AUDITORA

INFORMTICA
NRC:
RIESGO INFORMTICO

ECONOMISTA
GABRIEL CHIRIBOGA
NOMBRES:

Beltrn Gabriela
Caicedo Karina
Gmez Alexandra
Ros Carla
Tapia Andrea
Tipantiza Jessica

OBJETIVOS
Los Objetivos de Control para la Informacin y la Tecnologa relacionada, o
COBIT, por sus siglas en ingls (Control Objectives for Information and
related Technology) brindan buenas prcticas a travs de un marco de
trabajo de dominios y procesos, y presenta las actividades en una
estructura manejable y lgica. Las buenas prcticas de COBIT representan
el consenso de los expertos. Estn enfocadas fuertemente en el control y
menos en la ejecucin. Estas prcticas ayudarn a optimizar las inversiones
habilitadas por TI, asegurarn la entrega del servicio y brindarn una
medida contra la cual juzgar cuando las cosas no vayan bien.
El marco referencial de COBIT ha sido limitado a una serie de objetivos de
control de alto nivel, enfocados a las necesidades del negocio, dentro de un
proceso de tecnologas de informacin determinado.
El objetivo general de COBIT es:

Establecer estndares generalmente aplicados y aceptados para las

buenas prcticas de control en TI para los sistemas de informacin de
la Organizacin, fundamentados en una estructura de control de las
TI, que estn basados en los objetivos de control.
Los objetivos de control de las tecnologas de informacin han sido
organizados por proceso/actividad. Su forma de uso ha sido proporcionada
no solo para facilitar la entrada desde un punto de vista ventajoso, sino
tambin para facilitar aproximaciones globales (o combinadas), tales como
implementacin/instalacin de un proceso, responsabilidades globales de
administracin para un proceso, y el uso de los recursos de TI por parte de
un proceso.
La direccin requiere objetivos de control que definan la meta final de
implementar
polticas,
procedimientos,
prcticas
y
estructuras
organizacionales diseadas para brindar un aseguramiento razonable de
que:

Se alcancen los objetivos del negocio.

Se prevengan o se detecten y corrijan los eventos no deseados.

En los complejos ambientes de hoy en da, la direccin busca

continuamente informacin oportuna y condensada, para tomar decisiones
difciles respecto a riesgos y controles, de manera rpida y exitosa.

MARCO DE TRABAJO COBIT

COBIT define las actividades de TI de una organizacin, en un modelo
genrico de procesos en cuatro dominios. Los dominios son Planear y

Organizar, Adquirir
e
Implementar, Entregar
Soporte y Monitorear y Evaluar.

Dar

El marco de trabajo de COBIT proporciona un modelo de procesos de

referencia y un lenguaje comn para todos los implicados en los trabajos de
la organizacin, con el fin de que visualicen y administren las actividades de
TI. La incorporacin de un modelo y un lenguaje comn para todas las
partes de un negocio involucradas en TI es uno de los pasos iniciales ms
importantes hacia un buen gobierno. Brinda un marco de trabajo para la
medicin y monitoreo del desempeo de las Tecnologas de Informacin, e
integra las mejores prcticas administrativas. Fomenta la propiedad de los
procesos, permitiendo que se definan las responsabilidades. Determina las
actividades y los riesgos que requieren ser administrados.
Para que TI tenga xito en satisfacer los requerimientos del negocio, la
direccin debe implementar un sistema de control interno o un marco de
trabajo. El marco de trabajo de control COBIT contribuye a estas
necesidades de la siguiente manera:
Estableciendo un vnculo con los requerimientos del negocio
Organizando las actividades de TI en un modelo de procesos
generalmente aceptado
Identificando los principales recursos de TI a ser utilizados
Definiendo los objetivos de control gerenciales a ser considerados
La orientacin al negocio que enfoca COBIT consiste en alinear las
metas de negocio con las metas de TI, brindando mtricas y
modelos de madurez para medir sus logros, e identificando las
responsabilidades asociadas de los dueos de los procesos de
negocio y de TI.

El alcance de los cuatro dominios que establece COBIT 4.1 es, en trminos
generales, los que se describen a continuacin:
1. PLANEAR Y ORGANIZAR.- Cubre las estrategias y de la
organizacin, identificando la manera en que las TI pueda contribuir
al logro de los objetivos del negocio. La visin estratgica requiere ser
planeada, comunicada y administrada desde diferentes perspectivas.
Finalmente, se debe implementar una estructura organizacional y una
estructura tecnolgica apropiada. Este dominio y sus controles cubren
los siguientes requerimientos del negocio:

Estn alineadas las estrategias de las TI y del negocio?

