© ITG I 2004 not for com m ercial use. 1
Introducción a COBIT
¿Por qué las TI necesitan de un ¿Por qué las TI necesitan de un
marco de control de Tlmarco de control de Tl??
¿Quién necesita de un marco de control de TI¿Quién necesita de un marco de control de TI??
¿Cómo y por qué se utiliza ¿Cómo y por qué se utiliza CCOBIOBIT?T?
© ITG I 2004 not for com m ercial use. 2
¿Por qué las TI necesitan de un marco de control?
¿Alguna de estas condiciones le parece familiar?¿Alguna de estas condiciones le parece familiar? Incremento de la presión para aumentar la eficacia de la
tecnología en las estrategias de negocios Aumento de la complejidad de los entornos de TI Infraestructuras de TI fragmentadas Dificultades de comunicación entre los administradores de
negocios y TI Niveles de servicio decepcionantes de la función interna o
tercerizada de TI Disparada de los Costos de TI Ganancias marginales en ROI/productividad de las
inversiones en tecnología Disminución de la flexibilidad y agilidad de cambio
organizacional Frustración de usuarios que desemboca en soluciones ad
hoc
© ITG I 2004 not for com m ercial use. 3
Aumento de la dependencia en la información y en los sistemas que producen esta información
Aumento de las vulnerabilidades y un amplio espectro de amenzas, tales como ciberamenazas y guerra de información
Tamaño y costo crecientes de las inversiones actuales y futuras en información y sistemas de información
La necesidad de cumplir con las regulaciones El potencial de las tecnologías de cambiar dramáticamente las
organizaciones y prácticas de negocios, crear nuevas oportunidades y reducir costos
Reconocimiento por muchas organizaciones de los beneficios potenciales que puede proporcionar la tecnología
Las organizaciones exitosas entienden y gestionan los Las organizaciones exitosas entienden y gestionan los riesgos asociados con la implantación de nuevas riesgos asociados con la implantación de nuevas
tecnologíastecnologías
¿Por qué las TI necesitan de un marco de control?
© ITG I 2004 not for com m ercial use. 4
TI proporciona valor � Costo, tiempo y funcionalidad son los esperados
TI no da sorpresasa Riesgos son mitigados
TI es innovadora� Nuevas oportunidades e innovaciones de
procesos, productos y servicios
¿Por qué las TI necesitan de un marco de control?
Para asegurar quePara asegurar que
La gerencia debe mantener las TI bajo La gerencia debe mantener las TI bajo controlcontrol..
© ITG I 2004 not for com m ercial use. 5
Directorio y Ejecutivos de Primer Nivel• Para asegurar que la gerencia sigue e implanta la dirección
estratégica de las TI Gerencia
• Para tomar decisiones de inversión en TI• Para equilibrar el riesgo y la inversión en su control• Para evaluar el entorno actual y futuro de las TI
Usuarios• Para garantizar la seguridad y control de los productos y servicios
adquiridos interna o externamente Auditores
• Para sustentar opiniones a la gerencia sobre controles internos• Para recomendar los controles mínimos necesarios
¿Quién necesita de un marco de control?
© ITG I 2004 not for com m ercial use. 6
Incorpora los principales estándares internacionales
Se ha convertido en el estándar de facto para el control total de las TI
Parte de los requerimientos de negocios
Está orientado a procesosIT ProcessesIT Processes
IT Management ProcessesIT Management ProcessesIT Governance ProcessesIT Governance Processes
CobiTCobiTbest practices repository for
Procesos de TIGestión de Procesos de TIGovernance de Procesos de TI
COBITCOBITRepositorio de mejores prácticas
CCOBIOBIT es la respuesta a la necesidadT es la respuesta a la necesidad
¿Por qué y cómo se utiliza COBIT?
© ITG I 2004 not for com m ercial use. 7
Ayuda sustancialmente a incrementar la aceptación y reducir el tiempo de implantación de programas de governance de TI
Proporciona una guía para auditorías / revisiones formales Ayuda en la utilización de resultados de auditoría como oportunidad de
mejoras Es un factor poderoso para lograr las metas primarias de governance de TI:
transformar prácticas organizacionales y mejorar procesos Proporciona un marco económico de mejora continua Proporciona una fuente creíble de decisiones gerenciales sobre controles Engancha y ayuda a los administradores de operaciones de TI con su
habilidad para discernir lo que los auditores quieren Es ideal para que las gerencias de negocios comuniquen sus
requerimientos y preocupaciones Es reconocido como una fuente confiable de referencia que asegura la
identificación de las principales áreas de riesgo Mejora la comunicación y relaciones con la administración de TI
Testimonios de Casos EstudioTestimonios de Casos Estudio
¿Por qué y cómo se utiliza COBIT?
© ITG I 2004 not for com m ercial use. 8
Para mejorar enfoques / programas de auditoría Para apoyar el trabajo de auditoría con directrices
detalladas Proporcionar asistencia para la governance de TI Como una referencia (benchmark) valiosa de control
de SI/TI Para mejorar los controles de SI/TI Para estandarizar enfoques / programas de auditoría
Resultados de EncuestasResultados de Encuestas
¿Por qué y cómo se utiliza COBIT?
© ITG I 2004 not for com m ercial use. 9
El Marco COBIT
ElEl marco marco CCOBIOBIT T incluyeincluye::
Enfoque en el negocioEnfoque en el negocio
Orientación a Orientación a procesprocesosos
Recursos de Recursos de TTII
© ITG I 2004 not for com m ercial use. 10
Parte de la premisa que TI debe proporcionar la información que la empresa necesita para lograr sus objetivos
Promociona enfoque y propiedad de procesosDivide TI en 34 procesos que corresponden a
cuatro dominios y proporciona objetivos de control de alto nivel para cada uno
Las necesidades empresariales fiduciarias, de calidad y seguridad se logran mediante siete criterios de información utilizados genéricamente para definir lo que el negocio requiere de TI
Se apoya en un conjunto de más de 300 objetivos de control detallados
● Efectividad● Eficiencia● Disponibilidad● Integridad● Confidencialidad● Fiabilidad● Cumplimiento
● Planificar y Organizar● Adquirir e Implementar● Prestar Servicios y Soporte● Monitorizar y Evaluar
¿En qué consiste COBIT? :
© ITG I 2004 not for com m ercial use. 11
“A fin de proporcionar la información que la organización necesita para lograr sus objetivos, los recursos de TI deben ser gestionados mediante un conjunto de procesos naturalmente agrupados”
Relacionado con requerimientos de negocios (expresados como criterios de información)
Ligado con procesos de negocios Faculta a los propietarios del negocio Descompone TI en cuatro dominios y 34 procesos Dominios: (planificarconstruirejecutar) +
monitorizar Control, auditoría, gestión de implementación y
desempeño estructurados por proceso
Neg
ocio
s P
roce
sos
Orientación a Negocios y Enfoque de Procesos
IT IT ProcessesProcesses
BusinessRequirements
IT IT ResourcesResources
IT IT ProcessesProcesses
BusinessRequirements
IT IT ResourcesResources
© ITG I 2004 not for com m ercial use. 12
Definición del Marco de COBIT
“Para proporcionar la información que la empresa necesita para lograr sus objetivos,los recursos de TI deben gestionarse mediante un conjunto de procesos
naturalmente agrupados.”
