin de Programas
1. Definir y documentar el programa, incluyendo todos los proyectos necesarios para alcanzar los resultados esperados del
programa de negocios. Especificar los recursos necesarios, incluidos los administradores de proyectos, financiacin, equipos
de proyecto, los recursos de TI y recursos de negocios en su caso. Obtener la aprobacin formal del documento de la clave
del negocio y de TI interesados.
2. Asignar la rendicin de cuentas clara y sin ambigedades para cada proyecto, incluyendo la consecucin de los beneficios, el
control de los costes, la gestin de los riesgos y la coordinacin de las actividades del proyecto.
3. Determinar las interdependencias de mltiples proyectos en el programa, y desarrollar un calendario para su finalizacin que
permitir la programacin general del programa que deben cumplirse.
4. Determinar los participantes del programa dentro y fuera de la empresa, y establecer y mantener niveles adecuados de
coordinacin, comunicacin y enlace con las partes.
5. Verifique peridicamente con el negocio que el programa actual tal como fue diseado cumplir con los requerimientos de
negocio y hacer los ajustes necesarios. Revisar el progreso de los distintos proyectos y ajustar la disponibilidad de los
recursos que sean necesarios para cumplir con los hitos programados.


PO10.2 Marco de Trabajo para la Administracin de Proyectos
1. Asegrese de que el marco de la gestin del proyecto es consistente con, y es un componente integral del, marco de la
organizacin del programa de gestin.
2. Asegrese de que el marco de la gestin de proyectos incluye:
Orientacin sobre el papel y el uso de la oficina del programa o proyecto
Un cambio de control de procesos para el registro, la evaluacin, la comunicacin y la autorizacin de cambios en el alcance
del proyecto, los requisitos del proyecto o el diseo del sistema
Los requisitos para integrar el proyecto dentro del programa general
3. Asegrese de que el mtodo de gestin del proyecto abarca, como mnimo, la adopcin, planificacin, ejecucin, control y
cierre de las fases del proyecto, as como los puestos de control y aprobaciones.


PO10.3 Enfoque de Administracin de Proyectos
1. Antes del inicio de cada proyecto, establecer una gestin de proyectos estructura de gobierno adecuada al tamao del
proyecto, la complejidad y riesgos, incluyendo riesgos legales, regulatorios y de reputacin.
2. Asigne a cada proyecto de TI de uno o ms patrocinadores con la suficiente autoridad para administrar la ejecucin del
proyecto dentro del programa general.
3. Definir la responsabilidad y la rendicin de cuentas del patrocinador del programa, el director del proyecto, y de ser necesario,
el comit de direccin y la oficina de gestin de proyectos.
4. Para realizar el seguimiento de la ejecucin de un proyecto, poner en marcha mecanismos como la presentacin peridica de
informes y reseas de teatro que son responsabilidad del director del proyecto para completar de manera oportuna.


PO10.4 Compromiso de los Interesados
1. Obtener el compromiso y la participacin de las principales partes interesadas, incluida la gestin del departamento usuario
afectado y los usuarios finales clave en la iniciacin, la definicin y autorizacin de un proyecto.
2. Esquema durante el inicio del proyecto en curso, el compromiso de los involucrados y los roles y responsabilidades para la
duracin del ciclo de vida del proyecto. La participacin en curso incluye, pero no se limita a, la aprobacin del proyecto, la




Prctica de control de COBIT
Evaluacin
de madurez
Meta de
madurez
Comentarios
aprobacin de la fase del proyecto, informes sobre los proyectos de punto de control, la representacin de Junta del Proyecto,
la planificacin de proyectos, pruebas de productos, formacin de usuarios, los procedimientos de la comunicacin del
usuario la documentacin y proyecto de desarrollo material.
PO10.5 Declaracin de Alcance del Proyecto
1. Proporcionar a los interesados una declaracin clara y por escrito que defina el beneficio naturaleza, alcance y de negocios de
cada proyecto para crear un entendimiento comn del alcance del proyecto entre los interesados.
2. Asegrese de que las principales partes interesadas y de los programas y los promotores de proyectos dentro de la
organizacin y acordar y aceptar los requisitos para el proyecto, incluyendo la definicin de xito del proyecto (aceptacin)
los criterios e indicadores clave de rendimiento.
3. Asegrese de que la definicin del proyecto se describen los requisitos para un plan de comunicacin del proyecto que
identifica las comunicaciones del proyecto internas y externas.
4. Con la aprobacin de los interesados clave, mantener la definicin del proyecto en todo el proyecto, lo que refleja las
necesidades cambiantes.


PO10.6 Inicio de las Fases del Proyecto
1. Obtener la aprobacin y firma fuera de las entregas se producen en cada fase del proyecto de los administradores designados y
clientes de la empresa afectada y las funciones de TI.
2. Base de proceso de la aprobacin de los criterios de aceptacin claramente definidos acordado por las principales partes
interesadas antes de comenzar el trabajo en la fase de prestacin del proyecto.
3. Evaluar si el proyecto est bajo el calendario previsto, dentro del presupuesto y en consonancia con el alcance acordado.
Evaluar las diferencias identificadas y determinar el impacto en el plan del proyecto y la realizacin de los beneficios
esperados.
4. Evaluar el proyecto acordado revisar puntos importantes, y haga formal "stop/go 'decisiones en base a criterios
predeterminados crticos de xito.


PO10.7 Plan Integrado del Proyecto
1. Desarrollar un plan de proyecto que proporciona informacin para habilitar la administracin para controlar el progreso del
proyecto. El plan debe incluir detalles de los entregables del proyecto, los recursos necesarios y las responsabilidades y claras
estructuras de desglose del trabajo y paquetes de trabajo, las estimaciones de recursos necesarios, los hitos, dependencias
clave, y la identificacin de una ruta crtica. Determinar las interdependencias de los recursos (por ejemplo, personal, claves)
y resultados con otros proyectos.
2. Mantener el plan del proyecto y los planes que dependen para asegurarse de que estn al da y reflejar los progresos reales que
los cambios materiales.
3. Asegrese de que haya una comunicacin eficaz de los planes del proyecto y los informes de progreso entre todos los
proyectos y con el programa general. Asegrese de que los cambios realizados a los planes individuales se reflejan en los
planes de otros.


PO10.8 Recursos del Proyecto
1. Identificar las necesidades de recursos para el proyecto y trazar con claridad los roles y responsabilidades apropiadas, con el
escalamiento y las autoridades de toma de decisiones acordado y entendido.
2. Identificar las habilidades requeridas y el tiempo requerido para todas las personas que intervienen en las fases del proyecto en
relacin con los roles definidos. Personal de los roles basados en la informacin de la capacidad disponible (por ejemplo, TI
matriz de competencias).
3. Utilizar los recursos de proyectos con experiencia de gestin y lder del equipo con las habilidades adecuadas para el tamao,
complejidad y riesgos del proyecto.
4. Tenga en cuenta y definir claramente las funciones y responsabilidades de las otras partes involucradas, incluida la
financiacin, la contratacin legal, recursos humanos, auditora interna y cumplimiento.
5. Definir claramente y ponerse de acuerdo sobre la responsabilidad de la adquisicin y gestin de productos de terceros y
servicios, y gestionar las relaciones.




