Vous êtes sur la page 1sur 136

AUDITORA DE SISTEMAS DE INFORMACIN

NDICE

1.- INTRODUCCIN
2.- OBJETIVOS DE LA ASI
3.- CONTROL INTERNO
4.- METODOLOGAS DE ASI
5.- REAS DE REVISIN
6.- NORMAS Y REGULACIONES

AUDITORA DE SISTEMAS DE INFORMACIN

REAS DE REVISIN

COBIT:
Una perspectiva detallada

AUDITORA DE SISTEMAS DE INFORMACIN

C
OB
I
T

REAS DE REVISIN

Control
OBjectives
for Information
and Related Technology

AUDITORA DE SISTEMAS DE INFORMACIN

REAS DE REVISIN

INDICE
Introduccin
Marco de referencia
Objetivos de Control
Directrices de auditora
Directrices gerenciales
Gua para la implementacin

AUDITORA DE SISTEMAS DE INFORMACIN

REAS DE REVISIN

Misin de los COBIT


Investigar, desarrollar, publicar y
promover un conjunto de objetivos
de control en tecnologa de informacin
con autoridad, actualizados,
de carcter internacional y aceptados
generalmente para el uso cotidiano
de gerentes de empresas y auditores

AUDITORA DE SISTEMAS DE INFORMACIN

REAS DE REVISIN

Fuentes
* Estndares tcnicos de ISO, EDIFACT, etc.
* Cdigos de conducta emitidos por Consejo de Europa, OECD,
ISACA, etc.
* Criterios de calificacin para procesos y sistemas TI: ITSEC,
TCSEC, ISO 9000, SPICE, TickIT, Common Criteria, etc.
* Estndares profesionales en control interno y auditora: COSO
Report, CICA, IFAC, AICPA, IIA, ISACA, PCIE, GAO standards, etc.
* Prcticas y requisitos industriales de foros industriales
(BS 7799, ESF, I4) y plataformas patrocinadas por gobiernos (IBAG,
NIST, DTI), etc.
* Requisitos emergentes de industrias especficas de banca,
comercio electrnico y fabricantes de TI

AUDITORA DE SISTEMAS DE INFORMACIN

REAS DE REVISIN

Productos de la Familia COBIT

AUDITORA DE SISTEMAS DE INFORMACIN

REAS DE REVISIN

INDICE
Introduccin
Marco de referencia
Objetivos de Control
Directrices de auditora
Directrices gerenciales
Gua para la implementacin

AUDITORA DE SISTEMAS DE INFORMACIN

REAS DE REVISIN

Necesidad de un marco de referencia


* Orientado a control
Alinear objetivos de control individuales con
estndares de iure y de
* Utilizado por directivos, usuarios y auditores

AUDITORA DE SISTEMAS DE INFORMACIN

REAS DE REVISIN

El marco de referencia COBIT


Fusiona las
expectativas
con las
responsabilidades
de la direccin de TI

AUDITORA DE SISTEMAS DE INFORMACIN

REAS DE REVISIN

La necesidad de control de TI
* Directivos
* Usuarios
* Auditores

AUDITORA DE SISTEMAS DE INFORMACIN

REAS DE REVISIN

Los directivos necesitan COBIT para


Evaluar las decisiones de inversin en TI
Balancear el riesgo y el control de las
inversiones
Evaluar los entornos existentes y futuros

AUDITORA DE SISTEMAS DE INFORMACIN

REAS DE REVISIN

Los usuarios necesitan COBIT

para
* Obtener confianza sobre la
seguridad y controles de
productos y servicios
proporcionados por personal
interno y terceros

AUDITORA DE SISTEMAS DE INFORMACIN

REAS DE REVISIN

Los auditores de SI necesitan


COBIT para
Sustentar opiniones a la direccin
sobre controles internos
Contestar a la pregunta:
Qu mnimos controles son necesarios?

AUDITORA DE SISTEMAS DE INFORMACIN

REAS DE REVISIN

Definicin de Control
Las polticas, procedimientos,
prcticas y estructuras
organizacionales diseadas para
garantizar razonablemente que los
objetivos del negocio sern
alcanzados y que eventos no
deseables sern prevenidos o
detectados y corregidos

AUDITORA DE SISTEMAS DE INFORMACIN

REAS DE REVISIN

Definicin de Objetivo de Control


Una sentencia del resultado o
propsito que se desea
alcanzar
implementando
procedimientos de
control en una actividad de TI
particular

AUDITORA DE SISTEMAS DE INFORMACIN

REAS DE REVISIN

Principios del marco


Requerimientos
del negocio

Procesos TI

Recursos
TI

AUDITORA DE SISTEMAS DE INFORMACIN

REAS DE REVISIN

Req. del negocio = criterios de informacin

AUDITORA DE SISTEMAS DE INFORMACIN

REAS DE REVISIN

Criterios de informacin
Efectividad
Eficiencia
Confidencialidad
Integridad
Disponibilidad
Cumplimiento
Confiabilidad

AUDITORA DE SISTEMAS DE INFORMACIN

REAS DE REVISIN

Efectividad:
Se refiere a que la informacin relevante sea pertinente para el
proceso del negocio, as como a que su entrega sea oportuna,
correcta, consistente y de manera utilizable.
Eficiencia:
Se refiere a la provisin de informacin a travs de la utilizacin
ptima (ms productiva y econmica) de recursos.
Confidencialidad:
Se refiere a la proteccin de informacin sensible contra
divulgacin no autorizada.
Integridad:
Se refiere a la precisin y suficiencia de la informacin, as
como a su validez de acuerdo con los valores y expectativas
del negocio.

AUDITORA DE SISTEMAS DE INFORMACIN

REAS DE REVISIN

Disponibilidad:
Se refiere a la disponibilidad de la informacin cuando sta es
requerida por el proceso de negocio ahora y en el futuro.
Tambin se refiere a la salvaguarda de los recursos necesarios
y capacidades asociadas.
Cumplimiento:
Se refiere al cumplimiento de aquellas leyes, regulaciones y
acuerdos contractuales a los que el proceso de negocios est
sujeto, por ejemplo, criterios de negocio impuestos externamente.
Confiabilidad de la informacin:
Se refiere a la provisin de informacin apropiada para la
administracin con el fin de operar la entidad y para ejercer sus
responsabilidades de reportes financieros y de cumplimiento.

AUDITORA DE SISTEMAS DE INFORMACIN

REAS DE REVISIN

Recursos de Tecnologa de la Inf.


Datos: Son objetos en su ms amplio sentido, (por ejemplo,
externos e internos), estructurados y no estructurados, grficos,
sonido, etc.
Sistemas de aplicacin: La suma de procedimientos manuales
y programados.
Tecnologa: cubre hardware, sistemas operativos, sistemas de
administracin de bases de datos, redes, multimedia, etc.
Instalaciones: Recursos para alojar y dar soporte a los
sistemas de informacin.
Personal: Habilidades del personal, conocimiento, sensibilizacin
productividad para planear, organizar, adquirir, entregar,soportar y
monitorear servicios sistemas de informacin.

AUDITORA DE SISTEMAS DE INFORMACIN

REAS DE REVISIN

AUDITORA DE SISTEMAS DE INFORMACIN

REAS DE REVISIN

Principios del marco

AUDITORA DE SISTEMAS DE INFORMACIN

REAS DE REVISIN

Dominios y Procesos
Dominios

Procesos

Actividades

AUDITORA DE SISTEMAS DE INFORMACIN

REAS DE REVISIN

Cubo COBIT

AUDITORA DE SISTEMAS DE INFORMACIN

REAS DE REVISIN

DOMINIOS
PLANIFICACIN y
ORGANIZACIN
ADQUISICIN e
IMPLANTACIN
COBIT
ENTREGA y SOPORTE
(SERVICIO)
GESTIN y
SUPERVISIN

AUDITORA DE SISTEMAS DE INFORMACIN

REAS DE REVISIN

DOMINIOS
PLANIFICACIN Y ORGANIZACIN
Este dominio cubre las estrategias y las tcticas y se refiere
a la identificacin de la forma en que la tecnologa de
informacin puede contribuir de la mejor manera al logro de
los objetivos del negocio. Adems, la consecucin de la
visin estratgica necesita ser planeada, comunicada y
administrada desde diferentes perspectivas. Finalmente,
deber establecerse una organizacin y una infraestructura
tecnolgica apropiadas.

AUDITORA DE SISTEMAS DE INFORMACIN

REAS DE REVISIN

DOMINIOS
ADQUISICIN E IMPLEMENTACIN
Para llevar a cabo la estrategia de TI, las soluciones de TI
deben ser identificadas, desarrolladas o adquiridas, as
como implementadas e integradas dentro del proceso del
negocio. Adems, este dominio cubre los cambios y el
mantenimiento realizados a sistemas existentes, para
asegurar que el ciclo de vida es continuo para esos
sistemas

AUDITORA DE SISTEMAS DE INFORMACIN

REAS DE REVISIN

DOMINIOS
ENTREGA Y SOPORTE
En este dominio se hace referencia a la entrega o distribucin
de los servicios requeridos, que abarca desde las operaciones
tradicionales hasta el entrenamiento, pasando por la seguridad
en los sistemas y la continuidad de las operaciones as como
aspectos sobre entrenamiento. Con el fin de proveer servicios,
debern establecerse los procesos de soporte necesarios.
Este dominio incluye el procesamiento de los datos el cual es
ejecutado por los sistemas de aplicacin, frecuentemente
clasificados como controles de aplicacin.