IT Processes
BusinessRequirements
IT Resources
IT Processes
BusinessRequirements
IT Resources
I T RESOURCESI T RESOURCESI T RESOURCES
I T PROCESSESI T PROCESSESI T PROCESSES
BUSI NESSREQUI REMENTS
BUSI NESSBUSI NESSREQUI REMENTSREQUI REMENTS
I T RESOURCESI T RESOURCESI T RESOURCES
I T PROCESSESI T PROCESSESI T PROCESSES
BUSI NESSREQUI REMENTS
BUSI NESSBUSI NESSREQUI REMENTSREQUI REMENTS
I T RESOURCESI T RESOURCESI T RESOURCES
I T PROCESSESI T PROCESSESI T PROCESSES
BUSI NESSREQUI REMENTS
BUSI NESSBUSI NESSREQUI REMENTSREQUI REMENTS
Una orientación de procesos es un enfoque de gestión probado para ejercer Una orientación de procesos es un enfoque de gestión probado para ejercer eficientemente las responsabilidades, lograr las metas establecidas y eficientemente las responsabilidades, lograr las metas establecidas y gestionar razonablemente los riesgosgestionar razonablemente los riesgos
POR QUÉPOR QUÉ
© ITG I 2004 not for com m ercial use. 13
RequRequeerriimmiiententooss de Calidad de Calidad• Calidad • Entrega• CostoRequiremRequiremiiententooss de de SeSegguriuridaddad • Confidencialidad• Integridad• DisponibilidadRequRequeerriimmiiententooss FiduciarFiduciariosios (Informe COSO)• Efectividad y eficiencia de
operaciones• Cumplimiento de leyes y
regulaciones • Fiabilidad de información finaciera
✔ Efectividad
✔ Eficiencia
✔ Confidencialidad
✔ Integridad
✔ Disponibilidad
✔ Cumplimiento
✔ Fiabilidad de la
información
Requerimientos de NegociosIT Processes
BusinessRequirements
IT Resources
IT Processes
BusinessRequirements
IT Resources
© ITG I 2004 not for com m ercial use. 14
Efectividad –Se relaciona con la relevancia y pertinencia de la información para el proceso de negocios así como también con su entrega de manera oportuna, correcta, consistente y utilizableEficiencia –Se relaciona con la provisión de información mediante la óptima (más productiva y economica) utilización de los recursosConfidencialidad –Se relaciona con la protección de información sensible para evitar su divulgaciónIntegridad –Se relaciona con la exactitud y compleción de la información así como su validez de acuerdo con el conjunto de valores y expectativas del negocioDisponibilidad –Se relaciona con la disponibilidad de la información cuando sea requerida por el proceso de negocios, y por ende con la protección de los recursosCumplimiento –Trata del cumplimiento de leyes, regulaciones y contratos a que están sujetos los procesos de negocios, es decir, con criterios de negocios externamente impuestosFiabildad de la información –Se relaciona con que los sistemas provean a la gerencia de información apropiada para la operación de la entidad, proporcionen información financiera a quienes la requieran e información a los organismos reguladores relacionada con el cumplimiento de leyes y regulaciones
Requerimientos de NegociosIT Processes
BusinessRequirements
IT Resources
IT Processes
BusinessRequirements
IT Resources
© ITG I 2004 not for com m ercial use. 15
Procesos
Una serie de actividades conjuntas con puntos de control naturales
Actividades o Tareas
Acciones requeridas para lograr un resultado medible. Las actividades tiene un ciclo de vida, mientras que las tareas son discretas
Dominios
Agrupamiento natural de procesos, a menudo coincidente con un dominio organizacional de responsabilidades
Orientación de ProcesosIT Processes
BusinessRequirements
IT Resources
IT Processes
BusinessRequirements
IT Resources
© ITG I 2004 not for com m ercial use. 16
Dominios de TI • Planificar y
Organizar• Adquirir e
Implementar• Prestar
Servicios y Soporte
• Monitorizar y Evaluar
Procesos de TI • Estrategia de TI• Operaciones • Manejo de incidencias• Pruebas de aceptación• Gestión de cambios• Planes de contingencia• Gestión de problemas
Actividades• Registrar nuevo problema• Analizar• Proponer solución• Monitorizar solución• Registrar problema conocido• Etc.
Agrupamiento natural de procesos, a menudo coincidente con un dominio organizacional de responsabilidad
Una serie de actividades conjuntas con puntos naturales de control Acciones requeridas para lograr un
resultado medible. Las actividadeies tiene un ciclo de vida, mientras que las tareas son discretas
Orientación de ProcesosIT Processes
BusinessRequirements
IT Resources
IT Processes
BusinessRequirements
IT Resources
© ITG I 2004 not for com m ercial use. 17
Descripción Este dominio incluye estrategias y tácticas, y se relaciona con la identificación
de cómo las TI pueden contribuir mejor al logro de los objetivos de negocios. Además, la consecución de la visión estratégica necesita ser planificada, comunicada y gestionada desde diferentes perspectivas. Finalmente, debe existir una organización apropiada y una infraestructura tecnológica
Tópicos Estrategias y tácticas Visión planificada Organización e infraestructura
Preguntas ¿Están alineadas las estrategias de negocios y TI? ¿Está la empresa utilizando óptimamente sus recursos? ¿Todos en la organización comprenden los objetivos de TI? ¿Se comprenden y gestionan los riesgos de TI? ¿Es la calidad de los sistemas de Ti apropiada para las necesidades de
negocios?
Dom
inio
s Orientación de Procesos Planificar y OrganizarPlanificar y Organizar
IT Processes
BusinessRequirements
IT Resources
IT Processes
BusinessRequirements
IT Resources
© ITG I 2004 not for com m ercial use. 18
PO1 Definir un plan estratégico de tecnologías de información
PO2 Definir la arquitectura de información PO3 Determinar la dirección tecnológica PO4 Definir la organización y relaciones de TI PO5 Administrar las inversiones en tecnología de información PO6 Comunicar las metas y dirección de la gerencia PO7 Administrar recursos humanos PO8 Asegurar cumplimiento de requerimientos externos PO9 Evaluar riesgos PO10 Gestionar proyectos PO11 Gestionar calidad.
Orientación de Procesos Planificar y OrganizarPlanificar y Organizar
© ITG I 2004 not for com m ercial use. 19
Adquirir e ImplementAdquirir e Implementar Descripción Para ejecutar la estrategia de TI, las soluciones de TI deben ser identificadas,
desarrolladas o adquiridas, así como implementadas e integradas con el proceso de negocios. Además, este dominio cubre los cambios y mantenimiento de los sistemas existentes para asegurar el cumplimiento del ciclo de vida de los sistemas.
Tópicos Soluciones de TI Cambios y mantenimiento
Preguntas ¿Los nuevos proyectos entregarán soluciones que atiendan las
necesidades de negocios? ¿Se terminarán puntualmente los nuevos proyectos respetando su
presupuesto? ¿Trabajará apropiadamente el nuevo sistema al ser implementado? ¿Se harán los cambios sin alterar las operaciones actuales de
negocios?
Dom
inio
s Orientación de Procesos
IT Processes
BusinessRequirements
IT Resources
IT Processes
BusinessRequirements
IT Resources
© ITG I 2004 not for com m ercial use. 20
AI1 Identificar soluciones automatizadas
AI2 Adquirir y mantener software de aplicaciones
AI3 Adquirir y mantener infraestructura tecnológica
AI4 Desarrollar y mantener procedimientos de TI
AI5 Instalar y acreditar sistemas
AI6 Gestionar cambios
Orientación de Procesos
Adquirir e ImplementAdquirir e Implementar
© ITG I 2004 not for com m ercial use. 21
Descripción Este dominio se encarga de la prestación real de los servicios requeridos, que varían desde
operaciones tradicionales, seguridad, aspectos de continuidad hasta entrenamiento. Para prestar servicios, deben establecerse los procesos necesarios de apoyo. Este dominio incluye el procesamiento real de los datos por las aplicaciones de sistemas, a menudo clasificado como controles de aplicaciones.
Tópicos Prestación de los servicios requeridos Establecimiento de procesos de apoyo Procesamiento mediante las aplicaciones de sistemas
Preguntas ¿Los servicios de TI se proporcionan de acuerdo con las prioridades de
negocios? ¿Están optimizados los costos de TI? ¿La fuerza de trabajo tiene la habilidad de usar los sistemas de TI productiva y
seguramente? ¿Se cuenta con seguridad, integridad y disponibilidad adecuadas?