Prctica de control de COBIT
Evaluacin
de madurez
Meta de
madurez
Comentarios
PO10.9 Administracin de Riesgos del Proyecto
1. Establecer un marco formal de los riesgos del proyecto de gestin que incluye la identificacin, anlisis, respuesta Monitoreo
mitigar y controlar los riesgos.
2. Asignar a personal debidamente calificado para la ejecucin de la responsabilidad de la organizacin los riesgos del proyecto
marco de gestin dentro de un proyecto. Considere la posibilidad de asignar esta funcin a un equipo independiente,
especialmente si un punto de vista objetivo se requiere o un proyecto se considera crtico.
3. Lleve a cabo los proyectos Evaluacion De Riesgos de la identificacin y cuantificacin de los riesgos de forma continua
durante todo el proyecto. Administrar y comunicar los riesgos apropiadamente dentro de la estructura de gestin del proyecto.
4. Vuelva a evaluar peridicamente los riesgos del proyecto, incluyendo a la entrada en cada fase del proyecto y como parte
importante de las principales evaluaciones de la solicitud de cambio.
5. Identificar los dueos de riesgo y la emisin de respuestas para evitar, aceptar o mitigar los riesgos.
6. Mantener y revisar un proyecto de registro de riesgos de todos los riesgos potenciales del proyecto, y mantener un registro de
todos los temas del proyecto y su resolucin. Analizar peridicamente el registro de las tendencias y los problemas
recurrentes, para asegurarse de que las causas fundamentales son corregidas.


PO10.10 Plan de Calidad del Proyecto
1. Identificar la propiedad y las responsabilidades, los procesos de revisin de calidad, criterios de xito e indicadores de
desempeo, para asegurar la calidad de los entregables del proyecto.
2. Definir los requisitos para la validacin y la verificacin independiente de la calidad de los resultados en el plan.


PO10.11 Control de Cambios del Proyecto
1. Establecer un formulario de solicitud de cambio estndar y proceso de solicitud que requiere la documentacin de la
modificacin solicitada y los beneficios esperados del cambio. El equipo de gestin del programa deben designar a las
personas (grupos de inters empresariales, el personal de TI) autorizados para realizar las solicitudes de proyectos de cambio.
2. Revisar las solicitudes de cambio y estimar los efectos potenciales sobre el proyecto, incluyendo las necesidades de recursos y
el impacto en la fecha prevista. Documentar el impacto estimado del proyecto en la solicitud de cambio.
3. Revise la solicitud de cambio completo y documentar la aprobacin o denegacin de la solicitud de los interesados clave
clave, incluyendo patrocinador del negocio del proyecto y responsable de proyectos TI.
4. Considerar y aprobar a nivel de programa todas las solicitudes de cambio de los proyectos aprobados sobre la base de una
evaluacin del efecto que el cambio tendr en los otros proyectos. Si el cambio no debe aplicarse, compartir las razones con
el equipo de gestin de proyectos requirente a fin de que puedan evaluar enfoques alternativos.
5. Actualizar los planes de proyectos y programas para todos los cambios aprobados, y comunicar los cambios aprobados a todos
los negocios y de TI interesados en el momento oportuno.


PO10.12 Planeacin del Proyecto y Mtodos de Aseguramiento
1. Definir las tareas de aseguramiento necesarias para garantizar el cumplimiento de los controles internos y los requisitos de
seguridad que afectan a los sistemas o procesos en el mbito del proyecto. Incluye las principales partes interesadas de
cumplimiento en la definicin y aprobacin de las tareas de aseguramiento.
2. Determinar y documentar cmo las tareas de aseguramiento se llevar a cabo. Incluya apropiadas especialistas en la materia
(por ejemplo, la auditora, la seguridad o cumplimiento) en el proceso.


PO10.13 Medicin del Desempeo, Reporte y Monitoreo del Proyecto
1. Establecer y utilizar un conjunto de criterios para los proyectos como parte del marco de la gestin del programa, incluyendo
pero no limitado a, el alcance, cronograma, calidad, costo y nivel de riesgo.
2. Medir el desempeo del proyecto contra los criterios clave de desempeo del proyecto. Analizar las desviaciones de los
criterios establecidos por los principales resultados del proyecto para la causa, y evaluar los efectos positivos y negativos
sobre el programa y sus proyectos que lo integran. Informar al progreso identificaron los interesados clave clave para los
proyectos de programas y componentes, desviaciones de los criterios establecidos por los principales resultados del proyecto,
y los efectos positivos y negativos sobre el programa y sus proyectos que lo integran.
3. Monitorear cambios en el programa y revisar los criterios existentes clave de rendimiento del proyecto para determinar si




Prctica de control de COBIT
Evaluacin
de madurez
Meta de
madurez
Comentarios
todava son medidas vlidas de progreso. Documentar y presentar los cambios necesarios en las principales partes interesadas
del programa para su aprobacin antes de su aprobacin. Comunicar los criterios revisados para proyectar los administradores
para su uso en los informes de rendimiento en el futuro.
4. Recomienda, ejecutar y supervisar las medidas correctivas, cuando sea necesario, de acuerdo con el programa y el marco de
gestin del proyecto.
PO10.14 Cierre del Proyecto
1. Definir y aplicar los pasos clave para el cierre del proyecto, incluidos los exmenes posteriores a la aplicacin que se pueda
evaluar si el proyecto logr los resultados deseados y los beneficios.
2. Planear y ejecutar puestos en marcha para determinar si los proyectos entregados y los beneficios esperados para mejorar la
gestin de proyectos y metodologa de sistema de proceso de desarrollo.
3. Identificar, asignar, comunicar y realizar un seguimiento de las actividades no completadas necesarias para lograr resultados
previstos del proyecto y beneficios del programa.
4. Cobrar a los participantes en el proyecto y revisores de las lecciones aprendidas y las principales actividades que llevaron a los
beneficios entregados. Analizar los datos y hacer recomendaciones para mejorar el mtodo de gestin de proyectos para
futuros proyectos.


AI1 Identificar Soluciones Automatizadas

AI1.1 Definicin y Mantenimiento de los Requerimientos Tcnicos y Funcionales del Negocio
1. Definir y aplicar una definicin de los requisitos y el procedimiento de mantenimiento y un repositorio de requisitos que son
apropiados para el tamao, complejidad, los objetivos y los riesgos de la iniciativa empresarial que la organizacin est
considerando la empresa. Este procedimiento debe tener en cuenta la naturaleza del negocio de la empresa, la direccin
estratgica, tctica y estratgica de TI tiene previsto, en la casa y de terceros de negocios y procesos de TI, surgiendo los
requisitos reglamentarios, las personas las habilidades y competencias, estructura, modelo de negocio, y la tecnologa que
permite.
2. Asegrese de que todas las necesidades de los interesados, incluidos los criterios de aceptacin pertinentes, se consideran,
capturado, prioridad y se registran en una forma que sea comprensible para los interesados, empresas patrocinadoras y
personal tcnico de ejecucin.
3. Confirme que los requerimientos funcionales y tcnicos se consideran, capturado y prioridad.
4. Confirme que los requisitos se incluyen aspectos relacionados con:
Continuidad
Cumplimiento legal y regulador
Desempeo
Fiabilidad
Compatibilidad
Capacidad de verificacin
Seguridad y gestin de riesgos
Disponibilidad
Ergonoma
Operatividad y facilidad de uso
Seguridad
Documentacin (usuario final, las operaciones, el despliegue, la configuracin)


AI1.2 Reporte de Anlisis de Riesgos
1. Utilice un enfoque holstico para el anlisis de riesgos, asegurando que los riesgos de negocio, la tecnologa y el proyecto
estn debidamente identificados, examinados, evaluados y entendido por todas los interesados clave.
2. Tenga en cuenta como parte del anlisis de riesgos del impacto del proyecto (desarrollo o adquisicin, Implantacin,
operacin, el retiro y eliminacin) en el perfil de riesgo de la organizacin y las amenazas a la integridad de los datos,
seguridad, disponibilidad, privacidad y cumplimiento de las leyes y reglamentos.