AUDITORA DE SISTEMAS DE INFORMACIN

REAS DE REVISIN

DOMINIOS
MONITORIZACIN
Todos los procesos necesitan ser evaluados regularmente a
travs del tiempo para verificar su calidad y suficiencia en
cuanto a los requerimientos de control. Este dominio
tambin advierte a la Administracin sobre la necesidad
de asegurar procesos de control independientes, los cuales
son provistos por auditoras internas y externas u obtenidas
de fuentes alternativas.

AUDITORA DE SISTEMAS DE INFORMACIN

REAS DE REVISIN

El control de

Proceso de TI

Que satisface

Req. de
negocio

Es habilitado por

Declaracin
de control

considerando

Prcticas
de control

AUDITORA DE SISTEMAS DE INFORMACIN

REAS DE REVISIN

INDICE
Introduccin
Marco de referencia
Objetivos de Control
Directrices de auditora
Directrices gerenciales
Gua para la implementacin

AUDITORA DE SISTEMAS DE INFORMACIN

REAS DE REVISIN

Resumen de COBIT

Marco para revisar TI

4 dominios

Cada dominio con procesos -- 34 en total

Cada proceso con objetivos de control de alto nivel

De 3 a 30 objetivos de control detallados

Estos objetivos provienen de 41 fuentes

Herramientas navegacionales cascada/cubo

Un mtodo lgico y sistemtico para definir y


comunicar los objetivos de control

AUDITORA DE SISTEMAS DE INFORMACIN

REAS DE REVISIN

Control sobre el proceso de TI de:


Definicin de un plan Estratgico de TI

PO1

que satisface los requerimientos del negocio de:


Lograr un balance ptimo entre las oportunidades de tecnologa de
informacin y los requerimientos del negocio para TI, as como para
asegurar sus logros futuros.

se hace posible a travs de:


un proceso de planeacin estratgica emprendido en intervalos
regulares dando lugar a planes a largo plazo. Los planes a
largo plazo debern ser traducidos peridicamente en planes
operacionales estableciendo metas claras y concretas a corto
plazo:

y toma en consideracin:
Estrategia del negocio de la empresa
Definicin de cmo TI soporta los objetivos de negocio
inventario de soluciones tecnolgicas e infraestructura actual
Monitoreo del mercado de tecnologa
Estudios de factibilidad oportunos y chequeos con la realidad
Anlisis de los sistemas existentes
Posicin de la empresa sobre riesgos, en el proceso de compra
Necesidades de la Admn. senior en el proceso de compra

AUDITORA DE SISTEMAS DE INFORMACIN

REAS DE REVISIN

1. DEFINICIN DE UN PLAN ESTRATGICO DE TI


1.1 Tecnologa de Informacin como parte del Plan de la
Organizacin a corto y largo plazo.
OBJETIVO DE CONTROL
La alta gerencia ser la responsable de desarrollar e
implementar planes a largo y corto plazo que satisfagan la
misin y las metas de la organizacin. A este respecto, la
alta gerencia deber asegurar que los problemas de TI, as
como las oportunidades, sean evaluados adecuadamente
y reflejados en los planes a largo y corto plazo de la
organizacin. Se deben desarrollar planes de TI a largo y
corto plazo para ayudar a asegurar que el uso de la TI est
acorde con la misin y las estrategias de negocio de la
organizacin.

AUDITORA DE SISTEMAS DE INFORMACIN

REAS DE REVISIN

1.2 Plan a largo plazo de TI


OBJETIVO DE CONTROL
La Gerencia de TI y los dueos del proceso de negocio
sern responsables de desarrollar regularmente planes
de TI a largo plazo , que apoyen el logro de la misin y
las metas generales de la organizacin. El mtodo de
planeacin deber incluir mecanismos para solicitar
informacin a los interesados internos y externos ms
importantes, que se ven afectados por los planes
estratgicos de TI. De la misma manera, la Gerencia
deber implementar un proceso de planeacin a largo
plazo, adoptar un enfoque estructurado y determinar la
estructura para el plan.

AUDITORA DE SISTEMAS DE INFORMACIN

REAS DE REVISIN

1.3 Plan a largo plazo de TI - Enfoque y Estructura


OBJETIVO DE CONTROL
La Gerencia de TI y los dueos del proceso de negocio debern establecer
y aplicar un enfoque estructurado al proceso de planeacin a largo plazo.
Esto deber traer como resultado un plan de alta calidad que cubra las
preguntas bsicas de qu, quin, cmo, cundo y por qu el proceso de
planeacin de TI debe tomar en cuenta los resultados del anlisis del
riesgo, incluyendo los riesgos del negocio, entorno, tecnologa y recursos
humanos. Los aspectos que necesitan ser tomados en cuenta y ser
cubiertos adecuadamente durante el proceso de planeacin incluyen el
modelo de organizacin y sus cambios, la distribucin geogrfica, la
evolucin tecnolgica, los costos, los requerimientos legales y regulatorios,
requerimientos de terceras partes o del mercado, el horizonte de
planeacin, reingeniera de procesos del negocio, la asignacin de
personal, outsourcing, datos, sistemas de aplicacin y arquitecturas de la
tecnologa. Los planes de TI, de largo y corto alcance debern incorporar
indicadores y objetivos de desempeo. El plan mismo deber hacer
referencia a otros planes tales como el plan de calidad de la organizacin y
el plan de manejo de riesgos de informacin.

AUDITORA DE SISTEMAS DE INFORMACIN

REAS DE REVISIN

1.4 Cambios al Plan a largo plazo de TI


OBJETIVO DE CONTROL
La gerencia de TI y los dueos del proceso del negocio
debern asegurar que se establezca un proceso con el fin
de adaptar los cambios al plan a largo plazo de la
organizacin y los cambios en las condiciones de la TI.
La gerencia Senior deber establecer una poltica que
requiera que se desarrollen y se mantengan planes de
largo y corto plazo de TI.

AUDITORA DE SISTEMAS DE INFORMACIN

REAS DE REVISIN

1.5 Planeacin a corto plazo para la Funcin de TI


OBJETIVO DE CONTROL
La Gerencia de TI y los dueos del proceso del negocio
debern asegurar que el plan a largo plazo de TI se
traduzca regularmente en planes a corto plazo de TI.
Estos planes a corto plazo debern asegurar que se
asignen los recursos apropiados de la funcin de
servicios de TI con una base consistente con el plan a
largo plazo de TI. Los planes a corto plazo debern ser
reevaluados y modificados peridicamente segn se
considere necesario respondiendo a las condiciones de
cambios en el negocio y en TI. La realizacin oportuna
de estudios de factibilidad deber asegurar que la
ejecucin de los planes a corto plazo sea iniciada
adecuadamente.

AUDITORA DE SISTEMAS DE INFORMACIN

REAS DE REVISIN

1.6 Comunicacin de los Planes de TI


OBJETIVO DE CONTROL
La gerencia debe asegurar que los planes de largo y
de corto plazo de tecnologa de la informacin sean
comunicados a los dueos del proceso del negocio y
a otras partes relevantes en toda la organizacin.
1.7 Monitoreo y Evaluacin de los Planes de
Tecnologa de la Informacin
OBJETIVO DE CONTROL
La gerencia debe establecer procesos para captar y
reportar la retroalimentacin de los dueos y usuarios
del proceso del negocio respecto a la calidad y utilidad
de los planes de largo y de corto plazo. La
retroalimentacin obtenida debe ser evaluada y
considerada en la planeacin futura de la tecnologa
de la informacin.

AUDITORA DE SISTEMAS DE INFORMACIN

REAS DE REVISIN

1.8 Evaluacin de los Sistemas Existentes


OBJETIVO DE CONTROL
Previo al desarrollo o modificacin del Plan
Estratgico o plan a largo plazo de TI, la Gerencia de
TI debe evaluar los sistemas existentes en trminos
de: nivel de automatizacin de negocio,
funcionalidad, estabilidad, complejidad, costo y
fortalezas y debilidades, con el propsito de
determinar el nivel de soporte que ofrecen los
sistemas existentes a los requerimientos del negocio.