Dom
inio
s Orientación de Procesos Prestar Servicios y SoportePrestar Servicios y Soporte
IT Processes
BusinessRequirements
IT Resources
IT Processes
BusinessRequirements
IT Resources
© ITG I 2004 not for com m ercial use. 22
DS1 Definir y administrar niveles de servicio DS2 Administrar servicios de terceros DS3 Administrar desempeño y capacidad DS4 Asegurar continuidad del servicio DS5 Garantizar seguridad de los sistemas DS6 Identificar y asignar costos DS7 Educar y entrenar usuarios DS8 Apoyar y asistir a los clientes de TI DS9 Administrar configuración DS10 Administrar problemas e incidencias DS11 Administrar datos DS12 Administrar instalaciones DS13 Administrar operaciones
Orientación de Procesos
Prestar servicios y MantenerPrestar servicios y Mantener
© ITG I 2004 not for com m ercial use. 23
Descripción La calidad y el cumplimiento de los requerimientos de control de todos los
processes de TI deben ser periódicamente evaluados. Este dominio, en consecuencia, trata de la supervisión por gerencia del proceso de control de la organización y la garantía independiente proporcionada por auditorías internas o externas u obtenidas de fuentes alternativas.
Tópicos Evaluación periódica, prestación de garantías Supervisión gerencial del sistema de control Medición de desempeño
Preguntas ¿Puede ser medido el desempeño de TI y pueden detectarse los
problemas antes de que sea demasiado tarde? ¿Se necesita garantía independiente para asegurar que las áreas
críticas funcionan de la manera pretendida?
Dom
inio
s Orientación de Procesos Monitorizar y EvaluarMonitorizar y Evaluar
IT Processes
BusinessRequirements
IT Resources
IT Processes
BusinessRequirements
IT Resources
© ITG I 2004 not for com m ercial use. 24
M1 Monitorizar los procesosM2 Evaluar la adecuación del control internoM3 Obtener aseguramiento independienteM4 Proporcionar auditoría independiente
Orientación de Procesos
Monitorizar y EvaluarMonitorizar y Evaluar
© ITG I 2004 not for com m ercial use. 25
Datos: Objetos de datos en su sentido más amplio, i.e., externos e internos, estructurados y no estructurados, gráficos, sonido, etc.
Aplicaciones de Sistemas: Entendidas como la suma de procedimientos manuales y programados
Tecnología: Incluye hardware, sistemas operativos, sistemas de gestión de base de datos, redes, multimedia, etc.
Instalaciones: Recursos que alojan y soportan los sistemas de informacion
Gente: Habilidades del staff, conciencia y productividad para planificar, organizar, adquirir, prestar, apoyar, monitorizar y evaluar sistemas y servicios de información
Recursos de TIIT Processes
BusinessRequirements
IT Resources
IT Processes
BusinessRequirements
IT Resources
© ITG I 2004 not for com m ercial use. 26
Procesos de TI
Recursosde TI
Requerim ientos
Negocios
Datos
Aplicaciones de Sistem as
Tecnología
Instalaciones
Gente
Planificar y Organizar
Adquirir e Im plem entar
Prestar Servicios y Soporte
M onitorizar y Evaluar
Efectividad Eficiencia Confidencialid
ad Integridad Disponibilidad Cum plim iento Fiabilidad de
la inform ación
¿Cómo se relacionan? IT Processes
BusinessRequirements
IT Resources
IT Processes
BusinessRequirements
IT Resources
© ITG I 2004 not for com m ercial use. 27
IT Processe
s
IT Resource
s
Business Requirem ent
s
Data
Application system s
Technology Facilities
People
Plan and Organise
Aquire and Im plem ent
Deliver and Support
M onitor and Evaluate
Effectiveness Efficiency Confidentiality Integrity Availability Com pliance Inform ation
reliability
Com o se Com o se organiza TI para organiza TI para responder a los responder a los requerim ientosrequerim ientos
Lo que los Lo que los accionistas accionistas esperan de TIesperan de TI
Los recursos Los recursos disponibles y disponibles y
acum ulados por acum ulados por TITI
© ITG I 2004 not for com m ercial use. 28
PO1 Definir un plan estratégico de TIPO2 Definir la arquitectura de informaciónPO3 Determinar la dirección tecnológicaPO4 Definir la organización y relaciones de TIPO5 Administrar la inversión de TIPO6 Comunicar las metas y dirección de la gerenciaPO7 Administrar recursos humanosPO8 Asegurar cumplimiento de requerimientos externosPO9 Evaluar riesgosPO10 Administrar proyectosPO11 Administrar calidad
AI1 Identificar soluciones automatizadasAI2 Adquirir y mantener software de aplicacionesAI3 Adquirir y mantener infraestructura tecnológicaAI4 Desarrollar y mantener procedimientos de TIAI5 Instalar y acreditar sistemasAI6 Administrar cambios
M1 Monitorizar los procesosM2 Evaluar adecuación del control internoM3 Obtener aseguramiento independienteM4 Proveer de auditoría independiente
DS1 Definir niveles de servicioDS2 Administrar servicios de tercerosDS3 Administrar desempeño y capacidadDS4 Asegurar continuidad de servicioDS5 Garantizar seguridad de sistemas DS6 Identificar y asignar costosDS7 Educar y entrenar usuariosDS8 Apoyar y asistir a clientes de TIDS9 Administrar la configuraciónDS10 Administrar problemas e incidentesDS11 Administrar datosDS12 Administrar instalacionesDS13 Administrar operaciones
RECURSOS DE TI
• Datos• Aplicaciones• Tecnología• Instalaciones• Gente PLANIFICAR Y
ORGANIZAR
ADQUIRIR EIMPLEMENTAR
PRESTAR SERV Y SOPORTE
• Efectividad• Eficiencia• Confidencialidad• Integridad• Disponibilidad• Cumplimiento• Fiabilidad
Criterios
Objetivos de NegociosMarco deCOBIT
MONITORIZAR Y EVALUAR
© ITG I 2004 not for com m ercial use. 29
PROCESOSDE NEGOCIOS
INFORMACIÓN
• Efectividad• Eficiencia• Confidencialidad• Integridad• Disponibilidad• Cumplimiento• Fiabilidad
Criterios
COBIT
RECURSOS DE TI
• Datos• Aplicación de sistemas• Tecnología• Instalaciones• Gente PLANIFICAR
Y ORGANIZAR
ADQUIRIR EIMPLEMENTAR
PRESTAR SERV Y SOPORTE
Marco deCOBIT
Para proporcionar Para proporcionar la información que la información que
la organización la organización necesita para necesita para
lograr sus lograr sus objetivosobjetivos, , los los recursos de TI recursos de TI
deben ser deben ser administrados por administrados por
un conjunto de un conjunto de procesos procesos
naturalmente naturalmente agrupadosagrupados
MONITORIZARY EVALUAR
© ITG I 2004 not for com m ercial use. 30
Resum en hasta el m om ento TI es indispensable para la supervivencia y crecimiento de las
empresas. La gerencia es responsable del control. Dicha responsabilidad requiere de un marco:
� Los requerimientos de negocio pueden ser expresados como criterios de información.
eTI generalmente es organizada como un conjunto de procesos. TI requiere de un conjunto de recursos.
