cobit presentation package_sp

© ITGI 2004 - not for commercial use. 1

Introducción a COBIT

¿Por qué las TI necesitan de un ¿Por qué las TI necesitan de un

marco de control de Tlmarco de control de Tl??

¿Quién necesita de un marco de control de ¿Quién necesita de un marco de control de TITI??

¿Cómo y por qué se utiliza ¿Cómo y por qué se utiliza CCOBIOBIT?T?


¿Por qué las TI necesitan de un marco de control?

¿Alguna de estas condiciones le parece ¿Alguna de estas condiciones le parece familiar?familiar?

Incremento de la presión para aumentar la eficacia de la tecnología en las estrategias de negocios

Aumento de la complejidad de los entornos de TI

Infraestructuras de TI fragmentadas

Dificultades de comunicación entre los administradores de negocios y TI

Niveles de servicio decepcionantes de la función interna o tercerizada de TI

Disparada de los Costos de TI

Ganancias marginales en ROI/productividad de las inversiones en tecnología

Disminución de la flexibilidad y agilidad de cambio organizacional

Frustración de usuarios que desemboca en soluciones ad hoc


Aumento de la dependencia en la información y en los sistemas que producen esta información

Aumento de las vulnerabilidades y un amplio espectro de amenzas, tales como ciberamenazas y guerra de información

Tamaño y costo crecientes de las inversiones actuales y futuras en información y sistemas de información

La necesidad de cumplir con las regulaciones El potencial de las tecnologías de cambiar dramáticamente las

organizaciones y prácticas de negocios, crear nuevas oportunidades y reducir costos

Reconocimiento por muchas organizaciones de los beneficios potenciales que puede proporcionar la tecnología

Las organizaciones exitosas entienden y Las organizaciones exitosas entienden y gestionan los riesgos asociados con la gestionan los riesgos asociados con la implantación de nuevas tecnologíasimplantación de nuevas tecnologías



TI proporciona valor Costo, tiempo y funcionalidad son los

esperados

TI no da sorpresas Riesgos son mitigados

TI es innovadora Nuevas oportunidades e innovaciones de

procesos, productos y servicios


Para asegurar quePara asegurar que

La gerencia debe mantener las TI bajo La gerencia debe mantener las TI bajo controlcontrol..


Directorio y Ejecutivos de Primer Nivel• Para asegurar que la gerencia sigue e implanta la dirección

estratégica de las TI Gerencia

• Para tomar decisiones de inversión en TI• Para equilibrar el riesgo y la inversión en su control• Para evaluar el entorno actual y futuro de las TI

Usuarios• Para garantizar la seguridad y control de los productos y

servicios adquiridos interna o externamente Auditores

• Para sustentar opiniones a la gerencia sobre controles internos• Para recomendar los controles mínimos necesarios

¿Quién necesita de un marco de control?


Incorpora los principales estándares internacionales

Se ha convertido en el estándar de facto para el control total de las TI

Parte de los requeri-mientos de negocios

Está orientado a procesosIT ProcessesIT Processes

IT Management ProcessesIT Management Processes

IT Governance ProcessesIT Governance Processes

CobiTCobiTbest practices repository for

Procesos de TIGestión de Procesos de TIGovernance de Procesos de TI

COBITCOBITRepositorio de mejores prácticas

CCOBIOBIT es la respuesta a la necesidadT es la respuesta a la necesidad

¿Por qué y cómo se utiliza COBIT?


Ayuda sustancialmente a incrementar la aceptación y reducir el tiempo de implantación de programas de governance de TI

Proporciona una guía para auditorías / revisiones formales Ayuda en la utilización de resultados de auditoría como

oportunidad de mejoras Es un factor poderoso para lograr las metas primarias de

governance de TI: transformar prácticas organizacionales y mejorar procesos

Proporciona un marco económico de mejora continua Proporciona una fuente creíble de decisiones gerenciales sobre

controles Engancha y ayuda a los administradores de operaciones de TI con

su habilidad para discernir lo que los auditores quieren Es ideal para que las gerencias de negocios comuniquen sus

requerimientos y preocupaciones Es reconocido como una fuente confiable de referencia que

asegura la identificación de las principales áreas de riesgo Mejora la comunicación y relaciones con la administración de TI

Testimonios de Casos Testimonios de Casos EstudioEstudio



Para mejorar enfoques / programas de auditoría

Para apoyar el trabajo de auditoría con directrices detalladas

Proporcionar asistencia para la governance de TI

Como una referencia (benchmark) valiosa de control de SI/TI

Para mejorar los controles de SI/TI Para estandarizar enfoques / programas de

auditoría

Resultados de EncuestasResultados de Encuestas



El Marco COBIT

ElEl marco marco CCOBIOBIT T incluyeincluye::