Prctica de control de COBIT
Evaluacin
de madurez
Meta de
madurez
Comentarios
3. Considere la posibilidad de negocio apropiado, funcional, tcnica y las actividades de proyectos de mitigacin de riesgos
como parte de la definicin de las posibles soluciones.
AI1.3 Estudio de Factibilidad y Formulacin de Cursos de Accin Alternativos
1. Definir y ejecutar un estudio de viabilidad que se describe con claridad y concisin los cursos alternativos de accin clave que
satisfagan los requerimientos de negocio y funcional, con una evaluacin de su viabilidad tecnolgica y econmica.
Determinar las medidas necesarias para la adquisicin o el desarrollo, y tener en cuenta el alcance y/o tiempo y/o las
limitaciones presupuestarias.
2. Revise los cursos alternativos de accin con todos los interesados, y seleccionar el ms apropiado basado en criterios de
factibilidad, incluyendo los riesgos y costos.
3. Traducir el curso de accin preferido en un alto nivel de adquisicin/desarrollo del plan de identificacin de los recursos que
se utilizarn y las etapas que requieren un camino o la decisin de no ir.


AI1.4 Requerimientos, Decisin de Factibilidad y Aprobacin
1. Obtener la aprobacin del patrocinador de la empresa y la autoridad tcnica para el enfoque propuesto, y el intercambio de
ideas que requieren un anlisis posterior de viabilidad.
2. Realizar revisiones de calidad al final de cada etapa clave del proyecto para evaluar los resultados contra los criterios de
aceptacin originales. Patrocinadores de negocios y otras partes interesadas deben firmar en cada revisin de la calidad con
xito.


AI2 Adquirir y Mantener Software Aplicativo

AI2.1 Diseo de Alto Nivel
1. Establecer una especificacin de diseo de alto nivel que traduce los requerimientos del negocio para el desarrollo de software
basado en la direccin tecnolgica de la organizacin y el modelo de arquitectura de la informacin.
2. Confirme que el enfoque del diseo y la documentacin son conformes a las normas de diseo de la organizacin.
3. Involucrar a los usuarios debidamente cualificados y con experiencia en el proceso de diseo se basan en su experiencia y
conocimiento de los sistemas o procesos existentes.
4. Confirme que el diseo es compatible con los planes de la empresa, estrategias, reglamentos aplicables y los planes de TI.
5. Asegrese de que el diseo de alto nivel ha sido aprobado y firmado por los interesados clave de TI (por ejemplo, ser
humano/computadora la interaccin, la seguridad y otros expertos) para asegurarse de que sus aportes han sido reconocidos y
el diseo, en su conjunto, constituye una solucin que el la organizacin puede ofrecer, operar y mantener. Establecer que
ningn proyecto se procede a la aprobacin del proceso de negocio sin la revisin correspondiente y firmar por los
interesados clave de TI.
6. Presentar a la final de alto nivel de diseo de control de calidad despus de sign-off en el proyecto promotor / propietario de
un negocio de proceso, y obtener la aprobacin y firmar. Establecer que no avanza el proyecto para el desarrollo que no lleve
el cierre de sesin por la empresa.


AI2.2 Diseo Detallado
1. Clasificar las entradas y salidas de datos de acuerdo a la arquitectura de la informacin y las normas del diccionario de datos.
2. Evaluar el impacto en las aplicaciones existentes y la infraestructura durante el proceso de recopilacin de requisitos y diseo
de la solucin, y disear mtodos apropiados de integracin. Direccin de la integracin del sistema de aplicacin prevista
con existentes o en proyecto que cooperaron aplicaciones y la infraestructura, incluyendo los paquetes de software adquiridos
a terceros. Considerar el impacto de los diferentes ciclos de actualizacin.
3. Especifique el origen de datos de diseo de la coleccin, la documentacin de los datos que deben ser recogidos y validados
para procesar las transacciones, as como los mtodos de validacin. Considere la posibilidad de entradas de datos de los
programas existentes, paquetes de software, partes externas, formularios web, etc
4. Definir los requisitos de disponibilidad del sistema, y el diseo de la redundancia adecuada, la recuperacin de fallos y
arreglos de copia de seguridad de proceso.
5. Definir los requisitos de archivo y base de datos para el almacenamiento, la localizacin y recuperacin de datos. En cuenta la
disponibilidad, control y auditora, seguridad y requisitos de la red.




Prctica de control de COBIT
Evaluacin
de madurez
Meta de
madurez
Comentarios
6. Definir los pasos de procesamiento, incluida la especificacin de los tipos de transacciones y procesamiento de las reglas que
incorporan las transformaciones lgicas o clculos especficos. En cuenta la disponibilidad, control y auditora, el registro, y
pistas de auditora.
7. Sobre la base de las necesidades de los usuarios y teniendo en cuenta los diferentes tipos de receptores, el uso, los detalles
requeridos, la frecuencia, el mtodo de generacin y otros detalles de diseo, definir los requisitos de datos para todos los
productos identificados. Requisitos de diseo adecuados deben garantizar la disponibilidad, integridad, integridad y
confidencialidad de los datos de salida. Considerar el impacto de las salidas de datos a otros programas, las partes externas,
etc
8. Diseo de la interfaz entre el usuario y la aplicacin del sistema de modo que sea fcil de usar y auto-documentacin.
Considerar el impacto de diseo de la interfaz de sistema a sistema en el rendimiento de la infraestructura, incluyendo la
capacidad de los dispositivos informticos personales y de ancho de banda de red y la disponibilidad.
9. Vuelva a evaluar el diseo del sistema cada vez que importantes discrepancias tecnolgicas y / o lgicos se producen durante
el diseo, desarrollo y mantenimiento. Los resultados de la revisin debe estar sujeta al ciclo normal de aprobacin.
10. Preparar y documentar las especificaciones detalladas de diseo, de conformidad con las especificaciones estndares de la
organizacin y aceptado por el sector-y la arquitectura de la informacin.
11. Llevar a cabo un diseo de recorrido con la TI y los interesados clave antes del desarrollo de negocios se inicia, como parte
del proceso de cierre de las especificaciones de diseo. Diversas ayudas se pueden utilizar para ayudar con el cierre de sesin,
incluyendo prototipos, para ayudar a los interesados la comprensin del diseo final.
AI2.3 Control y Posibilidad de Auditar las Aplicaciones
1. Defina todos los controles de aplicacin automatizados (autorizacin de entrada, procesamiento y salida) en base a los
requerimientos del negocio de control de procesos previstos en la documentacin de los requisitos.
2. Definir cmo los procesos de negocio tendr que ser ajustado para utilizar las funciones de control automatizados previstos en
la aplicacin de software comprado / empaquetado.
3. Compruebe las especificaciones de diseo para todos los controles de las aplicaciones automatizadas de TI con las autoridades
tcnicas y los dueos de procesos de negocio, y obtener su aprobacin y firmar.
4. Confirme que el diseo incluye controles automatizados dentro de la aplicacin que los objetivos generales de control de
apoyo (tales como la seguridad, integridad de datos y pistas de auditora), incluidos los mecanismos de control de acceso y
controles de base de datos de integridad. Confirme que el diseo ha recibido signo-off de las autoridades pertinentes de
diseo tcnico y la aprobacin del propietario del proceso de negocio.
5. Evaluar las especificaciones de diseo de aplicacin automtica y los controles generales en contra de auditora interna,
control y normas de gestin de riesgos y objetivos. Considere el efecto de los controles de compensacin fuera del mbito de
aplicacin de software.