COBIT es un estándar aceptado internacionalmente
Para proporcionar la información que la organización Para proporcionar la información que la organización necesita para lograr sus objetivosnecesita para lograr sus objetivos, , los recursos de TI deben los recursos de TI deben ser administrados porser administrados por un conjunto naturalmente agrupado un conjunto naturalmente agrupado de procesosde procesos
Marco de COBIT
© ITG I 2004 not for com m ercial use. 31
El Cubo COBIT
© ITG I 2004 not for com m ercial use. 32
Dom inios TI
Recursos TI
Criterios deInform ación
Planificar yOrganizar
Adquirir e Im plem entar
Entregar y M antener
M onitorizar y Evaluar
Gente
Apliccaci
ó nTecnolog
íaInstalaciones
Daosa
Efectiv
idad
Eficien
cia
Confid
encia
lidad
Integ
ridad
Dispon
ibilid
ad
Cumpli
miento
Fiabilid
ad
S P
Ayudas de Navegación
Cubo COBIT
© ITG I 2004 not for com m ercial use. 33
ResumenResumenProcesProcesoos, s, CriteriCriterios yos y ReReccurursososs
© ITG I 2004 not for com m ercial use. 34
Efec
tivid
adEf
icie
ncia
Conf
iden
cial
idad
Inte
grid
adDi
spon
ibili
dad
Cum
plim
ient
oFi
abili
dad
Gen
teA
plic
acio
nes
Tecn
olog
í aIn
stal
acio
nes
Dato
s
Dominio ProcesoAdquirir eImplementar
AI1 Identificar soluciones automatizadas P S ➼ ➼ ➼
AI2 Adquirir y mantener software de aplicacines P P S S S ➼
AI3 Adquirir y mantener infraestructura tecnológica P P S ➼
AI4 Desarrollar y mantener procedimientos P P S S S ➼ ➼ ➼ ➼
AI5 Instalar y acreditar sistemas P S S ➼ ➼ ➼ ➼ ➼
AI6 Administrar cambios P P P P S ➼ ➼ ➼ ➼ ➼
COBIT Resumen de Procesos, Criterios y Recursos
AI6
© ITG I 2004 not for com m ercial use. 35
Tarea
El proceso CEl proceso COBIOBIT más importanteT más importante
““En un negocio con el cual esté familiarizadoEn un negocio con el cual esté familiarizado, , ¿cuál sería¿cuál sería el el procesproceso de TI o de TI mmásás important importantee? ? ¿Por ¿Por
quéqué?”?”
© ITG I 2004 not for com m ercial use. 36
Productos COBIT Importantes
Objetivos de Control—Objetivos de Control—““Los controles mínimos son...”Los controles mínimos son...”
Directrices Gerenciales—Directrices Gerenciales—““Así es como se mide…”Así es como se mide…”
Directrices de Auditoría—Directrices de Auditoría—““Así es como se audita...”Así es como se audita...”
© ITG I 2004 not for com m ercial use. 37
Definiciones de Control y Objetivos de Control
Las politicas, procedimientos, prácticas y estructuras organizacionales diseñadas para proporcionar certeza razonable de la consecución de los objetivos de negocios y prevención, detección o corrección de eventos indeseables
DefiniDefinicciióón n dede ControlControl
DefiniDefinicciióón n dede ObjetivObjetivoo de de Control Control de de TTII
Un enunciado del resultado deseado o propósito a lograr mediante la implementación de prácticas de control en una actividad particular de TI
© ITG I 2004 not for com m ercial use. 38
Objetivo de control de alto nivel• Uno por proceso
Objetivos de control detallados• De tres a 30 por proceso
Prácticas de control• De cinco a siete por objetivo de control
Objetivos de Control y Prácticas de Control
© ITG I 2004 not for com m ercial use. 39
El control de
Procesos de TI que satisfacen
es habilitado porEnunciadosde Control que consideran
Prácticas de Control
El Modelo de Cascada
4 Domin4 Dominioios 34 Process 34 Procesoos 318 Objetivs 318 Objetivoos s de de ControlControl
Requerimientosde negocios
© ITG I 2004 not for com m ercial use. 40
AI6AI6 Administrar cambiosAdministrar cambios
La administración de cambios a los programas de computador es necesaria para asegurar la integridad de procesamiento entre versiones, y la consistencia de resultados entre períodos. Los cambios deben ser formalmente administrados vía controles de solicitud de cambio, evaluación de impacto, documentación, políticas y procedimientos de autorización, liberación, y distribución
Objetivo de Control de Alto Nivel
© ITG I 2004 not for com m ercial use. 41
AI6Objetivo de Control de Alto Nivel
© ITG I 2004 not for com m ercial use. 42
AI6 Administrar cambios
6.1 Solicitud de inicio de cambio y controlLa administración de TI debe asegurar que todas las solicitudes de cambios, mantenimiento de sistemas y mantenimiento de proveedores sean estandarizadas y sujetas a procedimientos formales de administración de cambios. Los cambios deben ser categorizados y priorizados, y debe haber procedimientos específicos para manejar cambios de urgencia. Los solicitantes de cambios deben ser informados del estado de su solicitud.6.2 Evaluación de impactoDebe existir un procedimiento para asegurar que todas las solicitudes de cambio son evaluadas de manera estructurada para determinar todos los posibles impactos sobre el sistema operacional y su funcionalidad �
6.3 Control de cambiosLa administración de TI debe asegurar que la administración de cambios y el control y distribución del software están integradas apropiadamente con un sistema comprehensivo de gestión de configuración. El sistema utilizado para monitorizar los cambios a las aplicaciones de sistemas debe ser automatizado para apoyar el registro y seguimiento de cambios hechos en sistemas de información grandes y complejos.i
6.4 Cambios de emergenciaLa administración de TI debe establecer parámetros de definición de cambios de emergencia y procedimientos para controlar estos cambios cuando obvien el proceso normal de evaluación técnica, operacional y administrativa previo a su implementación. Los cambios de emergencia deben ser registrados y autorizados por la administración de TI antes de ser implementados.
Objetivos de Control Detallados
© ITG I 2004 not for com m ercial use. 43
Objetivos de Control Detallados
AI6 Administrar Cambios (continución))
6.5 Documentación y procedimientosEl proceso de cambios debe asegurar que, cada vez que se implementan cambios en el sistema, la documentación y procedimientos asociados son documentados consiguientemente.
6.6 Mantenimiento autorizadoLa administración de TI debe asegurar que el personal de mantenimiento tiene tareas específicas y su trabajo es apropiadamente monitorizado. Además, sus derechos de acceso al sistema deben ser controlados para evitar riesgos de acceso no autorizados a los sistemas automatizados.
6.7 Política de liberación de softwareLa administración de TI debe asegurar que la liberación de software se controla con procedimientos formales—garantiza corte, empaquetado, pruebas de regresión, instalación, etc.e
6.8 Distribución de softwareDebe establecerse medidas específicas de control interno para asegurar la distribución del elemento correcto de software, al lugar correcto, con integridad, oportunamente y con pistas de auditoría adecuadas.
© ITG I 2004 not for com m ercial use. 44
COBIT
AI6Objetivosde Control Detallados
© ITG I 2004 not for com m ercial use. 45
Prácticas de control. Son mecanismos claves de control que apoyan:• El logro de los objetivos de control• La prevención, detección y corrección de eventos
indeseablesPrácticas de control. Logran lo anterior mediante:
• Utilización responsable de recursos• Administración apropiada de riesgos • Alineación de TI con el negocio
Traducen los objetivos de control de CTraducen los objetivos de control de COBIOBIT en prácticas detalladas e T en prácticas detalladas e implementables y proporcionan la argumentation de negocios para su implementables y proporcionan la argumentation de negocios para su implementación, a partir de una perspectiva de valor y riesgosimplementación, a partir de una perspectiva de valor y riesgos
Prácticas de Control
© ITG I 2004 not for com m ercial use. 46
1. La administración define parámetros, características y procedimientos que identican y declaran emergencias.
2. Todos los cambios de emergencia son documentados,sino antes, después de la implementación.
3. Todos los cambios de emergencia son probados, sino antes. después de la implementación.
4. Todos los cambios de emergencia son formalmente autorizados por el propietario del sistema y la administración antes de su implementación.
5. Imágenes antes y después así como logs de intervención se guardan para revisión subsiguiente.
El control de cambios de emergencia mediante la implementación de prácticas control:� Asegurará que los procedimientos de emergencia se usen solo en emergencias declaradasi Asegurará que los cambios urgentes se implementen sin comprometer la integridad, disponibilidad, fiabilidad, seguridad, confidencialidad o exactitud
AI6 AI6 Administrar cambiosAdministrar cambiosAI6.4 AI6.4 Cambios de emergenciaCambios de emergenciaLa administración de TI debe establecer parámetros de definición de cambios de emergencia y procedimientos para controlar estos cambios cuando obvien el proceso normal de evaluación técnica, operacional y administrativa previo a su implementación. Los cambios de emergencia deben ser registrados y autorizados por la administración de TI antes de ser implementados.