AUDITORA DE SISTEMAS DE INFORMACIN

REAS DE REVISIN

PO2
Control sobre el proceso de TI de:
Definicin de la Arquitectura de Informacin
que satisface los requerimientos de negocio de:
organizar de la mejor manera los sistemas de informacin
se hace posible a travs de:
la creacin y mantenimiento de un modelo de
informacin de negocios y asegurando que se definan
sistemas apropiados para optimizar la utilizacin de
esta informacin
y toma en consideracin:
Repositorio automatizado de datos y diccionario
reglas de sintaxis de datos
propiedad de la informacin y clasificacin con base en
criticidad /seguridad
un modelo de informacin que represente el negocio
Normas de arquitectura de informacin de la empresa

AUDITORA DE SISTEMAS DE INFORMACIN

REAS DE REVISIN

Control sobre el proceso de TI de:


PO3
determinacin de la direccin tecnolgica
que satisface los requerimientos de negocio de:
aprovechar la tecnologa disponible y las que van apareciendo en
el mercado para impulsar y posibilitar la estrategia del negocio.
se hace posible a travs de:
la creacin y mantenimiento de un plan de infraestructura
tecnolgica que establece y administra expectativas claras y
realistas de lo que puede brindar la tecnologa en trminos de
productos, servicios y mecanismos de entrega
y toma en consideracin:
capacidad de la infraestructura actual
monitoreo de desarrollos tecnolgicos por la va de fuentes confiables
realizacin de prueba de conceptos
riesgos, restricciones y oportunidades
planes de adquisicin
estrategia de migracin y mapas alternativos (roadmaps)
relaciones con los vendedores
reevaluacin independiente de la tecnologa
Cambios de precio /desempeo de hardware y de software

AUDITORA DE SISTEMAS DE INFORMACIN

REAS DE REVISIN

Control sobre el proceso de TI de:


PO4
definicin de la organizacin y de las relaciones de TI
que satisface los requerimientos de negocio de:
prestacin de los servicios correctos de TI
se hace posible a travs de:
una organizacin conveniente en nmero y habilidades, con
tareas y responsabilidades definidas y comunicadas, acordes con
el negocio y que facilita la estrategia y provee una direccin
efectiva y un control adecuado.
y toma en consideracin:
responsabilidades del nivel directivo sobre TI
direccin de la gerencia y supervisin de TI
Alineacin de TI con el negocio
participacin de TI en los procesos clave de decisin
flexibilidad organizacional
roles y responsabilidades claras
equilibrio entre supervisin y delegacin de autoridad
descripciones de puestos de trabajo
Niveles de asignacin de personal y personal clave
Ubicacin organizacional de las funciones de seguridad, calidad y
control interno
Segregacin de funciones

AUDITORA DE SISTEMAS DE INFORMACIN

REAS DE REVISIN

Control sobre el proceso de TI de:


Manejo o administracin de la inversin de TI
que satisface los requerimientos de negocio de:
asegurar el financiamiento y el control de desembolsos de
recursos financieros
se hace posible a travs de:
Inversin peridica y presupuestos operacionales
establecidos y aprobados por el negocio
y toma en consideracin:

PO5

alternativas de financiamiento
Claros responsables del presupuesto
Control sobre los gastos actuales
justificacin de costos y concienciacin sobre el costo total de la
propiedad
j u s ti f icacin del beneficio y contabilizacin de todos los beneficios
obtenidos
Ciclo de vida del software de aplicacin y de la tecnologa
Alineacin con las estrategias del negocio de la empresa
Anlisis de impacto
Administracin de los activos

AUDITORA DE SISTEMAS DE INFORMACIN

REAS DE REVISIN

Control sobre el proceso de TI de:


PO6
comunicacin de los objetivos y aspiraciones de la gerencia
que satisface los requerimientos de negocio de:
asegurar que el usuario sea conciente y comprenda dichas
aspiraciones
se hace posible a travs de:
polticas establecidas y transmitidas a la comunidad de
usuarios; adems, se necesitan estndares para traducir
las opciones estratgicas en reglas de usuario prcticas
y utilizables
y toma en consideracin:
Misin claramente articulada
Directivas tecnolgicas vinculadas con aspiraciones de negocios
Cdigo de tica / conducta
Compromiso con la calidad
Polticas de seguridad y control interno
Practicas de seguridad y control interno
Ejemplos de liderazgo
Programacin continua de comunicaciones
Proveer guas y verificar su cumplimiento

AUDITORA DE SISTEMAS DE INFORMACIN

REAS DE REVISIN

Control sobre el proceso de TI de:


PO7
administracin de recursos humanos
que satisface los requerimientos de negocio de:
Adquirir y mantener una fuerza de trabajo motivada y
competente y maximizar las contribuciones del personal a los
procesos de TI
se hace posible a travs de:
prcticas de administracin de personal, sensatas,justas y
transparentes para reclutar, alinear, pensionar, compensar, entrenar,
promover y despedir
y toma en consideracin:
reclutamiento y promocin
Entrenamiento y requerimientos de calificaciones
desarrollo de conciencia
entrenamiento cruzado y rotacin de puestos
Procedimientos para contratacin, veto y despidos
evaluacin objetiva y medible del desempeo
responsabilidades sobre los cambios tcnicos y de mercado
Balance apropiado de recursos internos y externos
Plan de sucesin para posiciones clave

AUDITORA DE SISTEMAS DE INFORMACIN

REAS DE REVISIN

PO8
Control sobre el proceso de TI de:
aseguramiento del cumplimiento de requerimientos externos
que satisface los requerimientos de negocio de:
cumplir con obligaciones legales, regulatorias y contractuales
se hace posible a travs de:
la identificacin y anlisis de los requerimientos
externos en cuanto a su impacto en TI, y realizando las
medidas apropiadas para cumplir con ellos
y toma en consideracin:
leyes, regulaciones y contratos
monitoreo de desarrollos legales y regulatorios
Monitoreo regular sobre cumplimiento
seguridad y ergonoma
privacidad
propiedad intelectual

AUDITORA DE SISTEMAS DE INFORMACIN

REAS DE REVISIN

Control sobre el proceso de TI de:


PO9
anlisis de riesgos
que satisface los requerimientos de negocio de:
Soportar las decisiones de la gerencia a travs del logro de los
objetivos de TI y responder a las amenazas reduciendo su
complejidad e incrementando objetivamente e identificando factores
importantes de decisin.
se hace posible a travs de:
la participacin de la propia organizacin en la identificacin de
riesgos de TI y en el anlisis de impacto, involucrando funciones
multidisciplinarias y tomando medidas efectivas en coste para
mitigar los riesgos
y toma en consideracin:
Administracin de riesgos de la propiedad y del registro de las operaciones
diferentes tipos de riesgos de TI (por ejemplo: tecnolgicos, de seguridad, de
continuidad, regulatorios, etc.)
Definir y comunicar un perfil tolerable de riesgos
Anlisis de las causas y sesiones de tormenta de ideas sobre riesgos
Medicin cuantitativa y/o cualitativa de los riesgos
metodologa de anlisis de riesgos
Plan de accin contra los riesgos
Volver a realiza anlisis oportunos

AUDITORA DE SISTEMAS DE INFORMACIN

REAS DE REVISIN

Control sobre el proceso de TI de:


PO10
administracin de proyectos
que satisface los requerimientos de negocio de:
establecer prioridades y entregar servicios oportunamente y de
acuerdo al presupuesto de inversin
se hace posible a travs de:
La organizacin identificando y priorizando proyectos en lnea con el
plan operacional y la adopcin y aplicacin de tcnicas de
administracin de proyectos para cada proyecto emprendido
y toma en consideracin:
El patrocinio que la gerencia de negocios debe dar a los proyectos
Administracin de programas
Capacidad para el manejo de proyectos
Involucramiento del usuario
Divisin de tareas, puntos de control y aprobacin de fases
Distribucin de responsabilidades
Rastreo riguroso de puntos de control y entregables
Costos y presupuestos de mano de obra, balance de recursos
internos y externos
Planes y mtodos de aseguramiento de calidad
Programa y anlisis de riesgos del proyecto
Transicin de desarrollo a operacin

AUDITORA DE SISTEMAS DE INFORMACIN

REAS DE REVISIN

Control sobre el proceso de TI de:


Administracin de la calidad
que satisface los requerimientos de negocio de:
satisfacer los requerimientos del cliente de TI

PO11

se hace posible a travs de:


la planeacin, implementacin y mantenimiento de estndares
de administracin de calidad y sistemas provistos para las
distintas fases de desarrollo, claros entregables y
responsabilidades explcitas
y toma en consideracin:
Establecimiento de una cultura de calidad
Planes de calidad
responsabilidades de aseguramiento de la calidad
Practicas de control de calidad
metodologa del ciclo de vida de desarrollo de sistemas
pruebas y documentacin de sistemas y programas
revisiones y reporte de aseguramiento de calidad
Entrenamiento e involucramiento del usuario final y del personal de
aseguramiento de calidad
Desarrollo de una base de conocimiento de aseguramiento de calidad
Benchmarking contra las normas de la industria

AUDITORA DE SISTEMAS DE INFORMACIN

REAS DE REVISIN

Control sobre el proceso de TI de:


AI1
Identificacin de soluciones automatizadas
que satisface los requerimientos de negocio de:
asegurar un efectivo y eficiente enfoque para satisfacer los
requerimientos del usuario
se hace posible a travs de:
Una objetiva y clara identificacin y anlisis de
oportunidades
alternativas comparadas contra los requerimientos de los
usuarios
y toma en consideracin:
Conocimientos de soluciones disponibles en el mercado
Metodologas de Adquisicin e implementacin
Involucramiento del usuario en el proceso de compra
Alineamiento con las estrategias de la empresa y de TI
definicin de requerimientos de informacin
estudios de factibilidad ( de costo-beneficio, alternativas, etc)
Requerimientos de funcionalidad, operatividad, aceptacin y
sostenimiento
Cumplimiento con la arquitectura de informacin
Costo - efectividad de la seguridad y los controles

AUDITORA DE SISTEMAS DE INFORMACIN

REAS DE REVISIN

Control sobre el proceso de TI de:


AI2
Identificacin de soluciones automatizadas
que satisface los requerimientos de negocio de:
asegurar un efectivo y eficiente enfoque para satisfacer los
requerimientos del usuario
se hace posible a travs de:
Una objetiva y clara identificacin y anlisis de
oportunidades
alternativas comparadas contra los requerimientos de los
usuarios
y toma en consideracin:
Conocimientos de soluciones disponibles en el mercado
Metodologas de Adquisicin e implementacin
Involucramiento del usuario en el proceso de compra
Alineamiento con las estrategias de la empresa y de TI
definicin de requerimientos de informacin
estudios de factibilidad ( de costo-beneficio, alternativas, etc)
Requerimientos de funcionalidad, operatividad, aceptacin y
sostenimiento
Cumplimiento con la arquitectura de informacin
Costo - efectividad de la seguridad y los controles