Enfoque en el negocioEnfoque en el negocio

Orientación a Orientación a procesprocesosos

Recursos de Recursos de TTII


Parte de la premisa que TI debe proporcionar la información que la empresa necesita para lograr sus objetivos

Promociona enfoque y propiedad de procesos

Divide TI en 34 procesos que corresponden a cuatro dominios y proporciona objetivos de control de alto nivel para cada uno

Las necesidades empresariales fiduciarias, de calidad y seguridad se logran mediante siete criterios de información utilizados genéricamente para definir lo que el negocio requiere de TI

Se apoya en un conjunto de más de 300 objetivos de control detallados

Efectividad Eficiencia Disponibilidad Integridad Confidencialidad Fiabilidad Cumplimiento

Planificar y Organizar Adquirir e Implementar Prestar Servicios y Soporte Monitorizar y Evaluar

¿En qué consiste COBIT? :


“A fin de proporcionar la información que la organización necesita para lograr sus objetivos, los recursos de TI deben ser gestionados mediante un conjunto de procesos naturalmente agrupados”

Relacionado con requerimientos de negocios (expresados como criterios de información)

Ligado con procesos de negocios Faculta a los propietarios del negocio Descompone TI en cuatro dominios y 34

procesos Dominios: (planificar-construir-ejecutar) +

monitorizar Control, auditoría, gestión de

implementación y desempeño estructurados por proceso

Neg

ocio

s P

rocesos

Orientación a Negocios y Enfoque de Procesos

IT IT ProcessesProcesses

BusinessRequirements

IT IT ResourcesResources

IT IT ProcessesProcesses


IT IT ResourcesResources


Definición del Marco de COBIT

“Para proporcionar la información que la empresa necesita para lograr sus objetivos,

los recursos de TI deben gestionarse mediante un conjunto de procesos naturalmente agrupados.”

IT Processes


IT Resources

IT Processes


IT Resources

IT RESOURCESIT RESOURCESIT RESOURCES

IT PROCESSESIT PROCESSESIT PROCESSES

BUSINESSREQUIREMENTS

BUSINESSBUSINESS

REQUIREMENTSREQUIREMENTS




BUSINESSBUSINESS





BUSINESSBUSINESS


Una orientación de procesos es un enfoque de gestión probado para Una orientación de procesos es un enfoque de gestión probado para ejercer eficientemente las responsabilidades, lograr las metas ejercer eficientemente las responsabilidades, lograr las metas establecidas y gestionar razonablemente los riesgosestablecidas y gestionar razonablemente los riesgos

POR QUÉPOR QUÉPOR QUÉPOR QUÉ


RequRequeerriimmiiententooss de de CalidadCalidad• Calidad • Entrega• Costo

RequiremRequiremiiententooss de de SeSegguriuridaddad • Confidencialidad• Integridad• Disponibilidad

RequRequeerriimmiiententooss FiduciarFiduciariosios (Informe COSO)• Efectividad y eficiencia de

operaciones• Cumplimiento de leyes y

regulaciones • Fiabilidad de información

finaciera

Efectividad

Eficiencia

Confidencialid

ad

Integridad

Disponibilidad

Cumplimiento

Fiabilidad de la

información

Requerimientos de NegociosIT Processes


IT Resources

IT Processes


IT Resources


Efectividad –Se relaciona con la relevancia y pertinencia de la información para el proceso de negocios así como también con su entrega de manera oportuna, correcta, consistente y utilizableEficiencia –Se relaciona con la provisión de información mediante la óptima (más productiva y economica) utilización de los recursosConfidencialidad –Se relaciona con la protección de información sensible para evitar su divulgaciónIntegridad –Se relaciona con la exactitud y compleción de la información así como su validez de acuerdo con el conjunto de valores y expectativas del negocioDisponibilidad –Se relaciona con la disponibilidad de la información cuando sea requerida por el proceso de negocios, y por ende con la protección de los recursosCumplimiento –Trata del cumplimiento de leyes, regulaciones y contratos a que están sujetos los procesos de negocios, es decir, con criterios de negocios externamente impuestosFiabildad de la información –Se relaciona con que los sistemas provean a la gerencia de información apropiada para la operación de la entidad, proporcionen información financiera a quienes la requieran e información a los organismos reguladores relacionada con el cumplimiento de leyes y regulaciones

Requerimientos de NegociosIT Processes


IT Resources

IT Processes


IT Resources


Procesos

Una serie de actividades conjuntas con puntos de control naturales

Actividades o Tareas

Acciones requeridas para lograr un resultado medible. Las actividades tiene un ciclo de vida, mientras que las tareas son discretas

Dominios

Agrupamiento natural de procesos, a menudo coincidente con un dominio organizacional de responsabilidades

Orientación de ProcesosIT Processes


IT Resources

IT Processes


IT Resources


Dominios de TI

• Planificar yOrganizar

• Adquirir e Implementar

• Prestar Servicios y Soporte

• Monitorizar y Evaluar

Procesos de TI • Estrategia de TI• Operaciones • Manejo de incidencias• Pruebas de aceptación• Gestión de cambios• Planes de contingencia• Gestión de problemas

Actividades• Registrar nuevo problema• Analizar• Proponer solución• Monitorizar solución• Registrar problema conocido• Etc.