Prácticas de Control ¿Por qué se ejecutan?
Prácticas de Control
© ITG I 2004 not for com m ercial use. 47
Productos COBIT Importantes
Objetivos de Control—Objetivos de Control—““Los controles mínimos son...”Los controles mínimos son...”
Directrices Gerenciales—Directrices Gerenciales—““Así es como se mide…”Así es como se mide…”
Directrices de Auditoría—Directrices de Auditoría—““Así es como se audita...”Así es como se audita...”
© ITG I 2004 not for com m ercial use. 48
Modelo de Governance de TI
Governance de TI ayuda a determinar la manera en que los sistemas automatizados :• Simplifican operaciones• Reducen costos• Aumentan las utilidades
Requiere de un m arco de control de TI
© ITG I 2004 not for com m ercial use. 49
¿Cómo se enlaza COBIT con Governance de TI?
Metas ResponsabilidadesObjetivos de control
Requerimientos
NegocioNegocio TITI GovernanceGovernance
Información que el negocio necesita para lograr sus objetivos
Información que los Ejecutivos y
Directorio necesitan para ejercer sus
responsabilidades
Dirección y Recursos
© ITG I 2004 not for com m ercial use. 50
GovernanceGovernance de TI de TI
Metas ResponsabilidadesObjetivos de Control
Requerimientos
Negocio ITTI Governance
Información quenegocio necesita para
lograr sus objetivos
Dirección(Estrategia de TI y Políticas)
Información(Control de TI, Riesgos
y Seguridades)
¿Cómo se enlaza COBIT con Governance de TI?
© ITG I 2004 not for com m ercial use. 51
Sin embargo, la gerencia tiene preguntas que sobrepasan el marco de control:
¿Cómo "mantiene el curso de la nave"un gerente responsable?
PIZARRA
¿Cómo lograr resultados satisfactorios para elmayor segmento posible de nuestros stakeholders?
SCORECARDS
¿Cómo adaptar oportunamente la organizacióna las tendencias y desarrollos en el entorno de la empresa?
BENCHMARKING
¿Indicadores?¿Indicadores?
¿Medidas?¿Medidas?
¿Escalas?¿Escalas?
Directrices Gerenciales
© ITG I 2004 not for com m ercial use. 52
Control Statem ents
Control Practices
is enabled by
and considers
IT Processes
The control of
Business Requirem ents
which satisfy
Descripción de Procesos
Factores Críticos de Éxito (CSF)
� � � � �
Indicadores Claves de Metas (KGI)� �
Indicadores Claves de Desempeño (KPI)� �
Criterios deInformación
Recursos
00 No se aplican procesos de adm inistración.
11 Procesos son ad hoc y desorganizados.
22 Procesos siguen un patrón regular.
33 Procesos se docum entan y com unican.
44 Procesos se m onitorizan y m iden.
55 – Se siguen las m ejores prácticas y se autom atizan.
Modelo de Madurez
Marco de Directrices Gerenciales
© ITG I 2004 not for com m ercial use. 53
● Describen el resultado del proceso (i.e., medibles después del hecho); son medidas de “qué,” y pueden describir el impacto de no lograr la meta del proceso
● Son indicadores del éxito del proceso y su contribución al negocio
● Se enfocan en las dimensiones cliente y financiera del balanced scorecard
Indicadores Claves de Metas, KGI
Control Statem ents
Control Practices
is enabled by
and considers
IT Processes
The control of
Business Requirem ents
which satisfy
Definiciones
© ITG I 2004 not for com m ercial use. 54
● Nivel incrementado de entrega de servicio● Número de clientes y costo por cliente atendido● Disponibilidad de sistemas y servicios● Ausencia de riesgos de integridad y confidencialidad● Eficiencia de costos de procesos y operaciones● Confirmación de fiabilidad y efectividad● Adherencia a costos y cronograma de desarrollo● Eficiencia de costos del proceso● Productividad y moral del staff ● Número de cambios oportunos a procesos y sistemas● Productividad mejorada (e.g., producción de valor por empleado)
Indicadores Claves de Metas, KGI
Ejemplos
© ITG I 2004 not for com m ercial use. 55
● Son medidas de “cuán bien” se desempeña un proceso
● Predicen la probabilidad de éxito o fracaso
● Se enfocan en las dimensiones de proceso y aprendizaje del balanced scorecard
● Se expresan en términos precisos y medibles
● Deben servir para mejorar el proceso de TI
Indicadores Claves de Desempeño, KPI
Control Statem ents
Control Practices
is enabled by
and considers
IT Processes
The control of
Business Requirem ents
which satisfy
Definiciones
© ITG I 2004 not for com m ercial use. 56
•Núm ero de clientes de TI
•Costo por cliente de TI
•Costo eficiencia de los procesos de TI
•Entrega de valor de TI por em pleado
Inform ación
•Disponibilidad de sistem as y servicios
•Desarrollos a tiem po y dentro de presupuesto
•“Throughput” y tiem pos de respuesta
•Cantidad de errores y reproceso
•Nivel de servicio entregado
•Satisfacción de los clientes existentes
•Núm ero de nuevos clientes logrados
•Núm ero de nuevos canales de servicio
FFinanciera
ClienteCliente
•Productividad y m oral del staff
•Núm ero de staff entrenados en nuevas tecnologías / servicios
•Entrega de valor por em pleado
•Disponibilidd aum entada de sistem as de conocim iento
AprendizajeAprendizaje
PProceso
Indicadores Claves de Desempeño, KPI
Ejemplos
© ITG I 2004 not for com m ercial use. 57
● Son las cosas más importantes que hacer para incrementar la probabilidad de éxito del proceso
● Son características observables—a menudo medibles—de la organización y proceso
● Se enfocan en obtener, mantener y potenciar capacidades, habilidades y comportamiento
Factores Críticos de Éxito, CSF
Control Statem ents
Control Practices
is enabled by
and considers
IT Processes
The control of
Business Requirem ents
which satisfy
Definiciones
© ITG I 2004 not for com m ercial use. 58
● Son lineamientos de implementación dirigidos a la gerencia e identifican las cosas más importantes que hacer estratégica, técnica, organizacional o procedimentalmente
Ejemplos de CSFs incluyen:
● Los procesos de TI son definidos y alineados con las estrategias de TI y los objetivos de negocios
● Los clientes del proceso y sus expectativas son conocidos● Los procesos son escalables y sus recursos son gestionados y
desplegados apropiadamente
Factores Críticos de Éxito, CSF
Definiciones (cont.)
© ITG I 2004 not for com m ercial use. 59
• El plan estratégico de TI claramente enuncia una posicion de riesgo tal como uso de la tecnología de punta o tecnología probada, innovador o seguidor, con el consiguiente equilibrio entre tiempo para mercadear, costo de propiedad y calidad de servicio.
• Si no está listo para hacer cumplir la política, no la emita.
• Un programa de permisos de construcción para construir sistemas de TI y un programa de “licencias de conducir” para los constructores
• Un buen plan de seguridad demora en evolucionar.
