AUDITORA AL GOBIERNO

DE TI USANDO COBIT 5

Visin General
23 de Septiembre de 2014
Alfonso Mateluna, past President Isaca Chile
CISA-CISM-CRISC-CISSP
 Qu es ISACA y cmo apoya a la Comunidad?
Creada en 1967
Inicialmente era una organizacin
gremial de auditores de sistemas
Presente en ms 80 pases,
con 200+ captulos.
Cuenta con ms de 115.000
miembros en el mundo
Creadores de las Certificaciones
CISA, CISM, CRISC y CGEIT
IT Governance Institute
COBIT, RiskIT, Val IT, ITAF, etc.
Hoy ISACA est orientada al El captulo local tiene mas de
Gobierno Corporativo, la seguridad 20 aos y cuenta con 210
y gestin de riesgos en miembros
Tecnologas de Informacin.
Qu es ISACA y cmo aporta hoy

Documentos de Primer
Nivel
Charlas / talleres
peridicos
Capacitacin
 No olvidar
Principios Bsicos de Gestin

No se puede gestionar lo que no se comunica

No se puede comunicar lo que no se mide
No se puede medir lo que no se define
No se puede definir lo que no se entiende
 Casos de la vida real
Se ha encontrado usted con lo siguiente?

- Para hacer pruebas se clona una base de datos y se le entrega a los

desarrolladores, que generalmente son de una empresa externa
- Los proyectos de TI no se presentan como casos de negocio, cuesta entender y
justificar sus beneficios; una vez implementados los proyectos rara vez se revisa el
cumplimiento de metas.
- La alta gerencia recibe mtricas de TI que no logra entender en trminos de negocio
- TI se mira como caja negra, no se logra determinar el valor estratgico que entrega
- Los contratos de servicios TI son administrados por personas que no saben de
administracin
- Todo se consolida en Excel
- Cada nuevo marco que se quiere implementar tiene su propia terminologa
- Los usuarios entienden que quien debe proteger la informacin es TI, no ellos. Los
riesgos slo vienen de los hackers
- Etc.
Aqu falta Gobierno de TI
 Recordando..
El Gobierno Corporativo es un proceso efectuado por el consejo de
administracin de una entidad, su direccin y restante personal, aplicable a
la definicin de estrategias en toda la empresa y diseado para identificar
eventos potenciales que puedan afectar a la organizacin, gestionar sus
riesgos dentro del riesgo aceptado y proporcionar una seguridad razonable
sobre el logro de los objetivos (COSO)

El gobierno de TI es un subconjunto
del gobierno corporativo.

El Gobierno de TI es responsabilidad de ejecutivos y Juntas Directivas y

consiste en liderazgo, estructuras organizacionales y procesos que
aseguren que TI sostiene y extiende las estrategias de la organizacin y
sus objetivos. (Instituto de Gobierno de TI, ISACA)
Aterrizando
 EVOLUCIN DE COBIT
De ser una herramienta de auditora a un marco de gobierno de las TI

Gobierno de la TI en la Empresa
Evolucin del alcance

Gobierno de TI

Val IT
Gestin 2.0
(2008)

Control
Risk IT
(2009)
Auditora

COBIT1 COBIT2 COBIT3 COBIT4.0/4.1 COBIT 5

1996 1998 2000 2005/7 2012

Source: COBIT 5, Introduction PPT, slide 22 . 2012 ISACA All rights
reserved.
COBIT 5 Procesos Habilitadores
Procesos de Gobierno y Gerenciamiento
Procesos de Gobierno
Permite que las mltiples
partes interesadas tengan
una lectura organizada del
anlisis de opciones,
identificacin del norte a
seguir y la supervisin del
cumplimiento y avance de
los planes establecidos
Procesos de Gestin
Utilizacin prudente de
medios (recursos, personas,
procesos, practicas) para
lograr un fin especfico
Cmo se armonizan los marcos?
El Gobierno de TI busca:

Asegurar la sobrevivencia de las instituciones

Fomentar la transparencia y la rendicin de
cuentas
Promover el ambiente tico y la cultura de control
Fomentar la administracin de riesgos
Incrementar la credibilidad de las instituciones
Promover el mejoramiento sistemtico del
desempeo institucional
Dominios del Gobierno de TI vela por:

Alineacin estratgica
Entrega de Valor
Administracin del riesgo
Administracin de recursos
Medicin del desempeo
Primero, hay que entender el negocio y su gestin

Un caso prctico
Alineamiento con BSC
 COBIT HOY
- Compendio de mejores prcticas aceptadas internacionalmente
- Orientado al gerenciamiento de las tecnologas
- Complementado con herramientas y capacitacin
- Es certificable tanto por empresas como por personas
- Respaldado por una comunidad de expertos
- En evolucin permanente, PAM basado en ISO/IEC 15504
- Mantenido por una organizacin sin fines de lucro, con
reconocimiento internacional, al ser base para leyes, como SOX
- Mapeado con otros estndares
- Orientado a Procesos, sobre la base de Dominios de
Responsabilidad
 COBIT 5:
bienvenido a la familia
 COBIT 5 La nueva versin
COBIT 5 es producto de la mejora estratgica de
ISACA impulsando la prxima generacin de guas
sobre el Gobierno y la Administracin de la
informacin y los Activos Tecnolgicos de las
Organizaciones