Agrupamiento natural de procesos, a menudo coincidente con un dominio organizacional de responsabilidad

Una serie de actividades conjuntas con puntos naturales de control Acciones requeridas para

lograr un resultado medible. Las actividadeies tiene un ciclo de vida, mientras que las tareas son discretas



IT Resources

IT Processes


IT Resources


Descripción Este dominio incluye estrategias y tácticas, y se relaciona con la

identificación de cómo las TI pueden contribuir mejor al logro de los objetivos de negocios. Además, la consecución de la visión estratégica necesita ser planificada, comunicada y gestionada desde diferentes perspectivas. Finalmente, debe existir una organización apropiada y una infraestructura tecnológica

Tópicos Estrategias y tácticas Visión planificada Organización e infraestructura

Preguntas ¿Están alineadas las estrategias de negocios y TI? ¿Está la empresa utilizando óptimamente sus recursos? ¿Todos en la organización comprenden los objetivos de TI? ¿Se comprenden y gestionan los riesgos de TI? ¿Es la calidad de los sistemas de Ti apropiada para las necesidades de

negocios?

D

om

inio

s

Orientación de Procesos Planificar y Planificar y OrganizarOrganizar

IT Processes


IT Resources

IT Processes


IT Resources


PO1 Definir un plan estratégico de

tecnologías de información PO2 Definir la arquitectura de información PO3 Determinar la dirección tecnológica PO4 Definir la organización y relaciones de TI PO5 Administrar las inversiones en tecnología de

información PO6 Comunicar las metas y dirección de la gerencia PO7 Administrar recursos humanos PO8 Asegurar cumplimiento de requerimientos externos PO9 Evaluar riesgos PO10 Gestionar proyectos PO11 Gestionar calidad

.

Orientación de Procesos Planificar y Planificar y OrganizarOrganizar


Adquirir e ImplementAdquirir e Implementar Descripción Para ejecutar la estrategia de TI, las soluciones de TI deben ser identificadas,

desarrolladas o adquiridas, así como implementadas e integradas con el proceso de negocios. Además, este dominio cubre los cambios y mantenimiento de los sistemas existentes para asegurar el cumplimiento del ciclo de vida de los sistemas.

Tópicos Soluciones de TI Cambios y mantenimiento

Preguntas ¿Los nuevos proyectos entregarán soluciones que atiendan las

necesidades de negocios? ¿Se terminarán puntualmente los nuevos proyectos respetando su

presupuesto? ¿Trabajará apropiadamente el nuevo sistema al ser implementado? ¿Se harán los cambios sin alterar las operaciones actuales de negocios?

D

om

inio

s



IT Resources

IT Processes


IT Resources


AI1 Identificar soluciones automatizadas

AI2 Adquirir y mantener software de aplicaciones

AI3 Adquirir y mantener infraestructura tecnológica

AI4 Desarrollar y mantener procedimientos de TI

AI5 Instalar y acreditar sistemas

AI6 Gestionar cambios

Orientación de Procesos

Adquirir e ImplementAdquirir e Implementar


Descripción Este dominio se encarga de la prestación real de los servicios requeridos, que

varían desde operaciones tradicionales, seguridad, aspectos de continuidad hasta entrenamiento. Para prestar servicios, deben establecerse los procesos necesarios de apoyo. Este dominio incluye el procesamiento real de los datos por las aplicaciones de sistemas, a menudo clasificado como controles de aplicaciones.

Tópicos Prestación de los servicios requeridos Establecimiento de procesos de apoyo Procesamiento mediante las aplicaciones de sistemas

Preguntas ¿Los servicios de TI se proporcionan de acuerdo con las prioridades de

negocios? ¿Están optimizados los costos de TI? ¿La fuerza de trabajo tiene la habilidad de usar los sistemas de TI

productiva y seguramente? ¿Se cuenta con seguridad, integridad y disponibilidad adecuadas?