AUDITORA DE SISTEMAS DE INFORMACIN

REAS DE REVISIN

Control sobre el proceso de TI de:


AI3
adquisicin y mantenimiento de la infraestructura tecnolgica
que satisface los requerimientos de negocio de:
proporcionar las plataformas apropiadas para soportar las
aplicaciones de negocios
se hace posible a travs de:
la juiciosa adquisicin de hardware y software, estandarizacin del
software, anlisis del rendimiento del hardware y de software y la
administracin consistente del sistema
y toma en consideracin:
Cumplimiento con las direcciones y estndares de la infraestructura
tecnolgica
evaluacin de tecnologa
Instalacin, mantenimiento y control de cambios
Actualizacin, conversin y planes de migracin
Uso de infraestructuras y/o recursos internos y externos
Responsabilidades y relaciones del proveedor
Administracin de cambios
Costo total de propiedad
Seguridad del software del sistema

AUDITORA DE SISTEMAS DE INFORMACIN

REAS DE REVISIN

Control sobre el proceso de TI de:


AI4
Desarrollo y mantenimiento de Procedimientos
que satisface los requerimientos de negocio de:
asegurar el uso apropiado de las aplicaciones y de las
soluciones tecnolgicas establecidas
se hace posible a travs de:
un enfoque estructurado del desarrollo de manuales de
procedimientos para las operaciones y para los usuarios,
requerimientos de servicio y material de entrenamiento
y toma en consideracin:
Rediseo de los procesos de negocios
Tratamiento de procedimientos como cualquier otra tecnologa
disponible
Desarrollo a tiempo
procedimientos y controles de usuarios
procedimientos y controles operacionales
materiales de entrenamiento
Administracin de cambios

AUDITORA DE SISTEMAS DE INFORMACIN

REAS DE REVISIN

Control sobre el proceso de TI de:


AI5
instalacin y acreditacin de sistemas
que satisface los requerimientos de negocio de:
verificar y confirmar que la solucin sea adecuada para el
propsito deseado
se hace posible a travs de:
la realizacin de una migracin de instalacin, conversin y
plan de aceptacin adecuadamente formalizados
y toma en consideracin:
Entrenamiento del usuario y personal de operaciones de TI
Conversin de datos
Una prueba ambiental reflejando al ambiente real
Acreditacin
revisiones post implementacin y retroalimentacin
Participacin del usuario final en las pruebas
Planes continuos de mejoramiento de calidad
Requerimientos de continuidad del negocio
Medicin de capacidad y desempeo a travs del sistema
Acuerdos y criterios de aceptacin

AUDITORA DE SISTEMAS DE INFORMACIN

REAS DE REVISIN

Control sobre el proceso de TI de:


AI6
administracin de cambios
que satisface los requerimientos de negocio de:
minimizar la probabilidad de interrupciones, alteraciones no
autorizadas y errores
se hace posible a travs de:
un sistema de administracin que permita el anlisis,
implementacin y seguimiento de todos los cambios
requeridos y llevados a cabo a la infraestructura de TI
actual
y toma en consideracin:
identificacin de cambios
procedimientos de categorizacin, priorizacin y emergencia
Anlisis de impacto
autorizacin de cambios
Administracin de la liberacin del cambio
distribucin de software
Uso de herramientas automatizadas
Administracin de la configuracin
Rediseo del proceso del negocio

AUDITORA DE SISTEMAS DE INFORMACIN

REAS DE REVISIN

Control sobre el proceso de TI de:


Definicin y administracin de niveles de servicio
que satisface los requerimientos de negocio de:
establecer un entendimiento comn del nivel de servicio
requerido
se hace posible a travs de:
el establecimiento de acuerdos de niveles de servicio
que formalicen los criterios de desempeo contra los
cuales se medir la cantidad y la calidad del servicio
y toma en consideracin:
Acuerdos o convenios formales

DS1

definicin de responsabilidades
tiempos y volmenes de respuesta
cargos
garantas de integridad
Acuerdos de confidencialidad
Criterio de satisfaccin del cliente
Anlisis costo-beneficio de los niveles de servicio requerido
Monitoreo y reporte

AUDITORA DE SISTEMAS DE INFORMACIN

REAS DE REVISIN

Control sobre el proceso de TI de:


DS2
administracin de servicios prestados por terceros
que satisface los requerimientos de negocio de:
asegurar que los roles y responsabilidades de las terceras partes
estn claramente definidas y que cumplan y continen
satisfaciendo los requerimientos
se hace posible a travs de:
medidas de control dirigidas a la revisin y monitoreo de acuerdos/
contratos y procedimientos existentes, en cuanto a su efectividad y
cumplimiento, con respecto a las polticas de la organizacin

y toma en consideracin:
Acuerdos de servicio con terceras partes
Administracin de contrato
Acuerdos de confidencialidad
Requerimientos legales y regulatorios
Monitoreo y reporte de la entrega de servicio
Anlisis de riesgos de la empresa y de TI
Ejecucin de recompensas y sanciones
Contabilidad organizacional interna y externa
Anlisis de costos y variaciones en los niveles de servicio

AUDITORA DE SISTEMAS DE INFORMACIN

REAS DE REVISIN

DS3
Control sobre el proceso de TI de:
administracin de desempeo y capacidad
que satisface los requerimientos de negocio de:
asegurar que la capacidad adecuada est disponible y que se
est haciendo el mejor uso de ella para alcanzar el desempeo
deseado
se hace posible a travs de:
Recoleccin de datos, anlisis y reporte del
rendimiento de los recursos, aplicacin de mediciones
y demanda de cargas de trabajo
y toma en consideracin:
requerimientos de disponibilidad y desempeo
monitoreo y reporte automatizado
herramientas de modelado
administracin de capacidad
disponibilidad de recursos
Cambios en precio-rendimiento del hardware y software

AUDITORA DE SISTEMAS DE INFORMACIN

REAS DE REVISIN

Control sobre el proceso de TI de:


DS4
asegurar el servicio continuo
que satisface los requerimientos de negocio de:
Asegurar que los servicios de TI estn disponibles cuando se
requieran y asegurar el impacto mnimo en el negocio en el
evento que se presente una interrupcin mayor
se hace posible a travs de:
tener un plan de continuidad de TI probado y funcional, que est
alineado con el plan de continuidad del negocio y relacionado con
los requerimientos de negocio

y toma en consideracin:
clasificacin de criticidad (severidad)
Procedimientos alternativos
respaldo y recuperacin
pruebas y entrenamiento sistemticos y regulares
Monitoreo y procesos de escalamiento
Responsabilidades organizacionales internas y externas
Activacin de la continuidad del negocio, vuelta atrs (fallback) y plan
de reactivacin
Actividades de administracin de riesgos
Anlisis de puntos nicos de falla
Administracin de problemas

AUDITORA DE SISTEMAS DE INFORMACIN

REAS DE REVISIN

Control sobre el proceso de TI de:


DS5
garantizar la seguridad de los sistemas
que satisface los requerimientos de negocio de:
salvaguardar la informacin contra uso no autorizado, divulgacin
o revelacin, modificacin, dao o prdida
se hace posible a travs de:
controles de acceso lgico que aseguren que el acceso a sistemas,
datos y programas est restringido a usuarios autorizados
y toma en consideracin:
Requerimientos de privacidad y confidencialidad
Autorizacin, autenticacin y control de acceso
identificacin de usuarios y perfiles de autorizacin
Necesidad de saber y necesidad de tener
administracin de llaves criptogrficas
manejo, reporte y seguimiento de incidentes
Prevencin y deteccin de virus
Firewalls
Administracin centralizada de seguridad
Entrenamiento a los usuarios
Herramientas para monitoreo del cumplimiento, pruebas de intrusin y
reportes

AUDITORA DE SISTEMAS DE INFORMACIN

REAS DE REVISIN

Control sobre el proceso de TI de:


DS6
identificacin y asignacin de costos
que satisface los requerimientos de negocio de:
asegurar un conocimiento correcto de los costos atribuibles a
los servicios de TI
se hace posible a travs de:
un sistema de contabilidad de costos que asegure que
stos sean registrados, calculados y asignados a los
niveles de detalle requeridos y al apropiado servicio
ofrecido
y toma en consideracin:
Recursos identificables y medibles
Procedimientos y polticas de cargo
Tarifas de cargo y procesos de reversin de
cargos.
Conexin a acuerdo de niveles de servicio
Reporte automatizado
Verificacin de comprensin de beneficios
Benchmarking externo

AUDITORA DE SISTEMAS DE INFORMACIN

REAS DE REVISIN

Control sobre el proceso de TI de:


DS7
educacin y entrenamiento de usuarios
que satisface los requerimientos de negocio de:
asegurar que los usuarios estn haciendo un uso efectivo de la
tecnologa y sean conscientes de los riesgos y
responsabilidades involucrados
se hace posible a travs de:
un plan completo de entrenamiento y desarrollo
y toma en consideracin:
Plan de entrenamiento
Inventario de habilidades
Campaas de concientizacin
Tcnicas de concientizacin
Uso de nuevas tecnologas y mtodos de
entrenamiento
Productividad del personal
Desarrollo de una base de conocimientos