EstrategiaEstrategia
PolíticaPolítica
CumplimientoCumplimiento
SeguridadSeguridad
Ejemplos
Factores Críticos de Éxito
© ITG I 2004 not for com m ercial use. 60
● Se refieren a los requerimientos de negocios (ICM, KGI en inglés) y a los aspectos habilitadores(ICD, KPI en inglés) en los diferentes niveles
● Son una escala que se presta a comparaciones prácticas, que permite medir fácilmente la diferencia
● Son reconocibles como un perfil de la empresa con relación a governance y control de TI
● Asisten en determinar como están y como serán las posiciones relativas a governance y control de madurez y en analizar la brecha
● No son específicos de cada industria ni aplicables con generalidad. La naturaleza del negocio determina cual es un nivel apropiado
Modelos de Madurez
Definiciones
© ITG I 2004 not for com m ercial use. 61
0 1 2 3 4 5
Inexistente Inicial Repetible Definido Adm inistradoOptim izado
Status actual de la em presa
Lineam ientos estándares internacionales
M ejores prácticas de la industria
Estrategia em presarial
Leyenda de Sím bolos Usados
Leyenda de Escala Usada
0 – No se aplica la adm inistración de procesos1 Procesos son ad hoc y desorganizados2 Procesos siguen un patrón regular3 Procesos se docum entan y com unican.4 Processes se m onitorizan y m iden5 – Se siguen las m ejores prácticas y se autom atizan
Modelos de Madurez
Uso
© ITG I 2004 not for com m ercial use. 62
AI6Directrices
Gerenciales
© ITG I 2004 not for com m ercial use. 63
AI6Directrices
Gerenciales
© ITG I 2004 not for com m ercial use. 64
Productos COBIT Importantes
Objetivos de Control—Objetivos de Control—““Los controles mínimos son...”Los controles mínimos son...”
Lineamientos de Gerenciales—Lineamientos de Gerenciales—““Así es como se mide…”Así es como se mide…”
Directrices de Auditoría—Directrices de Auditoría—““Así es como se audita...”Así es como se audita...”
© ITG I 2004 not for com m ercial use. 65
Proporcionar a la gerencia seguridad razonable del cumplimiento de los objetivos de control
Donde existan debilidades significtivas de control, fundamentar los riesgos resultantes
Proponer a la gerencia las acciones correctivas
Objetivos de la Auditoría
““¿¿Estoy bien? Y, si no, ¿cómo lo arreglo?iEstoy bien? Y, si no, ¿cómo lo arreglo?� ””
© ITG I 2004 not for com m ercial use. 66
Estructura del Proceso de Auditoría
Identificacion y
Docum entación
Evaluación Pruebas de Cum plim ient
o
PruebasPruebasSustantivasSustantivas
© ITG I 2004 not for com m ercial use. 67
Un proceso de TI es auditado mediante:
• ObtObtenciónención de entendimientode entendimiento de los riesgos relacionados con los requerimientos de negocios y medidas de control relevantes
• EvaluaEvaluación de loción de lo apropia apropiadodo de los controles establecidos
• Evaluación de cumplimientoEvaluación de cumplimiento probando si los controles establecidos trabajan según lo prescrito, consistente y continuamente
• Fundamentación del riesgoFundamentación del riesgo de los objetivos de control incumplidos mediante técnicas analíticas y/o consultando fuentes alternativas
© ITG I 2004 not for com m ercial use. 68
Una directrizUna directriz ggenenéérica rica yy 34 34 directrices directrices orientorientaadadas a ps a procesrocesooss
Una directriz genérica identifica varias tareas a realizar para evaluar cualquir objetivo de control de un proceso. Esta directriz genérica es un modelo para todos los objetivos de control
Otros, son específicos, sugerencias de tareas orientadas a procesos para proporcionar seguridad a la gerencia de que existe un control con un nivel razonable de efectividad
COBIT Directrices de Auditoría
© ITG I 2004 not for com m ercial use. 69
Obtención de entendimientoLos pasos de auditoría a ejecutar para documentar las actividades subyacentes a los objetivos de control e identificar las medidas/procedimientos de control establecidos
Entreviste a las gerencias apropiadas y staff para obtener y adquirir un entendimiento de:• Requerimientos de negocios y riesgos asociados• Estructura de la organización• Roles y responsabilidades• Políticas y procedimientos• Leyes y regulaciones• Medidas de control establecidas• Informes gerenciales (status, desempeño, acciones)
Documente los recursos de TI relacionados con procesos particularmente afectados por el proceso en revisión Confirme el entendimiento del proceso en revisión, las implicancias de control, e.g., mediante un recorrido del proceso
Directriz Genérica de Auditoría (1 de 4)
© ITG I 2004 not for com m ercial use. 70
Evaluación de ControlesLos pasos de auditoría a ejecutar con miras a evaluar la efectividad de los controles establecidos o el grado de cumplimiento de los objetivos de control
Evalúe lo apropiado de las medidas de control del proceso en revisión mediante la consideración de criterios identificados, practicas estándares de la industria y aplicación de juicio profesional. Determine si: • Existe un proceso documentado • Existen entregables apropiados • Responsabilidad y rendición de cuentas son claras y efectivas • Existen controles compensatorios en caso necesario
Concluya señalando el grado de cumplimiento de los objetivos de control
Directriz Genérica de Auditoría (2 de 4)
© ITG I 2004 not for com m ercial use. 71
Evaluación de CumplimientoLos pasos de auditoría a ejecutar para asegurar que las medidas de control establecidas trabajan según lo prescrito, consistente y continuamente
Obtenga evidencia directa o indirecta de items/períodos seleccionados para asegurar que los procedimientos se han cumplido en el período de revisión, empleando tanto evidencia directa como indirecta
Ejecute una limitada revisión de lo adecuado de los entregables del proceso
Determine el nivel de pruebas sustantivas y trabajo adicional necesarios para proporcionar seguridad de que el proceso de TI is adecuado.
Directriz Genérica de Auditoría (3 de 4)
© ITG I 2004 not for com m ercial use. 72
Fundamentación del RiesgoLos pasos de auditoría a ejecutar para fundamentar el riesgo de no cumplimiento del objetivo de control mediante el uso de técnicas analíticas y/o consulta de fuentes alternativas
Documente las debilidades de control y las correspondientes amenazas y vulnerabilidades.