AI2.4 Seguridad y Disponibilidad de las Aplicaciones
1. Enfoques de diseo y soluciones para la seguridad y disponibilidad que satisfacen las necesidades definidas. Estos enfoques
deberan tener en cuenta la arquitectura de seguridad de la organizacin y las polticas de la industria, la seguridad y las
mejores prcticas de privacidad, y los requisitos regulatorios y de cumplimiento de seguridad y privacidad.
2. Tenga en cuenta la infraestructura de seguridad y disponibilidad que ya en su lugar. Siempre que sea posible, aprovechar y
extender estas capacidades.
3. Tenga en cuenta los derechos de acceso y gestin de privilegios, proteccin de informacin sensible en todas las etapas, la
autenticacin y la integridad de las transacciones y recuperacin automtica.
4. Definir cmo las soluciones de seguridad y disponibilidad en la infraestructura se integrar con la aplicacin, prestando
especial atencin a las transacciones, las redes de rea local y amplia (por ejemplo, Internet), compartida y bases de datos
federadas, los mecanismos de control de acceso, deteccin de carga, y los mecanismos de recuperacin.
5. Confirmar el diseo de la seguridad, disponibilidad, gestin de acceso, autenticacin y proteccin de integridad de las
transacciones con las autoridades tcnicas de TI y, en su caso, expertos en la materia. Obtener su sign-off y la aprobacin del
diseo. Tambin se confirma con los dueos de procesos de negocio que el diseo cumple con su seguridad y requisitos de




Prctica de control de COBIT
Evaluacin
de madurez
Meta de
madurez
Comentarios
disponibilidad que no se usen tcnicas rondas de inspeccin, cuando sea necesario, para confirmar la comprensin.
AI2.5 Configuracin e Implantacin de Software Aplicativo Adquirido
1. Evaluar el impacto de cualquier actualizacin de importancia y clasificar de acuerdo a criterios acordados objetivas, como los
requerimientos del negocio), con base en el resultado del anlisis de los riesgos involucrados (por ejemplo, impacto en los
sistemas y procesos existentes o de seguridad), el costo-beneficio justificacin y otros requisitos. Siga el desarrollo normal
del sistema y los procesos de Implantacin segn corresponda a la naturaleza del cambio.
2. Considere la posibilidad de interoperabilidad con las aplicaciones existentes y bases de datos, interfaces de usuario adecuadas,
y la utilizacin eficiente de los recursos tecnolgicos (por ejemplo, un marco de seguridad y las normas, la disponibilidad,
gestin de acceso, auditora, redes y almacenamiento) en la especificacin de diseo.
3. Considerar el impacto de la personalizacin y configuracin en el rendimiento y la eficiencia de la aplicacin de software
adquirida envasados y en las aplicaciones existentes, sistemas operativos y otras infraestructuras.
4. Considere el efecto de las clusulas contractuales con el proveedor en el diseo de personalizacin y configuracin.
5. Tenga en cuenta la disponibilidad de cdigo fuente para aplicaciones compradas / envasados en el proceso de personalizacin
y configuracin. Revisar los arreglos contractuales con el proveedor. Considere la posibilidad de acuerdos de custodia en el
cdigo fuente no est disponible. Evaluar los riesgos en caso de que la solicitud de adquisicin de paquetes de software ya no
est disponible a la expiracin de un contrato o por otras razones.
6. Asegrese de que los procedimientos de la verificacin de las pruebas adquiridas objetivos de control de aplicaciones (tales
como la funcionalidad, la interoperabilidad con las aplicaciones existentes y la infraestructura, la eficiencia, la capacidad de
rendimiento del sistema integrado de carga y pruebas de estrs, y la integridad de los datos).
7. Llevar a cabo un diseo de recorrido con la TI y accionistas de la empresa antes de la adaptacin se inicia, como parte del
proceso de cierre para la personalizacin y configuracin de las especificaciones de software de aplicacin.
8. Tenga en cuenta si las consecuencias de personalizacin y configuracin requieren una reevaluacin de las estrategias para la
aplicacin de paquetes de software adquirido.
9. Obtener la aprobacin de los propietarios de los procesos de negocio para las especificaciones de diseo detalladas para la
personalizacin y configuracin de software de aplicacin.
10. Asegurar que los manuales de usuario y operativa (ayuda en lnea) son completos y actualizados cuando sea necesario para
dar cuenta de cualquier personalizacin o condiciones especiales exclusivas para la aplicacin.
11. Considere la posibilidad de que el efecto acumulativo de las personalizaciones y configuraciones (incluidos los cambios
menores que no estaban sometidos a las especificaciones de diseo formales) requieren de una reevaluacin de alto nivel de
la solucin adquirida y la funcionalidad asociada. Evaluar si estos cambios que activan el desarrollo de una especificacin de
diseo detallado para la personalizacin y configuracin del software de aplicacin. Evaluar si estos cambios limitan la
capacidad de la organizacin a adoptar mejoras de proveedores para las aplicaciones empaquetadas de software adquiridas.


AI2.6 Actualizaciones Importantes en Sistemas Existentes
1. Evaluar el impacto de cualquier actualizacin de importancia y clasificar de acuerdo a criterios objetivos especificados (tales
como los requerimientos del negocio), con base en el resultado del anlisis de los riesgos involucrados (por ejemplo, impacto
en los sistemas y procesos existentes o de seguridad), la justificacin de costo-beneficio y otros requisitos. Siga el desarrollo
normal del sistema y los procesos de Implantacin segn corresponda a la naturaleza del cambio.
2. Obtener un acuerdo y la aprobacin de la aplicacin del proceso de desarrollo y la aplicacin con el patrocinador del proceso
de negocios y otros grupos de inters afectados. Asegrese de que los propietarios de los procesos de negocios a entender el
efecto de designar a los cambios como el mantenimiento o mejoras importantes.


AI2.7 Desarrollo de Software Aplicativo
1. Establecer procedimientos de desarrollo para asegurar que el desarrollo de software de aplicacin se adhiere a las normas de
desarrollo organizacional.
2. Asegrese de que el software de aplicacin est desarrollada sobre la base de las especificaciones acordadas y las empresas,
los requisitos funcionales y tcnicos.
3. Establecer acordado las etapas del proceso de desarrollo de los puestos de control (de desarrollo). Al final de cada etapa,




Prctica de control de COBIT
Evaluacin
de madurez
Meta de
madurez
Comentarios
facilitar la discusin formal de los criterios aprobados con los interesados clave. Obtener la aprobacin y firma fuera de todos
los interesados despus de la finalizacin con xito de los exmenes funcionalidad, rendimiento y calidad antes de la
finalizacin de las actividades de la etapa. En la etapa final, confirmar con las autoridades tcnicas de TI y la gestin de las
operaciones que las aplicaciones estn listos y aptos para la migracin al entorno de produccin.
4. Evaluar la adecuacin de los programas desarrollados en cuanto a su compatibilidad y facilidad de integracin con las
aplicaciones y la infraestructura existentes.
5. Cuando los desarrolladores de terceros estn involucrados con el desarrollo de aplicaciones, establecer que se adhieren a las
obligaciones contractuales y las normas de desarrollo organizacional y que los requisitos de concesin de licencias se han
abordado.
6. Supervisar todas las actividades de desarrollo y seguimiento de las solicitudes de cambio y revisiones de diseo, rendimiento
y calidad, asegurando la participacin activa de todos los interesados afectados, incluidos los usuarios de procesos de negocio
y de TI representantes de la tecnologa.
7. Asegrese de que los cambios solicitados surgen de TI o del propietario del proceso de negocio se realiza un seguimiento.
8. Considere el efecto de las tcnicas de dinmicas, el desarrollo no secuenciales (por ejemplo, el desarrollo rpido de
aplicaciones, programacin extrema) en el monitoreo del progreso de desarrollo de aplicaciones y la aprobacin de la
aplicacin de software por los interesados.
AI2.8 Aseguramiento de la Calidad del Software
1. Definir un plan de control de calidad de software. Asegrese de que el plan incluye:
Definicin de criterios de calidad
Los procesos de validacin y verificacin
Definicin de cmo la calidad se revisar
Los requisitos necesarios de calidad de los revisores
Roles y responsabilidades para el logro de la calidad
Considere lo siguiente:
El efecto de la calidad de la incrustacin en el proceso de desarrollo
La presencia o ausencia de examen oficial por equipos independientes de control de calidad
Asegurar que los crticos son independientes del equipo de desarrollo
2. Disear un proceso que monitorea la calidad del software basado en:
Requisitos del proyecto
Las polticas empresariales
La adhesin a los sistemas de metodologas de desarrollo de sitios
Los procedimientos de gestin de calidad y criterios de aceptacin
3. Emplear la inspeccin del cdigo, el programa de rondas de inspeccin y prueba de aplicaciones. Informe sobre los resultados
del proceso de Monitoreo y pruebas para el equipo de desarrollo de aplicaciones de software y gestin de TI.
4. Supervisar todas las excepciones de calidad. Asegrese de que se adopten medidas correctoras. Mantener un registro de todas
las opiniones, resultados, excepciones y correcciones. Repita los controles de calidad, en su caso, sobre la base de la cantidad
de trabajo y la accin correctiva.