AUDITORA DE SISTEMAS DE INFORMACIN

REAS DE REVISIN

Control sobre el proceso de TI de:


Apoyo y asistencia a los clientes de TI
que satisface los requerimientos de negocio de:
asegurar que cualquier problema experimentado por los
usuarios sea atendido apropiadamente
se hace posible a travs de:
un help desk, o mesa de control y ayuda, que
proporcione soporte y asesora de primera lnea
y toma en consideracin:
consultas de los clientes y respuesta a
problemas
monitoreo de consultas y respuestas
anlisis y reporte de tendencias
Desarrollo de una base de conocimientos
Anlisis de las causas
Escalamiento y seguimiento de problemas

DS8

AUDITORA DE SISTEMAS DE INFORMACIN

REAS DE REVISIN

Control sobre el proceso de TI de:


DS9
Administracin de la configuracin
que satisface los requerimientos de negocio de:
dar cuenta de todos los componentes de TI, prevenir
alteraciones no autorizadas, verificar la existencia fsica y
proporcionar una base para la sana administracin del cambio
se hace posible a travs de:
controles que identifiquen y registren todos los activos
de TI as como su localizacin fsica y un programa
regular de verificacin que confirme su existencia
y toma en consideracin:
registro de activos
administracin de cambios en la
configuracin
chequeo de software no autorizado
controles de almacenamiento de software
Integracin e interrelacin de hardware y
software
Uso de herramientas automatizadas

AUDITORA DE SISTEMAS DE INFORMACIN

REAS DE REVISIN

Control sobre el proceso de TI de:


DS10
administracin de problemas e incidentes
que satisface los requerimientos de negocio de:
asegurar que los problemas e incidentes sean resueltos y que
sus causas sean investigadas para prevenir cualquier
recurrencia
se hace posible a travs de:
un sistema de administracin de problemas que
registre y d seguimiento a todos los incidentes
y toma en consideracin:
pistas de auditora de problemas y soluciones
resolucin oportuna de problemas reportados
procedimientos de escalamiento
reportes de incidentes
accesibilidad a la informacin de la configuracin
responsabilidades del proveedor
coordinacin con la administracin de cambios

AUDITORA DE SISTEMAS DE INFORMACIN

REAS DE REVISIN

Control sobre el proceso de TI de:


DS11
Administracin de datos
que satisface los requerimientos de negocio de:
asegurar que los datos permanezcan completos, precisos y vlidos
durante su entrada, actualizacin y almacenamiento
se hace posible a travs de:
una combinacin efectiva de controles generales y de
aplicacin sobre las operaciones de TI
y toma en consideracin:
diseo de formatos
controles sobre documentos fuente
controles de entrada, procesamiento y salida
identificacin, movimiento y administracin de la librera de medios
Recuperacin y almacenamiento de datos
autenticacin e integridad
propiedad de datos
polticas de administracin de datos
modelos de datos y estndares de representacin de datos
integracin y consistencia en todas las plataformas
requisitos legales y regulatorios

AUDITORA DE SISTEMAS DE INFORMACIN

REAS DE REVISIN

Control sobre el proceso de TI de:


DS12
Administracin de instalaciones (sitios donde se procesa
informacin)
que satisface los requerimientos de negocio de:
proporcionar un ambiente fsico conveniente que proteja los
equipos y al personal de TI contra peligros naturales o fallas
humanas
se hace posible a travs de:
la instalacin de controles fsicos y ambientales adecuados que
sean revisados regularmente para garantizar su adecuado
funcionamiento
y toma en consideracin:
acceso a instalaciones
identificacin del sitio (instalacin)
seguridad fsica
Polticas de inspeccin y escalamiento
Plan de continuidad de negocios y administracin de crisis
salud y seguridad del personal
Polticas de mantenimiento preventivo
proteccin contra amenazas ambientales
Monitoreo automatizado

AUDITORA DE SISTEMAS DE INFORMACIN

REAS DE REVISIN

Control sobre el proceso de TI de:


DS13
administracin de operaciones
que satisface los requerimientos de negocio de:
asegurar que las funciones importantes de soporte de TI estn
siendo llevadas a cabo regularmente y de una manera ordenada
se hace posible a travs de:
una programacin o planeacin de las actividades que sea
registrada y diligenciada con base en el cumplimiento de
todas las actividades
y toma en consideracin:

manual de procedimiento de operaciones


documentacin para el inicio de procesos
administracin de servicios de red
Programacin del personal y cargas de trabajo
proceso de cambio de turno
registro de eventos del sistema
Coordinacin con las reas de administracin de cambios,
disponibilidad y manejo continuo de negocios
Mantenimiento preventivo
Acuerdos de niveles de servicio
Operaciones automatizadas
Registro, rastreo y escalamiento de incidentes

AUDITORA DE SISTEMAS DE INFORMACIN

REAS DE REVISIN

Control sobre el proceso de TI de:


M1
monitoreo del proceso
que satisface los requerimientos de negocio de:
asegurar el logro de los objetivos establecidos para los procesos
de TI
se hace posible a travs de:
la definicin de indicadores de desempeo
gerenciales, el reporte oportuno y sistemtico del
desempeo y la oportuna accin sobre las
desviaciones
y toma en consideracin:
Tarjetas de decisin (scorecards) con indicadores de
desempeo y medicin de resultados
evaluacin de la satisfaccin de clientes
reportes gerenciales
Base de conocimientos del desempeo histrico
Benchmarking externo

AUDITORA DE SISTEMAS DE INFORMACIN

REAS DE REVISIN

Control sobre el proceso de TI:


Evaluar lo adecuado del control interno
que satisface los requerimientos de negocio de:
asegurar el logro de los objetivos de control interno
establecidos para los procesos de TI
se hace posible a travs de:
el compromiso de la Gerencia de monitorear los
controles internos, evaluar su efectividad y emitir
reportes sobre ellos en forma regular
y toma en consideracin:

M2

Responsabilidades para el control interno


Monitoreo del control interno en proceso
benchmarks
reportes de errores y excepciones
autoevaluaciones
reportes gerenciales
Cumplimiento con los requerimientos legales y regulatorios

AUDITORA DE SISTEMAS DE INFORMACIN

REAS DE REVISIN

Control sobre el proceso de TI de:


obtencin de aseguramiento independiente
que satisface los requerimientos de negocio de:
incrementar los niveles de confianza entre la organizacin,
clientes y proveedores externos
se hace posible a travs de:
revisiones de aseguramiento independientes llevadas a
cabo en intervalos regulares
y toma en consideracin:
certificaciones / acreditaciones independientes
evaluaciones independientes de efectividad
aseguramiento independiente sobre cumplimiento de
requerimientos legales y regulatorios
aseguramiento independiente del cumplimiento de
compromisos contractuales
revisiones y benchmarking a proveedores externos de
servicios
Revisin por personal calificado del aseguramiento de
desempeo
involucramiento proactivo de la auditora

M3

AUDITORA DE SISTEMAS DE INFORMACIN

REAS DE REVISIN

Control sobre el proceso de TI de:


proveer auditora independiente
que satisface los requerimientos de negocio de:
incrementar los niveles de confianza y beneficiarse de
recomendaciones basadas en mejores prcticas
se hace posible a travs de:
auditoras independientes desarrolladas a intervalos
regulares
y toma en consideracin:
independencia de auditora
involucramiento proactivo de la auditora
ejecucin de auditoras por parte de
personal calificado
aclaracin de resultados y recomendaciones
actividades de seguimiento
Evaluacin del impacto de lasrecomendaciones de la
auditoria (costos,beneficios, y riesgos)

M4

AUDITORA DE SISTEMAS DE INFORMACIN

REAS DE REVISIN

AUDITORA DE SISTEMAS DE INFORMACIN

REAS DE REVISIN

INDICE
Introduccin
Marco de referencia
Objetivos de Control
Directrices de auditora
Directrices gerenciales
Gua para la implementacin

AUDITORA DE SISTEMAS DE INFORMACIN

REAS DE REVISIN

Directrices de Auditora
1 Directriz genrica
34 Directrices orientadas a procesos

AUDITORA DE SISTEMAS DE INFORMACIN

REAS DE REVISIN

AUDITORA DE SISTEMAS DE INFORMACIN

REAS DE REVISIN

AUDITORA DE SISTEMAS DE INFORMACIN

Directriz
Genrica
de
Auditora

REAS DE REVISIN

AUDITORA DE SISTEMAS DE INFORMACIN

REAS DE REVISIN

1) OBTENCIN DE UN ENTENDIMIENTO
Los pasos de auditora que se deben realizar para documentar las
actividades que generan inconvenientes a los objetivos de control,
as como tambin identificar las medidas/procedimientos de control
establecidas.
Entrevistar al personal administrativo y de staff apropiado para lograr
la comprensin de:
Los requerimientos del negocio y los riesgos asociados
La estructura organizacional
Los roles y responsabilidades
Polticas y procedimientos
Leyes y regulaciones
Las medidas de control establecidas
La actividad de reporte a la administracin (estatus, desempeo,
acciones)

Documentar el proceso relacionado con los recursos de TI que se ven


especialmente afectados por el proceso bajo revisin. Confirmar el
entendimiento del proceso bajo revisin, los Indicadores Clave de
Desempeo (KPI) del proceso, las implicaciones de control, por
ejemplo, mediante una revisin paso a paso del proceso.