Identifique y documente el impacto actual y potencial
Directriz Genérica de Auditoría (4 de 4)
© ITG I 2004 not for com m ercial use. 73
OBJETIVOS DE CONTROL�1.� � � � � Interfaces de proveedores 2.2. � � � Relaciones de propietarios 3.3. � � � Contratos con terceros 4.4. � � � Calificaciones de terceros 5.5. � � � Contratos de tercerización 6.6. � � � Continuidad de servicio 7.7. � � � Relaciones de seguridad 8.8. � � � Monitoreo
Directriz Detallada de Auditoría (1 de n)DS2 GESTIONE LOS SERVICIOS DE TERCEROS
© ITG I 2004 not for com m ercial use. 74
TANTO LOS OBJETIVOS DE CONTROL DE ALTO NIVEL COMO LOS DETALLADOS SON AUDITADOS MEDIANTE:Obtención de entendimiento por medio de:O EntrevistasE
El jefe de TI La dirección senior de TIEl administrador de contratos/niveles de servicio de TI La dirección de producción de Ti El oficial de seguridad
Directriz detallada de auditoría (1 de n)DS2 GESTIONE LOS SERVICIOS DE TERCEROS
© ITG I 2004 not for com m ercial use. 75
TANTO LOS OBJETIVOS DE CONTROL DE ALTO NIVEL COMO LOS DETALLADOS SON AUDITADOS MEDIANTE:Obtención de entendimiento por medio de:O La obtención de:L Políticas y procedimientos aplicables a toda la organización relacionadas con los servicios comprados y, en particular, las relaciones con terceros Políticas y procedimientos de TI relacionadas con: relaciones con terceros, procedimientos de selección de proveedores, contenido del contrato de tales relaciones, seguridad física y lógica, mantenimiento de calidad de proveedores, planeamiento de contingencia y tercerización
Directriz detallada de auditoría (1 de n)DS2 GESTIONE LOS SERVICIOS DE TERCEROS
© ITG I 2004 not for com m ercial use. 76
TANTO LOS OBJETIVOS DE CONTROL DE ALTO NIVEL COMO LOS DETALLADOS SON AUDITADOS MEDIANTE:Obtención de entendimiento por medio de:O La obtención de (continuación):: La lista de todas las relaciones tercerizadas actuales y los contratos reales asociados con cada una Información de nivel de servicio relacionada con las relaciones y servicios de terceros Actas de reuniones en que se discutió la revisión del contrato, evaluación de desempeño y gestión de la relación Los acuerdos de confidencialidad de todas las relaciones tercerizadas
Directriz detallada de auditoría (1 de n)DS2 GESTIONE LOS SERVICIOS DE TERCEROS
© ITG I 2004 not for com m ercial use. 77
TANTO LOS OBJETIVOS DE CONTROL DE ALTO NIVEL COMO LOS DETALLADOS SON AUDITADOS MEDIANTE:Obtención de entendimiento por medio de:O La obtención de (continuación):: Los listados de perfiles de acceso de seguridad y recursos de los proveedores
Directriz detallada de auditoría (1 de n)DS2 GESTIONE LOS SERVICIOS DE TERCEROS
© ITG I 2004 not for com m ercial use. 78
TANTO LOS OBJETIVOS DE CONTROL DE ALTO NIVEL COMO LOS DETALLADOS SON AUDITADOS MEDIANTE:Evaluación de controles mediante:E Considerando si:C Existen políticas y procedimientos para las relaciones tercerizadas y éstas son consistentes con las políticas organizacionales generales Existen políticas que tratan de la necesidad de contratos, definición del contenido de los contratos, propietario o administrador de la relación responsable de asegurar que los contratos se creen, mantengan, supervisen y renegocien según sea requerido �
directriz detallado de auditoría (1 de n)DS2 GESTIONE LOS SERVICIOS DE TERCEROS
© ITG I 2004 not for com m ercial use. 79
TANTO LOS OBJETIVOS DE CONTROL DE ALTO NIVEL COMO LOS DETALLADOS SON AUDITADOS MEDIANTE:Evaluación de controles mediante:E Considerando si (continuación):: Se definen las interfaces con agentes independientes involucrados en la conducción del proyecto y cualquier otra parte, tales como subcontratistas Los contratos representan un registro exhaustivo y completo de relaciones con proveedor de servicios de terceros Se establecen contratos específicamente para la continuidad de servicio, y estos contratos incluyen el planeamiento de contingencia por el proveedor para asegurar el servicio continuo a los usuarios de sus servicios
directriz detallado de auditoría (1 de n)DS2 GESTIONE LOS SERVICIOS DE TERCEROS
© ITG I 2004 not for com m ercial use. 80
TANTO LOS OBJETIVOS DE CONTROL DE ALTO NIVEL COMO LOS DETALLADOS SON AUDITADOS MEDIANTE:Evaluación de controles mediante:E Considerando si (continuación):: El contenido del contrato incluye por lo menos lo siguienteEl cont gestión formal y aprobación legal gest i ón entidad legal proveedora de servicios ent i dad servicios proporcionados ser vi ci acuerdos de nivel de servicios tanto cualitativos como cuantitativos cuant i t costo de servicios y frecuencia de pago de los servicios ost o d proceso de resolución de problemas pr oceso las multas por faltas de desempeño
Directriz detallada de auditoría (1 de n)DS2 GESTIONE LOS SERVICIOS DE TERCEROS
© ITG I 2004 not for com m ercial use. 81
TANTO LOS OBJETIVOS DE CONTROL DE ALTO NIVEL COMO LOS DETALLADOS SON AUDITADOS MEDIANTE:Evaluación de controles mediante:
:Considerando si (continuación):
: El contenido del contrato incluye por lo menos lo siguiente (continuación) ( cont i proceso de disolución proceso de modificación informes de servicio contenido, frecuencia, y distribución los roles de las partes contratantes durante la vida de contrato garantías de continuidad de que los servicios continuarán siendo proporcionados por el proveedor si endo
Directriz detallada de auditoría (1 de n)DS2 GESTIONE LOS SERVICIOS DE TERCEROS
© ITG I 2004 not for com m ercial use. 82
TANTO LOS OBJETIVOS DE CONTROL DE ALTO NIVEL COMO LOS DETALLADOS SON AUDITADOS MEDIANTE:Evaluación de controles mediante:
:Considerando si (continuación):
: El contenido del contrato incluye por lo menos lo siguiente (continuación) ( cont i proceso y frecuencia de comunicación entre el usuario de servicios y el proveedor duración del contrato dur aci nivel de acceso proporcionado al proveedor ni ve requisitos de seguridad equi garantías de confidencialidad ar an derecho de acceso y derecho de auditar
Directriz detallada de auditoría (1 de n)DS2 GESTIONE LOS SERVICIOS DE TERCEROS
© ITG I 2004 not for com m ercial use. 83
TANTO LOS OBJETIVOS DE CONTROL DE ALTO NIVEL COMO LOS DETALLADOS SON AUDITADOS MEDIANTE:
Evaluación de controles mediante:
Considerando si:C Se ha negociado los acuerdos de garantía de ser apropiado Los proveedores potenciales son calificados apropiadamente a través de una valoración de su capacidad de prestar el servicio requerido (diligencia debida)
Directriz detalladao de auditoría (1 de n)DS2 GESTIONE LOS SERVICIOS DE TERCEROS
© ITG I 2004 not for com m ercial use. 84
TANTO LOS OBJETIVOS DE CONTROL DE ALTO NIVEL COMO LOS DETALLADOS SON AUDITADOS MEDIANTE:Evaluación del cumplimiento mediante:� Probando que: P La lista de contratos, y los contratos reales existentes, es exacta Ningún servicio es proporcionado por proveedores que no están en la lista de contratos Los proveedores de los contratos están realmente ejecutando los servicios definidos La administración/propietarios del proveedor entienden sus responsabilidades en los contratos
Directriz detallada de auditoría (1 de n)DS2 GESTIONE LOS SERVICIOS DE TERCEROS
© ITG I 2004 not for com m ercial use. 85
TANTO LOS OBJETIVOS DE CONTROL DE ALTO NIVEL COMO LOS DETALLADOS SON AUDITADOS MEDIANTE:Evaluación del cumplimiento medianteE Probando que (continuación): : Las políticas y procedimientos que tienen que ver con las relaciones con terceras partes existen y son consistente con las políticas generales de la organización Existen políticas que tratan específicamente de la necesidad de contratos, definición del contenido de contratos, propietario o administrador de la relación responsable de asegurar que los contratos se creen, mantengan, supervisen y renegocien según sea requerido n
Directriz detallada de auditoría (1 de n)DS2 GESTIONE LOS SERVICIOS DE TERCEROS
© ITG I 2004 not for com m ercial use. 86
TANTO LOS OBJETIVOS DE CONTROL DE ALTO NIVEL COMO LOS DETALLADOS SON AUDITADOS MEDIANTE:Evaluación del cumplimiento medianteE Probando que (continuación): : Los contratos representan un registro exhaustivo y completo de relaciones tercerizadas con proveedores Se establecen contratos específicamente para continuidad de servicios, y que estos contratos incluyen el planeamiento de contingencia por el proveedor para asegurar el servicio continuo al usuario de servicios