AI2.9 Administracin de los Requerimientos de Aplicaciones
1. Disear un proceso para la normalizacin, seguimiento, registro y aprobacin de todas las solicitudes de cambio durante el
desarrollo de sistemas de aplicacin.
2. Evaluar el impacto de todas las solicitudes de proyectos de cambio, y clasificar y priorizar en consecuencia.
3. Seguimiento de cambios en los requisitos para los proyectos de desarrollo, lo que permite a todos los interesados para
supervisar, revisar y aprobar los cambios. Asegrese de que los resultados del proceso de cambio se hayan comprendido y
aceptado por los interesados clave.


AI2.10 Mantenimiento de Software Aplicativo
1. Disear un proceso eficaz y eficiente para las actividades de mantenimiento de aplicaciones de software. Dar prioridad a las




Prctica de control de COBIT
Evaluacin
de madurez
Meta de
madurez
Comentarios
actividades de mantenimiento, prestando atencin a las necesidades del negocio y los recursos necesarios. Asegrese de que
todos los cambios en el software de cumplir con el proceso de cambio oficial de gestin, incluyendo el impacto en otros
sistemas y la infraestructura. Asegrese de que el riesgo y los requisitos de seguridad y las interdependencias se dirigieron.
2. Controlar todos los cambios de mantenimiento. Si las tareas de mantenimiento adecuadas, agregados en un nico "cambio"
para que la gestin y el control ms fcil. Asegrese de que cualquier reparacin importante se clasifica y gestiona como un
nuevo desarrollo formal.
3. Establecer la revisin y aprobacin de todos los de emergencia o cualquier otro cambio aplicados sin la adhesin al proceso de
cambio formal.
4. Asegrese de que el patrn y el volumen de las actividades de mantenimiento se analizan peridicamente las tendencias
anormales que indican la calidad subyacente o problemas de rendimiento.
5. Establecer procesos para asegurar que toda la actividad de mantenimiento se ha completado correctamente y en profundidad.
Seguimiento de las actividades de mantenimiento para asegurar la terminacin. En caso necesario, actualizar los sistemas de
usuario y la documentacin operativa.
AI3 Adquirir y Mantener Infraestructura Tecnolgica

AI3.1 Plan de Adquisicin de Infraestructura Tecnolgica
1. Crear y mantener un plan para la adquisicin, Implantacin y actualizacin de la infraestructura tecnolgica que cumpla con
los requisitos establecidos de negocio funcionales y tcnicas, y est de acuerdo con la direccin tecnolgica de la
organizacin. El plan tambin debe considerar la futura flexibilidad para las adiciones de capacidad, los costos de transicin,
los riesgos tcnicos y, a efectos de mejorar la tecnologa, la vida til de la inversin. El plan debe ser integrado con los
procesos de la organizacin de planificacin estratgica y operativa.
2. Asegrese de que el plan incluye una evaluacin financiera indicando el retorno de la inversin durante la vida til esperada
de la infraestructura.
3. Revise todos los planes de adquisicin de los riesgos teniendo en cuenta, costos, beneficios y de la conformidad tcnica con
estndares tecnolgicos corporativos. Cualquier desviacin debe ser autorizada por la junta de la arquitectura de TI. Aprobar
todos los planes revisados y aceptados con una aprobacin formal.
4. Establecer un proceso de retroalimentacin para apoyar la mejora continua y elevar los cambios sugeridos en el plan de
infraestructura tecnolgica, las directrices y los estndares de tecnologa.


AI3.2 Proteccin y Disponibilidad del Recurso de Infraestructura
1. Copia de seguridad y proteger todos los datos de la infraestructura y el software antes de que las tareas de instalacin o
mantenimiento.
2. Pon a prueba si el entorno de software de aplicaciones est separado de, pero lo suficientemente similares para la produccin
para verificar la funcionalidad y establecer su seguridad, la disponibilidad o las condiciones de integridad. Esto asegura que
funcionan debidamente y estn en conformidad con los requisitos establecidos en el marco de la adquisicin y el
mantenimiento de la infraestructura tecnolgica. Analizar y seguir las recomendaciones de los proveedores.
3. Evaluar todos los aspectos de seguridad relacionados con la instalacin del software del sistema y los procesos de
mantenimiento, en especial la modificacin de las contraseas originales asignadas por los proveedores de servicios y la
configuracin de los parmetros que pueden afectar a la seguridad, tal como lo establece la configuracin predeterminada del
proveedor de los parmetros.
4. Vigilar que el acceso temporal se concede para permitir la instalacin, y asegurar que las contraseas se cambian como la
instalacin se ha completado.
5. Supervisar que slo cuentan con la licencia de software se ha probado e instalado. Revisar el proceso para asegurar que la
instalacin del software del sistema se realiza de acuerdo con las directrices de los proveedores y cualquier desviacin se
discuten con el proveedor para evaluar el impacto potencial.
6. Control de movimiento de los programas y datos entre las bibliotecas, velando por que este se lleva a cabo por un grupo
independiente (por ejemplo, un bibliotecario).
7. Aplicar procedimientos de aceptacin mediante criterios objetivos de aceptacin para asegurar que el rendimiento del




Prctica de control de COBIT
Evaluacin
de madurez
Meta de
madurez
Comentarios
producto (incluida la seguridad y funcionalidad) es consistente con las especificaciones acordadas y / o requisitos de SLA.
8. Proporcionar una formacin adecuada al personal que utilizan los componentes sensibles de la infraestructura.
9. Controlar y registrar el acceso y mantenimiento de los componentes de la infraestructura sensibles, y asegurar que stos se
revisan peridicamente.
AI4 Facilitar la Operacin y el Uso

AI4.1 Plan para Soluciones de Operacin
1. Definir y documentar los procedimientos operativos antes de su aplicacin, y establecer que durante las pruebas de aceptacin
para asegurarse de que se completa, precisa y utilizable.
2. Definir y documentar los procedimientos de usuario antes de su aplicacin, y establecer que durante las pruebas de aceptacin
para asegurarse de que se completa, precisa y utilizable.