La empresa est alcanzando un uso ptimo de sus recursos?

Entienden todas las personas dentro de la organizacin los objetivos de

las TI?

Se entienden y administran los riesgos de las TI?

Es apropiada la calidad de los sistemas de las TI para las necesidades

del negocio?

2. ADQUIRIR E IMPLEMENTAR.- Las soluciones de las TI necesitan ser

identificadas, desarrolladas o adquiridas as como la implementacin
e integracin en los procesos del negocio. Adems, el cambio y el
mantenimiento de los sistemas existentes son necesarios para
garantizar que las soluciones sigan satisfaciendo los objetivos del
negocio. Este dominio contesta a las siguientes interrogantes:

Los nuevos proyectos generan soluciones que satisfagan las necesidades

del negocio?

Los nuevos proyectos son entregados a tiempo y dentro del presupuesto?

Trabajarn

adecuadamente

los

nuevos

sistemas

una

vez

sean

implementados?

Los cambios afectarn las operaciones actuales del negocio?

3. ENTREGAR Y DAR SOPORTE.- Se preocupa de la entrega de los

servicios requeridos, la prestacin del servicio, la administracin de la
seguridad y de la continuidad, el soporte del servicio a los usuarios, la
administracin de los datos y de las instalaciones operacionales. Este
dominio trata de garantizar:

Se estn entregando los servicios de las TI de acuerdo con las prioridades

del negocio?

Estn optimizados los costos de las TI?

Es capaz la fuerza de trabajo de utilizar los sistemas de las TI de manera

productiva y segura?

Estn implantadas de forma adecuada la confidencialidad, la integridad y la

disponibilidad?

4. MONITOREAR Y EVALUAR.- Este dominio abarca la administracin

del desempeo, el monitoreo del control interno, el cumplimiento
regulatorio y la aplicacin del Gobierno. Contesta a las siguientes
preguntas:

Se mide el desempeo de las TI para detectar los problemas antes de que

sea demasiado tarde?

La Alta Direccin garantiza que los controles internos son efectivos y

eficientes?

Puede vincularse el desempeo de lo que las TI ha realizado con las metas

del negocio?

Se miden y reportan los riesgos, el control, el cumplimiento y el

desempeo?

A continuacin se detallan cada uno de los dominios:

PLANEAR Y ORGANIZAR
Estrategias y tcticas. Identificar la manera en que TI pueda contribuir de la
mejor manera al logro de los objetivos del negocio. Proporciona direccin
para la entrega de soluciones (AI) y la entrega de servicio (DS).
Dentro de sus procesos estn:
P01 Definir un Plan Estratgico de TI.
La planeacin estratgica de TI es necesaria para gestionar y dirigir todos
los recursos de TI en lnea con la estrategia y prioridades del negocio. La
funcin de TI y los interesados del negocio son responsables de asegurar
que el valor ptimo se consigue desde los proyectos y el portafolio de
servicios. El plan estratgico mejora la comprensin de los interesados clave
de las oportunidades y limitaciones de TI, evala el desempeo actual,
identifica la capacidad y los requerimientos de recursos humanos, y clarifica
el nivel de investigacin requerido.
Sus objetivos son:

PO1.1
PO1.2
PO1.3
PO1.4
PO1.5
PO1.6

Administracin del Valor de TI

Alineacin de TI con el Negocio
Evaluacin del Desempeo y la Capacidad Actual
Plan Estratgico de TI
Planes Tcticos de TI
Administracin del Portafolio de TI

P02. Definir la Arquitectura de la Informacin.

La funcin de sistemas de informacin debe crear y actualizar de forma
regular un modelo de informacin del negocio y definir sistemas apropiados
para optimizar el uso de esta informacin. Esto incluye el desarrollo de un
diccionario corporativo de datos q contiene las reglas de sintaxis de proceso
mejora la clida permite racionalizar los recursos de los sistemas de
informacin para igualarse con las estrategias del negocio.
Sus objetivos son:

PO2.1
PO2.2
PO2.3
PO2.4

Modelo de Arquitectura de Informacin Empresarial

Diccionario de Datos Empresarial y Reglas de Sintaxis de Datos
Esquema de Clasificacin de Datos
Administracin de Integridad

P03. Determinar la Direccin Tecnolgica.