Construido sobre ms de 15 aos de aplicacin

prctica, ISACA desarroll COBIT 5 para cubrir las
necesidades de los interesados, y alinearse a las
actuales tendencias sobre tcnicas de gobierno y
administracin relacionadas con la TI
 Integra los anteriores marcos referenciales de ISACA

Val IT es un marco de referencia de gobierno que incluye

principios rectores generalmente aceptados y procesos
de soporte relativos a la evaluacin y seleccin de
inversiones de negocios de TI
Risk IT es un marco de referencia normativo basado en
un conjunto de principios rectores para una gestin
efectiva de riesgos de TI.
BMIS (Business Model for Information Security) una
aproximacin holstica y orientada al negocio para la
administracin de la seguridad informtica
ITAF (IT Assurance Framework) un marco para el diseo,
la ejecucin y reporte de auditorias de TI y de tareas de
evaluacin de cumplimiento.

2012 ISACA. This work, and any derivatives thereof, may not be offer for sale alone or as part any other
publication or product.
 Y esto se ha implementado?..

Casos de xito http://www.isaca.org/Knowledge-

Center/cobit/cobit-focus/Pages/COBIT-Focus-Volumen-1-enero-de-2014.aspx

DuPont: Modelo de mejora continua

Hdfc Bank; gestin de la seguridad
Santander
COMBANC
Etc..

2012 ISACA. This work, and any derivatives thereof, may not be offer for sale alone or as part any other
publication or product.
Modelo de Implementacin
 COBIT 5 Sus principios
Marco Integrador
Conductores de valor
para los Interesados
Enfoque al Negocio y su
Contexto para toda la
organizacin
Fundamentado en
facilitadores
Estructurado de manera
separada para el
Gobierno y la Gestin

Source: COBIT 5, figure 2. 2012 ISACA All rights

reserved.
 Objetivo de Gobierno

2012 ISACA. All rights reserved.

 Fundamentos de Habilitadores
Cultura, tica y
Comportamiento
Estructura
Organizacional
Informacin
Principios Polticas
Habilidades y
Competencias
Capacidad de brindar
Servicios
Procesos

Source: COBIT 5, figure 12. 2012 ISACA All rights

reserved.

2012 ISACA. All rights reserved.

Cada proceso se divide en:
o Descripcin del proceso - Declaracin de Propsito del Proceso
o Objetivos vinculados a las TI (de la cascada de Objetivos, ver ejemplo en el
apndice)
o Cada objetivo vinculado a las TI se asocia con una serie de mtricas
genricas relacionadas
o Objetivos del proceso (tambin del mecanismo de cascada de Objetivos y se
conoce como Catalizador de Objetivos)
o Cada Objetivo del proceso est asociado o relacionado con un conjunto de
mtricas genricas.
o Cada Proceso contiene un conjunto de Prcticas de Gestin
o stos estn asociados a una matriz genrica RACI (El Responsable, quien
Rinde Cuentas, el Consultado y el Informado)
o Cada prctica de gestin contiene un conjunto de entradas y salidas
(llamados productos de trabajo en el mdulo PC)
o Cada Prctica de gestin est asociada a un conjunto de actividades

2012 ISACA. Todos los derechos reservados.

Cmo auditar el gobierno de TI?
 Cmo auditar el gobierno de TI?
ISACA ha desarrollado guas de auditora y aseguramiento para
los dominios EDM y APO, es material para sus asociados o
quienes pagan por l. Se compone de las siguientes secciones.
 Cmo auditar el gobierno de TI?
Lo ms indicado es comprender que el gobierno es ejercido por
el directorio, por lo que se aplica una gua para evaluar cmo el
directorio ejerce su funcin de gobierno.

Luego, lo que se debe hacer es analizar cmo la gerencia de TI

toma las definiciones del directorio en su gestin, para ello se
aplica la gua de APO01, Gestionar el marco de Gestin de TI.
 Cmo auditar el gobierno de TI?
Si se analiza el COBIT 5 en sus procesos, aparecen diversas
mtricas y actividades que son tambin tiles de considerar. Por
ejemplo, en EDM01.
 Cmo auditar el gobierno de TI?
Metas y mtricas.
 Cmo auditar el gobierno de TI?
Metas y mtricas.
 Cmo auditar el gobierno de TI?
.
 Cmo auditar el gobierno de TI?
Actividades asociadas.
 Cmo auditar el gobierno de TI?
Programa de trabajo (muestra).
Gracias

alfonso_mateluna@yahoo.com
amateluna@asesorit.com