AUDITORA DE SISTEMAS DE INFORMACIN

REAS DE REVISIN

2) EVALUACIN DE LOS CONTROLES


Los pasos de auditora a ejecutar en la evaluacin de la eficacia de
las medidas de control establecidas o el grado en el que se logra el
objetivo de control. Bsicamente, decidir qu se va a probar, si se
va a probar y cmo se va a probar.
Evaluar la conveniencia de las medidas de control para el proceso
bajo revisin mediante la consideracin de los criterios identificados
y las prcticas estndares de la industria, los Factores Crticos de
xito (CSF) de las medidas de control y la aplicacin del juicio
profesional de auditor.
Existen procesos documentados
Existen resultados apropiados
La responsabilidad y el registro de las operaciones son claros
y efectivos
Existen controles compensatorios, en donde es necesario
Concluir el grado en que se cumple el objetivo de control.

AUDITORA DE SISTEMAS DE INFORMACIN

REAS DE REVISIN

3) VALORACIN DEL CUMPLIMIENTO


Los pasos de auditora a realizar para asegurar que las medidas
de control establecidas estn funcionando como es debido, de
manera consistente y continua, y concluir sobre la conveniencia
del ambiente de control.
Obtener evidencia directa o indirecta de puntos/perodos
seleccionados para asegurarse que se ha cumplido con los
procedimientos durante el perodo de revisin, utilizando
evidencia tanto directa como indirecta.
Realizar una revisin limitada de la suficiencia de los resultados
del proceso.
Determinar el nivel de pruebas sustantivas y trabajo adicional
necesarios para asegurar que el proceso de TI es adecuado.

AUDITORA DE SISTEMAS DE INFORMACIN

REAS DE REVISIN

4) JUSTIFICAR/COMPROBAR EL RIESGO
Los pasos de auditora a realizar para justificar el riesgo de que
no se cumpla el objetivo de control mediante el uso de tcnicas
analticas y/o consultas a fuentes alternativas. El objetivo es
respaldar la opinin e impresionar a la administracin para que
tome accin. Los auditores tienen que ser creativos para
encontrar y presentar esta informacin que con frecuencia es
sensible y confidencial.
Documentar las debilidades de control y las amenazas y
vulnerabilidades resultantes.
Identificar y documentar el impacto real y potencial; por ejemplo,
mediante el anlisis de causa-efecto.
Brindar informacin comparativa; por ejemplo, mediante
benchmarks.

AUDITORA DE SISTEMAS DE INFORMACIN

REAS DE REVISIN

AUDITORA DE SISTEMAS DE INFORMACIN

REAS DE REVISIN

AUDITORA DE SISTEMAS DE INFORMACIN

REAS DE REVISIN

Directrices de auditora
Son slo un punto de inicio para
identificar tareas asociadas con
determinados objetivos de control
de proceso.

AUDITORA DE SISTEMAS DE INFORMACIN

REAS DE REVISIN

AUDITORA DE SISTEMAS DE INFORMACIN

REAS DE REVISIN

PO 1 DEFINIR UN PLAN ESTRATGICO DE TI


Objetivos de control
1.- TI como parte del Plan a largo y corto plazo
2.- Plan a largo plazo de TI
3.- Plan a largo plazo de TI - Enfoque y Estructura
4.- Cambios al Plan a largo plazo de TI
5.- Planeacin a corto plazo para la Funcin de
Servicios de Informacin
6.- Comunicacin de los planes de TI
7.- Monitoreo y evaluacin de los planes de TI
8.- Evaluacin de los sistemas existentes

AUDITORA DE SISTEMAS DE INFORMACIN

REAS DE REVISIN

Obtener un entendimiento a travs de:


Entrevistas:
Director General (Chief Executive Officer)
Director de Operaciones (Chief Operations Officer)
Director de Finanzas (Chief Financial Officer)
Director de TI (Chief Information Officer)
Miembros del comit de planeacin/direccin de la funcin de
servicios de informacin.
Gerencia de TI y personal de apoyo de RRHH

Obteniendo:
Polticas y procedimientos inherentes al proceso de planeacin.
Roles y responsabilidades del equipo de Direccin
Objetivos de la Organizacin a largo y corto plazo
Objetivos de TI a largo y corto plazo
Reportes y minutas de seguimiento de las reuniones del comit
de Planeacin/Direccin

AUDITORA DE SISTEMAS DE INFORMACIN

REAS DE REVISIN

Evaluar los controles:


Considerando si:
Las polticas y procedimientos de negocios de la funcin de
servicios de informacin siguen un enfoque de planeacin
estructurado. Se ha establecido una metodologa para
formular y modificar los planes y que cubre, como mnimo:
misin y las metas de la organizacin
iniciativas de tecnologa de informacin para soportar la misin y
las metas de la organizacin
oportunidades para las iniciativas de tecnologa de informacin
estudios de factibilidad de las iniciativas de tecnologa de
informacin
evaluacin de los riesgos de las iniciativas de tecnologa de
informacin
inversin ptima de las inversiones en tecnologa de informacin
actuales y futuras
reingeniera de las iniciativas de tecnologa de informacin para
reflejar los cambios en la misin y las metas de la organizacin
evaluacin de las estrategias alternativas para las aplicaciones de
datos, tecnologa y organizacin

AUDITORA DE SISTEMAS DE INFORMACIN

REAS DE REVISIN

Los cambios organizacionales, la evolucin tecnolgica, los


requerimientos regulatorios, la reingeniera de los procesos de
negocios, el in-sourcing y el outsourcing, las reas de apoyo, etc.
estn siendo consideradas y dirigidas adecuadamente
en el proceso de planeacin.
Existen planes de tecnologa de informacin a corto y largo
plazo, estn actualizados, estn dirigidos adecuadamente a toda
la empresa, su misin y funciones clave de negocios.
Los proyectos de TI estn soportados por la documentacin
apropiada segn lo definido en la metodologa de planeacin de
tecnologa de informacin.
Existen puntos de revisin para asegurar que los objetivos de
tecnologa de informacin y los planes a corto y largo plazo
continan satisfaciendo los objetivos y los planes a corto y largo
plazo de la organizacin.

AUDITORA DE SISTEMAS DE INFORMACIN

REAS DE REVISIN

Los propietarios de procesos y la Gerencia llevan a cabo


revisiones y aprobaciones formales a los planes de TI.
El plan de tecnologa de informacin evala los sistemas de
informacin existentes en trminos del grado de automatizacin,
funcionalidad, estabilidad, complejidad, costos, fortalezas y
debilidades del negocio.
La ausencia de planeacin a largo plazo para los sistemas de
informacin y la estructura que lo soporta resulta en sistemas
que no soportan los objetivos de la empresa ni los procesos del
negocio, o no proveen integridad, seguridad y control
apropiados.

AUDITORA DE SISTEMAS DE INFORMACIN

REAS DE REVISIN

Evaluar la suficiencia:
Probando que:
Las minutas de las reuniones del comit de Planeacin de la funcin
de servicios de informacin reflejan el proceso de planeacin.
Los entregables de la metodologa de planeacin existen segn lo
indicado.
Se incluyen iniciativas de tecnologa de informacin relevantes en
los planes a corto y largo plazos de la funcin de servicios de
informacin (por ejemplo, cambios de hardware, planeacin de
capacidad, arquitectura de informacin, desarrollo u obtencin de
nuevos sistemas, planeacin de recuperacin en caso de desastre,
instalacin de plataformas para nuevos procesamientos, etc.).
Las iniciativas de tecnologa de informacin soportan la
investigacin, el entrenamiento, la asignacin de personal, las
instalaciones, el hardware y el software.

AUDITORA DE SISTEMAS DE INFORMACIN

REAS DE REVISIN

Evaluar la suficiencia:
Probando que:
Se han identificado las implicaciones tcnicas para las iniciativas
de tecnologa de informacin
Se ha tomado en consideracin la optimizacin de las inversiones
de tecnologa de informacin actuales y futuras
Los planes a corto y largo plazo de tecnologa de informacin son
consistentes con los planes a corto y largo plazo de la
organizacin, as como con los requerimientos de sta.
Se han modificado los planes para reflejar condiciones
cambiantes.
Los planes a largo plazo de tecnologa de informacin son
traducidos peridicamente en planes a corto plazo.

AUDITORA DE SISTEMAS DE INFORMACIN

REAS DE REVISIN

Comprobar el riesgo de los objetivos de control no cumplidos:


Llevando a cabo:
Mediciones ("Benchmarking") de planes estratgicos de
tecnologa de informacin contra organizaciones similares o
apropiados estndares internacionales reconocidos como
buenas prcticas de la industria.
Una revisin detallada de los planes de TI para asegurar que
las iniciativas de tecnologa de informacin reflejen la
misin y las metas de la organizacin.
Una revisin detallada de los planes de TI para determinar si,
como parte de las soluciones de tecnologa de informacin
contenidas en los planes, se han identificado reas dbiles
dentro de la organizacin que requieren ser mejoradas.

AUDITORA DE SISTEMAS DE INFORMACIN

REAS DE REVISIN

Comprobar el riesgo de los objetivos de control no cumplidos:


Identificando:
Fallas en la tecnologa de informacin para satisfacer la misin
y las metas de la organizacin.
Fallas en la tecnologa de informacin para concordar con los
planes a corto y largo plazo.
Fallas en los proyectos de TI para satisfacer los planes a corto
plazo.
Fallas en la tecnologa de informacin para satisfacer
lineamientos de costos y tiempos.
Oportunidades de negocios no aprovechadas.
Oportunidades no aprovechadas por TI.