La funcin de servicios de informacin debe determinar la direccin
tecnolgica para dar soporte al negocio. Esto requiere de la creacin de un
plan de infraestructura tecnolgica y de un comit de arquitectura que
establezca y administre expectativas realistas y claras de lo que la
tecnologa puede ofrecer. El plan se debe actualizar de forma regular y
abarca aspectos tales como arquitectura de sistemas, direccin tecnolgica,
planes de adquisicin, requerimientos.
Sus objetivos son:

PO3.1
PO3.2
PO3.3
PO3.4
PO3.5

Planeacin de la Direccin Tecnolgica

Plan de Infraestructura Tecnolgica
Monitoreo de tendencias y regulaciones futuras
Estndares tecnolgicos
Consejo de Arquitectura de TI

P04. Definir los Procesos, Organizacin y Relaciones de TI

Una organizacin de TI se debe definir tomando en cuenta los
requerimientos de personal, funciones, rendicin de cuentas, autoridad,
roles, responsabilidades y supervisin. La organizacin est embebida en un
marco de trabajo de procesos de TI que asegure la transparencia y el
control; as como el involucramiento de los altos ejecutivos y de la gerencia
del negocio. Un comit debe garantizar la vigilancia del consejo directivo
sobre TI
P05. Administrar la Inversin en TI.
Establecer y mantener un marco de trabajo para administrar los programas
de inversin en TI que abarquen costos, beneficios, prioridades dentro del
presupuesto, un proceso presupuestal formal y administracin contra ese
presupuesto. Los interesados) son consultados para identificar y controlar
los costos y beneficios totales dentro del contexto de los planes estratgicos
y tcticos de TI, y tomar medidas correctivas segn sean necesarias.
Sus objetivos son:

PO5.1 Marco de Trabajo para la Administracin Financiera

PO5.2 Prioridades Dentro del presupuesto de TI
PO5.3 Proceso Presupuestal
PO5.4 Administracin de Costos de TI
PO5.5 Administracin de Beneficios Implementar un proceso de
monitoreo de

P06. Comunicar las Aspiraciones y la Direccin de la Gerencia

La direccin debe elaborar un marco de trabajo de control empresarial para
TI, y definir y comunicar las polticas. Un programa de comunicacin
continua se debe implementar para articular la misin los objetivos de

servicios, la poltica de procedimiento; aprobados y apoyados por la

direccin. La comunicacin apoya e los objetivos de TI y asegura la
concienciacin y el entendimiento de los riesgos del negocio y de TI. El
proceso debe garantizar el cumplimiento de las leyes y reglamentos
relevantes.
Sus objetivos son:

PO6.1
PO6.2
TI
PO6.3
PO6.4
PO6.5

Ambiente de Polticas y de Control

Riesgo Corporativo y Marco de Referencia de Control Interno de
Administracin de Polticas para TI
Implantacin de Polticas de TI
Comunicacin de los Objetivos y la Direccin de TI

P07. Administrar los Recursos Humanos de TI.

Adquirir, mantener y motivar una fuerza de trabajo para la creacin y
entrega de servicios de TI para el negocio. Esto se logra si d el
reclutamiento, la evaluacin del desempeo, la promocin la terminacin.
Este proceso es crtico, ya que las personas son activos importantes, y el
ambiente de gobierno y de control interno depende fuertemente de la
motivacin y competencia del personal.
Sus objetivos son:

PO7.1
PO7.2
PO7.3
PO7.4
PO7.5
PO7.6
PO7.7
PO7.8

Reclutamiento y Retencin del Personal

Competencias del Personal
Asignacin de Roles
Entrenamiento del Personal de TI
Dependencia Sobre los Individuos
Procedimientos de Investigacin del Personal
Evaluacin del Desempeo del Empleado
Cambios y Terminacin de Trabajo

P08. Administrar la Calidad

Se debe elaborar y mantener un sistema de administracin de calidad el
cual incluya procesos y estndares probados de desarrollo y de adquisicin.
Esto facilita por medio de la planeacin, implantacin y mantenimiento del
sistema de administracin de calidad. Los requerimientos de calidad se
deben manifestar y cuantificar con indicadores cuantificables y alcanzables.
La mejora continua se logra por medio de constante monitoreo correccin
de desviaciones y comunicacin de resultados a los interesados.
Sus objetivos son:

PO8.1 Sistema de Administracin de Calidad

PO8.2 Estndares y Prcticas de Calidad
PO8.3 Estndar

PO8.4 Enfoque en el Cliente de TI

PO8.5 Mejora Continua
PO8.6 Medicin, Monitoreo y Revisin de la Calidad

P09. Evaluar y Administrar los Riesgos de TI.