AI4.2 Transferencia de Conocimiento a la Gerencia del Negocio
1. Establecer la propiedad del sistema. Definir funciones de gestin y administrativas, los procedimientos de seguridad y control,
y los requisitos de capacitacin.
2. Crear documentacin de gestin, incluidas las funciones y responsabilidades, segregacin de funciones, las consideraciones de
continuidad del negocio, el acceso y controles de privilegios, los procedimientos de administracin y procedimientos de
control interno.
3. Involucrar a la gestin empresarial en la creacin de documentacin de gestin, e integrar todos los procedimientos con la
administracin actual y los procedimientos de control.
4. Brindar capacitacin a la gestin empresarial sobre la forma de gestionar el sistema con eficacia.
5. Recoger informacin peridica de la gestin empresarial, sobre la adecuacin de la documentacin de apoyo, procedimientos
y capacitacin relacionada.


AI4.3 Transferencia de Conocimiento a Usuarios Finales
1. Cree todas las instrucciones de uso requeridas, documentacin, procedimientos y materiales de capacitacin de manera
oportuna para permitir el uso eficiente y eficaz del nuevo sistema.
2. Cree informativo y comprensible para el usuario final la documentacin y materiales de referencia, diseado para todos los
niveles de experiencia, escrito en un lenguaje sencillo y de fcil acceso (por ejemplo, documentacin, electrnica).
3. Involucrar a los grupos de usuarios finales en la creacin de la documentacin de soporte al usuario final, e integrar todos los
procedimientos existentes con el usuario final los procedimientos.
4. Proporcionar capacitacin a los usuarios finales sobre cmo utilizar eficazmente el sistema.
5. Evaluar documentacin de usuario final (por ejemplo, manuales de procedimiento, la ayuda en lnea y ayudar a material
impreso de apoyo) para el contenido y la calidad como parte de las pruebas de aceptacin del usuario del sistema.
6. Recoger informacin peridica de los usuarios finales sobre la adecuacin de la documentacin del usuario final, los
procedimientos y la capacitacin relacionada.


AI4.4 Transferencia de Conocimiento al Personal de Operaciones y Soporte
1. Crear el mantenimiento del sistema informativo y comprensible y documentacin de soporte que est escrito en un lenguaje
sencillo y es fcilmente accesible (por ejemplo, los escenarios de service desk y documentacin electrnica).
2. Involucrar a las operaciones y personal de apoyo en la creacin de mantenimiento y documentacin de apoyo, e integrar todos
los procedimientos existentes con los procedimientos operativos.
3. Brindar capacitacin al personal de apoyo a las operaciones sobre la forma de apoyar el nuevo sistema con eficacia. Incluya el
propsito del negocio de los niveles del sistema y del servicio.
4. Evaluar la documentacin de operaciones (por ejemplo, manuales de procedimientos, ayuda en lnea, preguntas frecuentes y
ayuda material impreso de apoyo) para el contenido y la calidad como parte de las pruebas de aceptacin del usuario del
sistema.
5. Recoger informacin peridica de las operaciones y personal de apoyo en la adecuacin de la documentacin de las
operaciones, los procedimientos y la capacitacin correspondiente.




Prctica de control de COBIT
Evaluacin
de madurez
Meta de
madurez
Comentarios
AI5 Adquirir Recursos de TI

AI5.1 Control de Adquisicin
1. Definir las polticas de TI y procedimientos de contratacin en consonancia con las polticas de contratacin de la
organizacin y procedimientos. Las polticas de adquisicin de TI y los procedimientos deben abordar los problemas
especficos, tales como:
Requisitos legislativos
Cumplimiento de la poltica de la organizacin la adquisicin de TI
Participacin de experiencia en TI contrato legal
Las licencias y los requisitos de arrendamiento
Clusulas de mejorar la tecnologa
Acuerdos de depsito de garanta
Proveedor de soporte de software y dispositivos de seguridad
Garantizar la participacin de la empresa
El costo total de propiedad
Adquisicin plan de adquisiciones importantes
Registro de los activos
2. Definir e implementar los procedimientos habituales de contratacin que utilizan criterios de seleccin que respondan a los
riesgos asociados con la adquisicin.
3. Definir e implementar las aprobaciones requeridas en los puntos de decisin clave en los procesos de contratacin. Obtener
autorizacin de la direccin por adelantado, si la poltica actual no ser seguida.
4. Registrar la recepcin de todos los equipos y adquisiciones de software en un inventario de activos, y evaluar la calidad antes
de hacer cualquier pago.


AI5.2 Administracin de Contratos con Proveedores
1. Establecer las polticas de los proveedores de gestin de contratos y procedimientos de acuerdo con los trminos y
condiciones legales. Las polticas y procedimientos deben abordar los problemas especficos, tales como:
Las responsabilidades del Proveedor
Las responsabilidades del cliente
Proveedor SLA
Monitoreo y presentacin de informes en contra de los SLA
Los acuerdos de transicin
Los procedimientos de notificacin y escalamiento
Normas de seguridad, gestin de registros y requisitos de control
Los proveedores de control de calidad requeridos prcticas
Derecho a auditar
Sanciones o incentivos relacionados con los niveles de servicio acordados
Los derechos de propiedad intelectual
Provisin de una garanta independiente
Clusulas de mejorar la tecnologa

Todos los contratos y cambios en el contrato deben ser revisados por los asesores legales.
2. Definir e implementar una poltica y procedimientos relacionados para establecer, modificar y rescindir contratos con
proveedores. Consulte los interesados clave, incluidos los legales, compras, auditora, las empresas y los representantes de TI.
3. Realizar la revisin de los controles internos de los proveedores por la administracin o por terceros independientes sobre la
base de contratos con los proveedores de servicios clave.
4. Obtener y revisar los contratos de clusulas relativas a las revisiones por terceros y obtener los informes de dichas revisiones.
5. Al definir los recursos de la jurisdiccin del contrato, consideran que los acuerdos de custodia de software y proveedores




Prctica de control de COBIT
Evaluacin
de madurez
Meta de
madurez
Comentarios
alternativos o acuerdos de reserva en caso de fallo de suministrador.
6. Preguntar si los recursos fueron considerados en la definicin del contrato.
AI5.3 Seleccin de Proveedores
1. Revisar todas las solicitudes de informacin (IFR) y solicitudes de propuesta (RFP) para asegurarse de que:
Definir claramente los requisitos
Incluir un procedimiento para aclarar los requisitos
D tiempo suficiente para preparar los vendedores de sus propuestas
Definir claramente los criterios de adjudicacin y el proceso de toma
2. Evaluar las IFR y solicitudes de propuesta, de conformidad con el proceso de evaluacin aprobados / criterios, y mantener las
pruebas documentales de las evaluaciones. Verifique las referencias de los proveedores candidatos.
3. Seleccione el proveedor que mejor se adapte a la RFP, documentar y comunicar la decisin, y firmar el contrato.
4. En el caso especfico de la adquisicin de software, incluir y hacer cumplir los derechos y obligaciones de todas las partes en
los trminos contractuales. Estos derechos y obligaciones pueden incluir la propiedad y concesin de licencias de propiedad
intelectual, mantenimiento, garantas, procedimientos de arbitraje, los trminos de actualizacin, y aptos para el propsito,
incluyendo los derechos de la seguridad, custodia y acceso.
5. En el caso especfico de la adquisicin de recursos para el desarrollo, incluir y hacer cumplir los derechos y obligaciones de
todas las partes en los trminos contractuales. Estos derechos y obligaciones pueden incluir la propiedad y concesin de
licencias de propiedad intelectual; adecuados para sus fines, incluidas las metodologas de desarrollo, idiomas, pruebas, los
procesos de gestin de calidad, incluidos los criterios de rendimiento requeridos, exmenes de desempeo, base para el pago,
garantas, procedimientos de arbitraje, la gestin de recursos humanos; y el cumplimiento de las polticas de la organizacin.
Obtener asesoramiento legal sobre los acuerdos de adquisicin de recursos de desarrollo relativas a la propiedad y concesin
de licencias de la propiedad intelectual.
6. En el caso especfico de la adquisicin de la infraestructura, instalaciones y servicios conexos, se incluyen y hacer cumplir los
derechos y obligaciones de todas las partes en los trminos contractuales. Estos derechos y obligaciones pueden incluir los
niveles de servicio, procedimientos de mantenimiento, controles de acceso, seguridad, revisin de resultados, base para los
procedimientos de pago y el arbitraje.