AUDITORA DE SISTEMAS DE INFORMACIN

REAS DE REVISIN

INDICE
Introduccin
Marco de referencia
Objetivos de Control
Directrices de auditora
Directrices gerenciales
Gua para la implementacin

AUDITORA DE SISTEMAS DE INFORMACIN

REAS DE REVISIN

AUDITORA DE SISTEMAS DE INFORMACIN

REAS DE REVISIN

Factores crticos de xito

AUDITORA DE SISTEMAS DE INFORMACIN

REAS DE REVISIN

Indicadores clave de desempeo (KPI)

AUDITORA DE SISTEMAS DE INFORMACIN

REAS DE REVISIN

Indicadores clave de objetivos (KGI)

KGI (goal/objetivo)
indicadores medibles
del proceso para conseguir
su objetivo
f(Req. Del negocio de la cascada )
Influenciados por los criterios de informacin
primarios y secundarios
Una fuente potencial puede encontrarse en la seccin
sustanciar el riesgo de las directrices de auditora
de COBIT

AUDITORA DE SISTEMAS DE INFORMACIN

REAS DE REVISIN

Directrices gerenciales
Genricas y orientadas a la accin
Con el propsito de

Perfilar el control de TI qu es importante?


Conciencia dnde est el riesgo?
Benchmarking qu hacen los dems?

Soportar la toma de decisiones y


supervisin

Indicadores claves de desempeo para


procesos TI
Factores crticos de xito de los controles
Alternativas de implementacin de los
controles

AUDITORA DE SISTEMAS DE INFORMACIN

REAS DE REVISIN

Modelos de madurez para autoevaluacin

AUDITORA DE SISTEMAS DE INFORMACIN

REAS DE REVISIN

DIMENSIONES DEL MODELO DE MADUREZ


Entendimiento y conocimiento de los riesgos y de los
problemas de control
Capacitacin y comunicacin aplicadas a los problemas
Proceso y prcticas que son implementados
Tcnicas y automatizacin para hacer los procesos ms
efectivos y eficientes
Grado de cumplimiento de la poltica interna, las leyes y
las reglamentaciones
Tipo y grado de pericia empleada.

AUDITORA DE SISTEMAS DE INFORMACIN

REAS DE REVISIN

Directriz de Proceso Genrico


Gobierno sobre la tecnologa de informacin y los procesos con las
metas del negocio para aadir valor, mientras se balancean los
riesgos y el retorno
Asegurar la entrega de informacin al Negocio el cual
establece los Criterios de Informacin requeridos y es
medido por Indicadores Clave de Resultados/Logros
Se hace posible a travs de la creacin y mantenimiento de
un sistema de procesos y controles apropiados para el
negocio, el cual dirige y monitorea el valor del negocio
proporcionado por TI
Considera Factores Crticos de xito que tiene en
cuenta todos los Recursos de TI y es medido por
Indicadores Clave de Desempeo

AUDITORA DE SISTEMAS DE INFORMACIN

REAS DE REVISIN

Factores Crticos de xito


- Las actividades del gobierno de TI son integradas dentro del
proceso de gobierno de la empresa y las conductas de
liderazgo
- El gobierno de TI se enfoca en los objetivos y metas de la
empresa, en las iniciativas estratgicas y el uso de tecnologa
para mejorar el negocio, con base en la disponibilidad de
recursos y capacidades suficientes para soportar las demandas
del negocio
Las actividades del Gobierno de TI estn definidas sobre
propsitos claros, documentados e implementados, basados en
las necesidades de la empresa y con responsabilidades
concretas.
- Las prcticas gerenciales son implementadas para incrementar
la eficiencia y el uso ptimo de los recursos as como

AUDITORA DE SISTEMAS DE INFORMACIN

REAS DE REVISIN

Factores Crticos de xito


- Se establecen prcticas organizacionales para: evitar descuidos;
una cultura/ambiente de control; anlisis de riesgos como
prctica estndar; grado de adherencia a estndares
establecidos; monitoreo y seguimiento a los riesgos y a las
deficiencias de control.
- Se definen prcticas de control para evitar el incumplimiento o
mal uso de controles internos.
- Hay integracin e interoperabilidad transparente de los procesos
de TI mas complejos como podran ser: problemas, cambios y
administracin de la configuracin.
- Se establece un comit de auditora para designar y supervisar
un auditor independiente enfocado sobre TI cuando dirige la
ejecucin de planes de auditora y revisa los resultados de las
auditoras y revisiones de terceros.

AUDITORA DE SISTEMAS DE INFORMACIN

REAS DE REVISIN

Indicadores clave de objetivo


- Incrementar el desempeo y la administracin de costos
- Mejorar el retorno de la inversin sobre las mayores inversiones de TI
-Mejorar el tiempo de comercializacin
-Incrementar la calidad, la innovacin y la administracin de riesgos
- Procesos del negocio apropiadamente integrados y estandarizados
- Bsqueda de nuevos clientes y satisfacer los existentes
- Disponibilidad de apropiado ancho de banda, poder de cmputo y
mecanismos para la entrega de servicios de TI
- Satisfacer los requerimientos y las expectativas de los clientes de los
procesos con base en un presupuesto y a tiempo
- Cumplir con las leyes, regulaciones, estndares de la industria y
compromisos contractuales.
- Transparencia en los riesgos asumidos y cumplimiento con el
acuerdo del perfil de riesgo organizacional.
- Comparaciones mediante Benchmarking sobre el nivel de madurez
de TI
- Creacin de nuevos canales de distribucin y entrega de servicios

AUDITORA DE SISTEMAS DE INFORMACIN

REAS DE REVISIN

Indicadores clave de desempeo


- Mejorar los procesos de costo-eficiencia de TI
(costos versus entregables o servicios)
- Incrementar el nmero de planes de accin de TI para las
iniciativas de mejora de procesos
- Incrementar la utilizacin de la infraestructura de TI
- Incrementar la satisfaccin de los socios y accionistas
(encuestas y nmero de reclamaciones).
- Incrementar la productividad de los funcionarios de TI (nmero
de entregables) y su moral (encuesta)
- Incrementar la disponibilidad de conocimiento e informacin
para administrar la empresa.
- Incrementar las relaciones entre el gobierno de la empresa y
el gobierno de TI
- Incrementar el desempeo mediante mediciones utilizando
tarjetas de medicin (Balanced Scorecards)

AUDITORA DE SISTEMAS DE INFORMACIN

REAS DE REVISIN

PO1 Planeacin y Organizacin


Definir un Plan Estratgico de Tecnologa de Informacin
El Control sobre el proceso de TI de Definir un Plan
Estratgico de TI con el objetivo del negocio de
lograr un equilibrio ptimo de oportunidades de tecnologa de la
informacin y de los requerimientos de TI del negocio as como
tambin asegurar su cumplimiento posterior
Asegura la entrega de informacin al negocio que satisface
los Criterios de Informacin requeridos y se mide por los
Indicadores Clave de Objetivo
Es posibilitado por un proceso de planeacin estratgica
emprendido a intervalos regulares dando lugar a planes
a largo plazo; los planes a largo plazo deben ser
traducidos peridicamente en planes operativos que fijan
metas a corto plazo claras y concretas
Considera los Factores Crticos de xito que
apalancan Recursos de TI especficos y se mide
por medio de los Indicadores Clave de

AUDITORA DE SISTEMAS DE INFORMACIN

REAS DE REVISIN

AUDITORA DE SISTEMAS DE INFORMACIN

REAS DE REVISIN

AUDITORA DE SISTEMAS DE INFORMACIN

REAS DE REVISIN

AUDITORA DE SISTEMAS DE INFORMACIN

REAS DE REVISIN

AUDITORA DE SISTEMAS DE INFORMACIN

REAS DE REVISIN

PO1 Modelo de Madurez


El control sobre el proceso de TI de Definir un Plan
Estratgico de TI con el objetivo del negocio de
alcanzar un balance ptimo de oportunidades de tecnologa
de la informacin y requerimientos de TI del negocio as como
tambin asegurando su posterior cumplimiento
0 Inexistente. No se realiza la planeacin estratgica de TI.
La administracin no est conciente de que la planeacin
estratgica de TI es necesaria para apoyar los objetivos del
negocio.

AUDITORA DE SISTEMAS DE INFORMACIN

REAS DE REVISIN

1 Inicial /Ad hoc La administracin de TI est conciente de la


necesidad de planeacin estratgica de TI, pero no se ha
instalado un proceso estructurado de decisin. La planeacin
estratgica de TI se realiza con base a la necesidad en
respuesta a un requerimiento especfico del negocio y los
resultados son por lo tanto espordicos e inconsistentes. La
planeacin estratgica de TI es discutida ocasionalmente en
las reuniones de administracin de TI, pero no en las
reuniones de administracin del negocio. La correspondencia
con los requerimientos del negocio, las aplicaciones y la
tecnologa ocurren de manera reactiva, impulsadas por ofertas
de los vendedores, en lugar de ser por una estrategia en toda
la organizacin. La posicin estratgica de riesgo es
identificada informalmente en cada proyecto.

AUDITORA DE SISTEMAS DE INFORMACIN

REAS DE REVISIN

2 Repetible pero Intuitiva La planeacin estratgica de TI es


entendida por la administracin de TI, pero no est documentada.
La planeacin estratgica de TI es realizada por la administracin
de TI, pero slo es compartida con la administracin del negocio
en la medida en que se necesita.
La actualizacin del plan estratgico de TI se lleva a cabo slo en
respuesta a solicitudes de la administracin y no hay un proceso
proactivo para identificar los desarrollos de TI y del negocio que
requieren actualizaciones del plan. Las decisiones estratgicas
son impulsadas por proyecto, sin consistencia con una estrategia
general de la organizacin. Los riesgos y los beneficios de usuario
de las principales decisiones estratgicas estn siendo
reconocidos, pero su definicin es intuitiva.