Directriz detallada de auditoría (1 de n)DS2 GESTIONE LOS SERVICIOS DE TERCEROS
© ITG I 2004 not for com m ercial use. 87
TANTO LOS OBJETIVOS DE CONTROL DE ALTO NIVEL COMO LOS DETALLADOS SON AUDITADOS MEDIANTE:Evaluación del cumplimiento medianteE Probando que (continuación): : El contenido del contrato incluye por lo menos lo siguiente:El cont gestión formal y aprobación legal gest i ón entidad legal proveedora de servicios ent i dad servicios proporcionados ser vi ci acuerdos de nivel de servicios tanto cualitativos como cuantitativos cuant i t costo de servicios y frecuencia de pago de los servicios ost o d proceso de resolución de problemas pr oceso las multas por faltas de desempeño
Directriz detallada de auditoría (1 de n)DS2 GESTIONE LOS SERVICIOS DE TERCEROS
© ITG I 2004 not for com m ercial use. 88
TANTO LOS OBJETIVOS DE CONTROL DE ALTO NIVEL COMO LOS DETALLADOS SON AUDITADOS MEDIANTE:
Evaluación del cumplimiento mediante:
Probando que (continuación):
: El contenido del contrato incluye por lo menos lo siguiente (continuación) ( cont i proceso de disolución proceso de modificación informes de servicio contenido, frecuencia, y distribución los roles de las partes contratantes durante la vida del contrato garantías de continuidad de que los servicios continuarán siendo proporcionados por el proveedor si endo
Directriz detallada de auditoría (1 de n)DS2 GESTIONE LOS SERVICIOS DE TERCEROS
© ITG I 2004 not for com m ercial use. 89
TANTO LOS OBJETIVOS DE CONTROL DE ALTO NIVEL COMO LOS DETALLADOS SON AUDITADOS MEDIANTE:
Evaluación del cumplimiento mediante: El contenido del contrato incluye por lo menos lo siguiente (continuación) ( cont i proceso y frecuencia de comunicación entre el usuario de servicios y el proveedor duración del contrato nivel de acceso proporcionado al proveedor requisitos de seguridad garantías de confidencialidad derecho de acceso y derecho de auditar
Directriz detallada de auditoría (1 de n)DS2 GESTIONE LOS SERVICIOS DE TERCEROS
© ITG I 2004 not for com m ercial use. 90
TANTO LOS OBJETIVOS DE CONTROL DE ALTO NIVEL COMO LOS DETALLADOS SON AUDITADOS MEDIANTE:Evaluación del cumplimiento mediante:
Probando que (continuación): Los usuarios son conscientes y entienden la necesidad de las políticas de contratos y de los contratos para proporcionar servicios Existe independencia apropiada entre el proveedor y la organización Ocurre independencia de fuente de proveedor y de los procesos de selección Las listas de accesos de seguridad incluyen sólo el número mínimo de personal del proveedor requerido, y el acceso es el mínimo necesario
Directriz detallada de auditoría (1 de n)DS2 GESTIONE LOS SERVICIOS DE TERCEROS
© ITG I 2004 not for com m ercial use. 91
TANTO LOS OBJETIVOS DE CONTROL DE ALTO NIVEL COMO LOS DETALLADOS SON AUDITADOS MEDIANTE:Evaluación del cumplimiento mediante:
Probando que (continuación): : El acceso vía hardware y software a los recursos de la organización es administrado y controlado para minimizar el uso del proveedor El nivel real de servicio logrado se compara favorablemente con las obligaciones contractuales Las instalaciones de outsourcing, personal, operaciones y control aseguran el nivel requerido de desempeño comparable a lo esperado La administración realiza un monitoreo continuo de la entrega de servicio por terceros
Directriz detallada de auditoría (1 de n)DS2 GESTIONE LOS SERVICIOS DE TERCEROS
© ITG I 2004 not for com m ercial use. 92
TANTO LOS OBJETIVOS DE CONTROL DE ALTO NIVEL COMO LOS DETALLADOS SON AUDITADOS MEDIANTE:Evaluación del cumplimiento mediante:
Probando que (continuación): : Ocurren auditorías independientes de las operaciones del contratista Existen informes de valoración de terceras partes potenciales para evaluar su capacidad de entregar el servicio requerido Historia de actividad de litigación pasada y actual Las interfaces con agentes independientes involucrados en la conducción del proyecto se documentan en el contrato Los contratos con proveedores de Private Branch Exchange (PBX) se incluyen
Directriz detallada de auditoría (1 de n)DS2 GESTIONE LOS SERVICIOS DE TERCEROS
© ITG I 2004 not for com m ercial use. 93
TANTO LOS OBJETIVOS DE CONTROL DE ALTO NIVEL COMO LOS DETALLADOS SON AUDITADOS MEDIANTE:Fundamentando el riesgo de incumplimiento de los objetivos control mediante: o La ejecución de: L Benchmarking de servicios tercerizados contra los proporcionados por organizaciones similares o estándares internacionales apropiados /mejores prácticas reconocidas de la industria Una revisión detallada de cada contrato con terceros para determinar las provisiones cualitativas y cuantitativas que confirmen que las obligaciones están definidas
Directriz detallada de auditoría (1 de n)DS2 GESTIONE LOS SERVICIOS DE TERCEROS
© ITG I 2004 not for com m ercial use. 94
TANTO LOS OBJETIVOS DE CONTROL DE ALTO NIVEL COMO LOS DETALLADOS SON AUDITADOS MEDIANTE:Fundamentando el riesgo de incumplimiento de los objetivos control mediante:
Identificando: Provisiones que describen la coordinación y comunicación de la relación entre proveedor y usuario de los servicios de información Las facturas de terceros reflejan los cargos exactos por los servicios de los contratos seleccionados El enlace de la organización con los proveedores tercerizados asegura la comunicación de problemas del contrato entre las partes y usuarios de servicios El asesor legal y la dirección aprueban todos los contratos
Directriz detallada de auditoría (1 de n)DS2 GESTIONE LOS SERVICIOS DE TERCEROS
© ITG I 2004 not for com m ercial use. 95
TANTO LOS OBJETIVOS DE CONTROL DE ALTO NIVEL COMO LOS DETALLADOS SON AUDITADOS MEDIANTE:Fundamentando el riesgo de incumplimiento de los objetivos control mediante:
Identificando: Se realiza una valoración continuada de riesgo para confirmar la necesidad de la relación o la necesidad de modificar la relación Ocurre la revisión y la acción correctiva continua por parte de la dirección basada en informes de contratos Se compara la razonabilidad de los cargos con medidas de desempeño internas, externas y de industrias comparables Todos los servicios contratados tienen planes de contingencia establecidos, específicamente servicios de recuperación de desastres para la función de TI
Directriz detallada de auditoría (1 de n)DS2 GESTIONE LOS SERVICIOS DE TERCEROS
© ITG I 2004 not for com m ercial use. 96
TANTO LOS OBJETIVOS DE CONTROL DE ALTO NIVEL COMO LOS DETALLADOS SON AUDITADOS MEDIANTE:Fundamentando el riesgo de incumplimiento de los objetivos control mediante:
Identificando (conclusión): Para las funciones tercerizadas, las limitaciones claras o las oportunidades de mejorar desempeño o reducir los costos que existen Ocurre la implementación de recomendaciones resultado de las auditorías independientes del contratista
Directriz detallada de auditoría (1 de n)DS2 GESTIONE LOS SERVICIOS DE TERCEROS
© ITG I 2004 not for com m ercial use. 97
Cómo se enlazan los Directrices de Auditoría y los Objetivos de Control
Obtención de entendimientoObtención de entendimiento
Evaluación de apropiabilidadEvaluación de apropiabilidad
Evaluación de cumplimientoEvaluación de cumplimiento
Fundamentación del riesgoFundamentación del riesgo
Objetivos de control traducidos para verificar si son tratados y si se toma en cuenta su apropiabilidad para la empresa y las afirmaciones de la gerencia sobre su presencia
Objetivos de control traducidos para probar y/o medir si los controles de apoyo de los objetivos de control están presentes como se afirma y si operan satisfactoriamente
• Compilar información relacionada con procesos de negocios, riesgos, infraestructura, etc.
• Ilustrar objetivos de negocios incumplidos, pérdidas, etc, debido a la ausencia de control
© ITG I 2004 not for com m ercial use. 98
Negocio
Procesosde TI
Directrices de
Auditoría
Objetivosde
Control
Prácticas de
Control
Factores Críticos de Éxito
Indicadores Claves
de Desem peñ
o
IndicadoresClaves de M etas
M odelos de
M adurez
requerimientos información
medidas con
controlados por
implementad
con
auditados por
de desempe
ño
de resultados de madurez
hechos efectivos
y eficientes conse traducen en
= considera
Cómo se enlazan las directrices de Auditoría y los demás elementos de COBIT