AI5.4 Adquisicin de Recursos de TI
1. Revisar la entrega de la tecnologa del ciclo de vida y los resultados relacionados y aprobar los entregables en los puntos clave
en el ciclo de adquisicin. Asegrese de que las actualizaciones de la tecnologa estn disponibles dentro acordado plazos.
2. Obtener los derechos generales de concesin de licencias y la propiedad siempre que sea posible y asegurarse de que el
proveedor cumple con la normativa aplicable.
3. Confirme que la tecnologa adquirida entrega segn las necesidades, propuesto y acordado contractualmente, a travs de la
supervisin, inspeccin y pruebas. Supervisar la entrega de componentes de tecnologa de la identificacin de soluciones
automatizadas. Prueba adquirida de software / hardware de los recursos con los procedimientos estndar de prueba, en
ambientes adecuados y el uso de datos representativos. Mantener la confidencialidad de los datos de prueba en su caso.
Revisar la documentacin y la transferencia de conocimientos que permitan el mantenimiento futuro eficiente.


AI7 Instalar y Acreditar Soluciones y Cambios

AI7.1 Entrenamiento
1. Para los sistemas de proyectos de desarrollo, Implantacin o modificacin de un plan de formacin es una parte integral del
plan maestro del proyecto en general. Asegrese de que el plan identifica claramente los objetivos de aprendizaje, recursos,
hitos claves, dependencias y tareas de ruta crtica que afectan a la entrega del plan de formacin. El plan debe considerar
estrategias alternativas de formacin en funcin de las necesidades del negocio, nivel de riesgo (por ejemplo, para sistemas de
misin crtica, un sistema formal de acreditacin y reacreditacin de usuario puede ser apropiado), y los requisitos
regulatorios y de cumplimiento (por ejemplo, el impacto de las leyes de privacidad distintas puede requerir la adaptacin de
la formacin a nivel nacional).
2. Asegrese de que el plan de formacin se identifican y se dirige a todos los grupos afectados, incluidos los usuarios finales de




Prctica de control de COBIT
Evaluacin
de madurez
Meta de
madurez
Comentarios
negocio, operaciones de TI, de apoyo y de capacitacin de desarrollo de aplicaciones y proveedores de servicios. El plan de
capacitacin debe incluir la entrega de la formacin de una manera oportuna. Tambin se debe identificar a los miembros del
personal que deben estar capacitados y aquellos para quienes la formacin es deseable.
3. Considere la posibilidad de estrategias alternativas de formacin que satisfagan las necesidades de formacin, y seleccionar la
estrategia ms costo-efectiva que se alinea con el marco de la formacin de la organizacin. Las estrategias alternativas
incluyen formacin de formadores, el usuario final la acreditacin y la formacin basada en intranet.
4. Compruebe que hay un proceso para asegurar que el plan de formacin se ejecuta satisfactoriamente. Complete la
documentacin que detalla el cumplimiento del plan de formacin. Ejemplos de informacin son las listas de los miembros
del personal invitado a asistir a la capacitacin, los asistentes, las evaluaciones de logro de los objetivos de aprendizaje y
otros comentarios.
5. Supervisar la capacitacin para obtener informacin que podra conducir a posibles mejoras, ya sea en la formacin o el
sistema.
6. Controlar todos los cambios previstos para garantizar que las necesidades de formacin han tenido en cuenta y ha creado
planes adecuados. Considere la posibilidad de posponer el cambio si el entrenamiento no ha llevado a cabo y la falta de
formacin podra poner en peligro la Implantacin del cambio.
AI7.2 Plan de Prueba
1. Desarrollar y documentar el plan de pruebas, que se alinea con el plan de calidad del proyecto y las normas pertinentes de la
organizacin. Comunicar y consultar con las responsables de los procesos de TI y los interesados clave.
2. Asegrese de que el plan de prueba refleja una evaluacin de los riesgos del proyecto y que todos los requerimientos
funcionales y tcnicos que se evalan se. Basado en la evaluacin del riesgo de fallo del sistema y fallas en la Implantacin,
el plan debe incluir los requisitos de rendimiento, el estrs, la facilidad de uso, el piloto y las pruebas de seguridad.
3. Asegrese de que el plan de pruebas se refiere a la posible necesidad de acreditacin interna o externa de los resultados del
proceso de prueba (por ejemplo, los requisitos de regulacin financiera).
4. Asegrese de que el plan de pruebas identifica los recursos necesarios para ejecutar las pruebas y evaluar los resultados.
Ejemplos de recursos incluyen la construccin de entornos de prueba y el personal para el grupo de prueba, incluida la
sustitucin temporal de personal potencial de la prueba en los entornos de produccin o desarrollo. Asegrese de que los
interesados sean consultados sobre las implicaciones de los recursos del plan de pruebas.
5. Asegrese de que el plan de pruebas identifica las fases de prueba adecuado a las necesidades de funcionamiento y el medio
ambiente. Ejemplos de estos incluyen las fases de prueba prueba de unidad, prueba del sistema, prueba de integracin, prueba
de aceptacin del usuario, prueba de rendimiento, prueba de esfuerzo, prueba de conversin de datos, anlisis de seguridad, la
disponibilidad operacional, y las pruebas de respaldo y recuperacin.
6. Confirme que el plan de pruebas considera preparacin de la prueba (incluyendo la preparacin del sitio), los requisitos de
formacin, instalacin o una actualizacin de un entorno de prueba definido, planificacin/realizacin/documentar/retener
casos de prueba, error y el manejo de problemas, la correccin y el escalamiento, y la aprobacin formal.
7. Asegrese de que el plan de pruebas establece criterios claros para medir el xito de llevar a cabo cada fase de pruebas.
Consulte a los propietarios de los procesos de negocio y de TI interesados en la definicin de los criterios de xito.
Determinar que el plan establece los procedimientos de remediacin, cuando los criterios de xito no se cumplen (por
ejemplo, en un caso de fallos importantes en una fase de prueba, el plan ofrece orientacin sobre si se debe proceder a la fase
siguiente, deje de pruebas o aplazar la aplicacin).
8. Confirme que todos los planes de pruebas han sido aprobados por los interesados clave, incluidos los propietarios de procesos
de negocio y de TI, segn corresponda. Ejemplos de esos interesados son los gerentes de desarrollo de aplicaciones, gestores
de proyectos y los usuarios finales de procesos de negocio.


AI7.3 Plan de Implantacin
1. Definir una poltica de numeracin y la frecuencia de las emisiones.
2. Confirme que todos los planes de ejecucin han sido aprobados por los interesados clave, incluida la asistencia tcnica y de
negocios.