Crear y dar mantenimiento a un marco de trabajo de administracin de
riesgos. El marco de trabajo documenta el nivel comn y acordado de
riesgos de TI, estrategias de mitigacin y riesgos residuales. Cualquier
impacto potencial sobre las metas de la organizacin, causado por algn
evento no planeado se debe identificar, analizar y evaluar. Se debe adoptar
estrategias de mitigacin de riesgos para minimizar nivel aceptable.
Sus objetivos son:

PO9.1
PO9.2
PO9.3
PO9.4
PO9.5
PO9.6

Marco de Trabajo de Administracin de Riesgos

Establecimiento del Contexto del Riesgo
Identificacin de Eventos.
Evaluacin
Respuesta a los Riesgos
Mantenimiento y Monitoreo de un Plan de Accin de Riesgos

P10. Administrar Proyectos

Establecer un marco de trabajo de administracin de programas y proyectos
para la administracin de todos proyectos de TI establecidos. El marco de
trabajo debe garantizar la correcta asignacin de prioridades y la
coordinacin de todos los proyectos. El marco de trabajo incluir un plan
maestro, asignacin de recursos definicin de entregables apropiacin de
los usuarios un enfoque de entrega por fases para garantizar la
administracin de los riesgos del proyecto y la entrega de valor para el
negocio.
Sus objetivos son:

PO10.1
PO10.2
PO10.3
PO10.4
PO10.5
PO10.6

Marco de Trabajo para la Administracin de

Marco de Trabajo para la administracin de proyectos
Enfoque de Administracin de Proyectos
Compromiso de los interesados
Declaracin de Alcance del Proyecto Definir
Inicio de las Fases del Proyecto.

ADQUIRIR E IMPLEMENTAR
ENTREGAR Y DAR SOPORTE
DS1 Definir y administrar los niveles de servicio

Contar con una definicin documentada, un acuerdo de servicios de TI y de

niveles de servicio, hace posible una comunicacin efectiva entre la
gerencia de TI y los clientes, asegura la alineacin de los servicios claves de
TI con la estrategia del negocio, adems asegura transparencia y
entendimiento de los costos, beneficios, estrategias, polticas y niveles de
servicio de TI.
Este objetivo permite monitorear los convenios de niveles de servicio y
criterios de evaluacin de desempeo
, definir servicios, reportes,
reuniones y retroalimentar requerimientos.
Sus objetivos son:

DS1.1 Marco de Trabajo de la Administracin de los Niveles de

Servicio
DS1.2 Definicin de Servicios
DS1.3 Acuerdos de Niveles de Servicio
DS1.4 Acuerdos de Niveles de Operacin
DS1.5 Monitoreo y Reporte del Cumplimento de los Niveles de
Servicio
DS1.6 Revisin de los Acuerdos de Niveles de Servicio y de los
Contratos

DS2 Administrar los servicios de terceros

Asegurar que los servicios provistos por tercero cumplan con los
requerimientos del negocio, para esto es necesario procesos efectivos de
una clara definicin de roles, responsabilidades y acuerdos, una efectiva
administracin de servicios, minimiza los riesgos.
Sus objetivos son:

DS1.1 Marco de Trabajo de la Administracin de los Niveles de

Servicio
DS1.2 Definicin de Servicios
DS1.3 Acuerdos de Niveles de Servicio
DS1.4 Acuerdos de Niveles de Operacin
DS1.5 Monitoreo y Reporte del Cumplimento de los Niveles de
Servicio
DS1.6 Revisin de los Acuerdos de Niveles de Servicio y de los
Contratos

DS3 Administrar el desempeo y la capacidad

Sus objetivos son:

DS4 Garantizar la continuidad del servicio

Sus objetivos son:

DS5 Garantizar la seguridad de los sistemas

Sus objetivos son:
DS6 Identificar y asignar costos
Sus objetivos son:
DS7 Educar y entrenar a los usuarios
Sus objetivos son:
DS8 Administrar la mesa de servicio y los incidentes
Sus objetivos son:
DS9 Administrar la configuracin
Sus objetivos son:
DS10 Administrar los problemas
Sus objetivos son:
DS11 Administrar los datos
Sus objetivos son:
DS12 Administrar el ambiente fsico
Sus objetivos son:
DS13 Administrar las operaciones
Sus objetivos son:

MONITOREAR Y EVALUAR
EJEMPLO PRCTICO
CONCLUSIONES Y RECOMENDACIONES