AUDITORA DE SISTEMAS DE INFORMACIN

REAS DE REVISIN

3 Proceso Definido Una poltica define cundo y cmo realizar


la planeacin estratgica de TI. La planeacin estratgica de TI
sigue un mtodo estructurado que est documentado y que es
conocido por todos los miembros del personal. El proceso de
planeacin de TI es razonablemente adecuado y asegura que la
planeacin apropiada probablemente se realice. Sin embargo, se
da discrecin a los administradores individuales respecto a la
implementacin del proceso y no hay procedimientos para
examinar el proceso regularmente. La estrategia general de TI
incluye una definicin consistente de riesgos que la organizacin
est dispuesta a correr como un innovador o seguidor. Las
estrategias financiera, tcnica y de recursos humanos de TI
impulsan cada vez ms la adquisicin de nuevos productos y
tecnologas.

AUDITORA DE SISTEMAS DE INFORMACIN

REAS DE REVISIN

4. Administrado y Medible La planeacin estratgica de TI es


una prctica estndar y la administracin sealara las
excepciones. La planeacin estratgica de TI es una funcin
definida de la administracin con responsabilidades a nivel de
alta gerencia. Con respecto al proceso de planeacin
estratgica de TI, la administracin puede monitorearla, tomar
decisiones inteligentes con base en sta y medir su efectividad.
Tanto la planeacin a corto como a largo plazo se realiza y cae
en cascada a la organizacin hacindose actualizaciones a
medida que se necesitan. La estrategia de TI y la estrategia de
toda la organizacin se estn volviendo cada vez ms
coordinadas resolviendo procesos de negocio y capacidades de
valor agregado y apalancando el uso de aplicaciones y de
tecnologas a travs de reingeniera del proceso de negocio.
Hay un proceso bien definido para balancear los recursos
internos y externos requeridos en el desarrollo y en las
operaciones del sistema. Benchmarking frente a normas y
competidores de la industria se est volviendo cada vez ms
formalizada.

AUDITORA DE SISTEMAS DE INFORMACIN

REAS DE REVISIN

5. Optimizado La planeacin estratgica de TI, es un proceso


documentado, viviente, es constantemente considerado en la
determinacin del objetivo del negocio y tiene como resultado un
valor discernible de negocio a travs de inversiones en TI.
Constantemente se estn actualizando las consideraciones de
riesgo y de valor agregado en el proceso de planeacin estratgica
de TI. Hay una funcin de planeacin estratgica de TI que es
integral con la funcin de planeacin del negocio. Se desarrollan
planes realistas de TI a largo plazo y los mismos estn siendo
constantemente actualizados para que reflejen la tecnologa
cambiante y los desarrollos relacionados con el negocio. Los planes
de corto plazo de TI contienen hitos de tareas de proyectos y
productos que son constantemente monitoreados y actualizados, a
medidas que ocurren cambios. El establecimiento de Benchmarking
frente a normas de la industria bien entendidas y confiables es un
proceso bien definido y est integrado con el proceso de
formulacin de estrategias. La organizacin de TI identifica y
respalda nuevos desarrollos de la tecnologa para impulsar la
creacin de nuevas capacidades de negocios y para mejorar la
ventaja competitiva de la organizacin.

AUDITORA DE SISTEMAS DE INFORMACIN

DEBATE

En un plan de continuidad de
negocio, Cul de los siguientes
directorios de notificacin es el ms
importante?
1. vendedores de equipos y suministros
2. agentes de compaas de seguro
3. servicios de contratacin de personal
4. una lista priorizada de contactos

AUDITORA DE SISTEMAS DE INFORMACIN

1.
2.
3.
4.

DEBATE

Un auditor de SI descubre que un plan de continuidad de


negocio de una instalacin de procesamiento de informacin
provee un sitio alternativo de procesamiento que alojar el
50% de la capacidad del sitio de procesamiento primario.
Sobre la base de esto, cul de las acciones siguientes debe
emprender el auditor de SI?
No hacer nada, porque generalmente, menos del 25% de todo el
procesamiento es crtico para la supervivencia de una
organizacin y la capacidad de respaldo es por tanto adecuada
Identificar las aplicaciones que podran ser procesadas en el sitio
alternativo y desarrollar procedimientos manuales para dar
respaldo al otro procesamiento.
Asegurar que se hayan identificado las aplicaciones crticas y que
el sitio alternativo pueda procesar todas estas aplicaciones.
Recomendar que la instalacin de procesamiento de informacin
haga los arreglos para un sitio alternativo de procesamiento de la
informacin con la capacidad de manejar por lo menos el 75% del
procesamiento normal.

AUDITORA DE SISTEMAS DE INFORMACIN

DEBATE

Cul de los siguientes componentes de


un plan de continuidad del negocio es
primariamente responsabilidad del
departamento de SI de una
organizacin?
1. Desarrollar el plan de continuidad del
negocio
2. Seleccionar y aprobar la estrategia para el
plan de continuidad del negocio
3. Declarar un desastre
4. Restaurar los sistemas de SI y los datos
despus de un desastre.

AUDITORA DE SISTEMAS DE INFORMACIN

DEBATE

En una auditora de un plan de continuidad


de negocio cul de los siguientes
hallazgos es de ms preocupacin?
1. No hay seguros para la adicin de activos durante el
ao
2. El manual del plan no es actualizado peridicamente
3. La prueba de las copias de respaldo de datos no se
ha hecho regularmente
4. Los registros de mantenimiento del sistema de acceso
no se han mantenido

AUDITORA DE SISTEMAS DE INFORMACIN

DEBATE

Un auditor de SI debera involucrarse en:


1. Observar las pruebas del plan de recuperacin de
desastres
2. Desarrollar el plan de recuperacin de desastres
3. Mantener el plan de recuperacin de desastres
4. Revisar los requerimientos de recuperacin de
desastres en los contratos de los proveedores

AUDITORA DE SISTEMAS DE INFORMACIN

DEBATE

Cul de lo siguiente es necesario tener


primero en el desarrollo de un plan de
continuidad de negocio?
1. Clasificacin de los sistemas basada en el riesgo
2. Inventario de todos los activos
3. Documentacin completa de todos los desastres
4. Disponibilidad de hardware y de software

AUDITORA DE SISTEMAS DE INFORMACIN

DEBATE

Los planes de prueba de las


aplicaciones se desarrollan en
cul de las siguientes etapas del
ciclo de vida de sistemas?
1. Diseo
2. Prueba
3. Requisitos
4. Desarrollo

AUDITORA DE SISTEMAS DE INFORMACIN

DEBATE

El propsito primario de llevar a cabo


la ejecucin en paralelo de un sistema
nuevo es:
1. Verificar que el sistema provea la funcionalidad que
requiere el negocio
2. Validar la operacin del sistema nuevo contra el que
lo precedi
3. Resolver cualquier error en las interfaces de
programas y de archivo
4. Verificar que el sistema pueda procesar la carga de
produccin

AUDITORA DE SISTEMAS DE INFORMACIN

DEBATE

Cul de las siguientes opciones sera la


que ms probablemente asegurara que un
proyecto de desarrollo de sistemas
cumpla con los objetivos de negocio?
1. Mantenimiento de las bitcoras de cambios de los
programas
2. El desarrollo de un plan de proyectos que identifique
todas las actividades
3. La liberacin de los cambios en determinadas fechas
del ao
4. La participacin del usuario en la especificacin y
aceptacin del sistema

AUDITORA DE SISTEMAS DE INFORMACIN

DEBATE

Cuando se audita la fase de requisitos de


una adquisicin de software, el auditor de
SI debe:
1. Evaluar la factibilidad del cronograma del
proyecto
2. Evaluar los procesos de calidad propuestos por el
vendedor
3. Asegurarse que se adquiera el mejor paquete de
software
4. Revisar que las especificaciones estn completas

AUDITORA DE SISTEMAS DE INFORMACIN

DEBATE

La mantenibilidad est ms relacionada con


cul de lo siguientes atributos software:
1. Los recursos que se necesitan para hacer
modificaciones especficas
2. El esfuerzo que se necesita para usar la aplicacin
del sistema
3. Relacin entre el desempeo del software y los
recursos necesarios
4. La satisfaccin de las necesidades del usuario

AUDITORA DE SISTEMAS DE INFORMACIN

DEBATE

Cuando se llevaba a cabo una revisin de la


reingeniera de los procesos de negocio, un
auditor de SI encontr que un control preventivo
clave haba sido eliminado. El auditor de SI debe:
1. Informar a la gerencia sobre el hallazgo y determinar si la
gerencia est dispuesta a aceptar el riesgo material potencial
de no tener ese control preventivo
2. Determinar si un control detectivo ha reemplazado al control
preventivo durante el proceso, y si as fuera, no reportar la
eliminacin del control preventivo
3. Recomendar que ste y todos los procedimientos de control
que existan antes de que al proceso se le hubiera aplicado
reingeniera, sean incluidos en el nuevo proceso
4. Desarrollar un mtodo de auditora continua para monitorear los
efectos de la eliminacin del control preventivo