Prctica de control de COBIT
Evaluacin
de madurez
Meta de
madurez
Comentarios
3. Crear un plan de ejecucin que refleja los resultados de una revisin formal de los riesgos tcnicos y de negocios. Incluya con
el plan de Implantacin:
La estrategia de aplicacin amplia
La secuencia de los pasos de Implantacin
Las necesidades de recursos
Las interdependencias
Criterios para la gestin de acuerdo a la Implantacin de produccin
Requisitos de verificacin de la instalacin
Estrategia de transicin para el apoyo a la produccin

Alinear el plan de ejecucin con el plan de negocio de la gestin del cambio.
4. Obtener el compromiso de terceros para su participacin en cada etapa de la aplicacin.
5. Identificar y documentar la reserva y el proceso de recuperacin.
AI7.4 Ambiente de Prueba
1. Asegrese de que el entorno de prueba sea representativa del paisaje de funcionamiento futuro, incluyendo el estrs es
probable carga de trabajo, sistemas operativos, software de aplicacin necesario, los sistemas de bases de datos, y de la red y
la infraestructura informtica se encuentra en el entorno de produccin.
2. Asegrese de que el ambiente sea seguro y capaz de interactuar con los sistemas de produccin.
3. Crear una base de datos de datos de prueba que sean representativos del entorno de produccin. Desinfecte los datos utilizados
en el entorno de prueba del entorno de produccin de acuerdo a las necesidades empresariales y las normas de organizacin
(por ejemplo, considerar si el cumplimiento de los requisitos reglamentarios o de obligar a la utilizacin de datos saneadas).
4. Proteja los datos confidenciales y los resultados de las pruebas en contra de la divulgacin, incluido el acceso, retencin,
almacenamiento y destruccin. Considere el efecto de la interaccin de los sistemas de organizacin con los de terceros.
5. Poner en marcha un proceso para permitir la retencin o eliminacin adecuadas de los resultados de la prueba, medios de
comunicacin y dems documentacin asociada para permitir la debida revisin y anlisis posterior como lo requiere el plan
de pruebas. Considere el efecto de los requisitos reglamentarios o de cumplimiento.


AI7.5 Conversin de Sistemas y Datos
1. Definir un plan de conversin de datos y la migracin de la infraestructura. Consideremos, por ejemplo, hardware, redes,
sistemas operativos, software, datos de transacciones, archivos maestros, copias de seguridad y los archivos, las interfaces
con otros sistemas (tanto internos como externos), los procedimientos y la documentacin del sistema, en el desarrollo del
plan.
2. Asegrese de que el plan de conversin de datos incorpora mtodos para la recoleccin, transformacin y verificacin de los
datos que desea convertir, e identificar y resolver los errores encontrados durante la conversin. Esto incluye la comparacin
de los datos originales y se convierte para la integridad y la integridad.
3. Confirme que el plan de conversin de datos no requiere cambios en los valores de datos a menos que sea absolutamente
necesario por razones de negocios. Documentar los cambios realizados en los valores de datos, y obtener la aprobacin del
proceso de negocios propietario de los datos.
4. Considere la posibilidad en tiempo real de recuperacin de desastres, la planificacin de la continuidad del negocio, y la
reversin en la conversin de datos y un plan de migracin de la infraestructura en la gestin de riesgos, las necesidades del
negocio, o reglamentarias/demanda el cumplimiento de los requisitos.
5. Coordinar y verificar el tiempo y la integridad de la fecha de corte de conversin de lo que hay una transicin suave y
continua, sin prdida de las transacciones. Cuando sea necesario, en ausencia de otra alternativa, congelar las operaciones en
vivo.
6. Asegurarse de que hay un respaldo de todos los sistemas y los datos tomados en el punto antes de la conversin, las pistas de
auditora se mantienen para permitir la conversin que se volvi sobre, y hay una reserva y el plan de recuperacin en el caso
de error en la conversin. Asegrese de que la retencin de datos de backup y archivado se ajusta a las necesidades del




Prctica de control de COBIT
Evaluacin
de madurez
Meta de
madurez
Comentarios
negocio y los requisitos reglamentarios o de cumplimiento.
AI7.6 Pruebas de Cambios
1. Asegrese de que las pruebas de los cambios se realizarn de conformidad con el plan de pruebas. Asegrese de que la prueba
ha sido diseada y realizada por un grupo de prueba independiente del equipo de desarrollo. Tenga en cuenta la medida en
que los propietarios de procesos de negocio y los usuarios finales estn involucrados en el grupo de prueba. Asegrese de que
la prueba se lleva a cabo slo en el entorno de prueba.
2. Asegrese de que las pruebas y los resultados esperados estn de acuerdo con los criterios de xito definidos, establecidos en
el plan de pruebas.
3. Considere el uso de instrucciones de la prueba claramente definidos (scripts) para aplicar las pruebas. Asegrese de que el
grupo de prueba independiente, evala y aprueba cada script de prueba para confirmar que se aborda adecuadamente los
criterios de prueba de xito establecidos en el plan de pruebas. Considere el uso de secuencias de comandos para comprobar
el grado en que el sistema cumple con los requisitos de seguridad. Considere la posibilidad de un equilibrio adecuado entre
las pruebas automatizadas de secuencias de comandos y las pruebas de interaccin con el usuario.
4. Llevar a cabo pruebas de seguridad de acuerdo con el plan de pruebas. Medir el alcance de los fallos de seguridad o lagunas.
Considere el efecto de los incidentes de seguridad desde la construccin del plan de pruebas. Considere el efecto sobre el
acceso y los controles de frontera.
5. Llevar a cabo las pruebas de sistema y rendimiento de las aplicaciones de acuerdo con el plan de pruebas. Tenga en cuenta una
serie de mtricas de rendimiento (por ejemplo, los usuarios finales los tiempos de respuesta y gestin de bases de datos de
rendimiento de actualizacin del sistema).
6. Al llevar a cabo la prueba, asegrese de que los elementos de reserva y el desmantelamiento del plan de pruebas se han
abordado.
7. Identificar, registrar y clasificar (por ejemplo, menor de edad, significativa y de misin crtica) errores durante la prueba.
Asegrese de que una pista de auditora de los resultados de las pruebas est disponible. Comunicar los resultados de las
pruebas a los interesados clave, de conformidad con el plan de pruebas para facilitar la correccin de errores y mejora de la
calidad an ms.


AI7.7 Prueba de Aceptacin Final.
1. Asegrese de que el alcance de las actividades finales de aceptacin de la evaluacin abarca todos los componentes del
sistema de informacin (por ejemplo, software de aplicaciones, instalaciones, tecnologa, procedimientos de usuario, los
procedimientos de operaciones, monitoreo y apoyo).
2. Asegrese de que el registro de clasificados de los errores detectados en el proceso de pruebas ha sido abordada por el equipo
de desarrollo. Asegrese de que la causa de los errores ha sido remediada (por ejemplo, cambios adecuados en la aplicacin,
la configuracin o una solucin, y/o retraso en la correccin, donde el error es menor de edad).
3. Asegrese de que la evaluacin de la aceptacin final se mide segn los criterios de xito establecidos en el plan de pruebas.
Asegrese de que el proceso de revisin y de evaluacin est debidamente documentado.
4. Documentar e interpretar los resultados de pruebas de aceptacin final, y presentarlos en una forma que sea comprensible para
los propietarios de los procesos de negocio y de TI para una revisin informada y evaluacin puede llevarse a cabo.
5. Asegrese de que los propietarios de procesos de negocio, a terceros (segn corresponda) y los interesados clave formalmente
firmar en el resultado del proceso de evaluacin segn lo establecido en el plan de pruebas. Esta autorizacin es obligatoria
antes de la promocin a la produccin.






Evaluacin de Madurez vs Meta Madurez
3
2.5
2.75
3
3.5
3
3
4
4
4
4 4
4
4
1
AI1 Identificar Soluciones
Automatizadas
AI2 Adquirir y Mantener Software
Aplicativo
AI3 Adquirir y Mantener Infraestructura
Tecnolgica
AI4 Facilitar la Operacin y el Uso AI5 Adquirir Recursos de TI
AI7 Instalar y Acreditar Soluciones y
Cambios
PO10 Administrar Proyectos
Evaluacin Meta