D

om

inio

s

Orientación de Procesos Prestar Servicios y SoportePrestar Servicios y Soporte

IT Processes


IT Resources

IT Processes


IT Resources


DS1 Definir y administrar niveles de servicio DS2 Administrar servicios de terceros DS3 Administrar desempeño y capacidad DS4 Asegurar continuidad del servicio DS5 Garantizar seguridad de los sistemas DS6 Identificar y asignar costos DS7 Educar y entrenar usuarios DS8 Apoyar y asistir a los clientes de TI DS9 Administrar configuración DS10 Administrar problemas e incidencias DS11 Administrar datos DS12 Administrar instalaciones DS13 Administrar operaciones


Prestar servicios y Prestar servicios y MantenerMantener


Descripción La calidad y el cumplimiento de los requerimientos de control de todos los

processes de TI deben ser periódicamente evaluados. Este dominio, en consecuencia, trata de la supervisión por gerencia del proceso de control de la organización y la garantía independiente proporcionada por auditorías internas o externas u obtenidas de fuentes alternativas.

Tópicos Evaluación periódica, prestación de garantías Supervisión gerencial del sistema de control Medición de desempeño

Preguntas ¿Puede ser medido el desempeño de TI y pueden detectarse los

problemas antes de que sea demasiado tarde? ¿Se necesita garantía independiente para asegurar que las áreas

críticas funcionan de la manera pretendida?

D

om

inio

s

Orientación de Procesos Monitorizar y Monitorizar y EvaluarEvaluar

IT Processes


IT Resources

IT Processes


IT Resources


M1 Monitorizar los procesosM2 Evaluar la adecuación del control internoM3 Obtener aseguramiento independienteM4 Proporcionar auditoría independiente


Monitorizar y EvaluarMonitorizar y Evaluar


Datos: Objetos de datos en su sentido más amplio, i.e., externos e internos, estructurados y no estructurados, gráficos, sonido, etc.

Aplicaciones de Sistemas: Entendidas como la suma de procedimientos manuales y programados

Tecnología: Incluye hardware, sistemas operativos, sistemas de gestión de base de datos, redes, multimedia, etc.

Instalaciones: Recursos que alojan y soportan los sistemas de informacion

Gente: Habilidades del staff, conciencia y productividad para planificar, organizar, adquirir, prestar, apoyar, monitorizar y evaluar sistemas y servicios de información

Recursos de TIIT Processes


IT Resources

IT Processes


IT Resources


Procesos de TI

Procesos de TI

Recursosde TI

Recursosde TI

RequerimientosNegocios

RequerimientosNegocios

Datos Aplicaciones

de Sistemas Tecnología Instalaciones Gente

Planificar y Organizar

Adquirir e Implementar

Prestar Servicios y Soporte

Monitorizar y Evaluar

Efectividad Eficiencia Confidencialidad Integridad Disponibilidad Cumplimiento Fiabilidad de la

información

¿Cómo se relacionan?IT Processes


IT Resources

IT Processes


IT Resources


IT Processes

IT Processes

IT Resources

IT Resources

Business Requirements


Data Application

systems Technology Facilities People

Plan and Organise Aquire and

Implement Deliver and

Support Monitor and

Evaluate

Effectiveness Efficiency Confidentiality Integrity Availability Compliance Information

reliability

Como se organiza Como se organiza TI para responder a TI para responder a los requerimientoslos requerimientos

Como se organiza Como se organiza TI para responder a TI para responder a los requerimientoslos requerimientos

Lo que los Lo que los accionistas accionistas

esperan de TIesperan de TI

Lo que los Lo que los accionistas accionistas

esperan de TIesperan de TI

Los recursos Los recursos disponibles y disponibles y

acumulados por TIacumulados por TI

Los recursos Los recursos disponibles y disponibles y

acumulados por TIacumulados por TI


PO1 Definir un plan estratégico de TIPO2 Definir la arquitectura de informaciónPO3 Determinar la dirección tecnológicaPO4 Definir la organización y relaciones de TIPO5 Administrar la inversión de TIPO6 Comunicar las metas y dirección de la gerenciaPO7 Administrar recursos humanosPO8 Asegurar cumplimiento de requerimientos externosPO9 Evaluar riesgosPO10 Administrar proyectosPO11 Administrar calidad

AI1 Identificar soluciones automatizadasAI2 Adquirir y mantener software de aplicacionesAI3 Adquirir y mantener infraestructura tecnológicaAI4 Desarrollar y mantener procedimientos de TIAI5 Instalar y acreditar sistemasAI6 Administrar cambios

M1 Monitorizar los procesosM2 Evaluar adecuación del control internoM3 Obtener aseguramiento independienteM4 Proveer de auditoría independiente

DS1 Definir niveles de servicioDS2 Administrar servicios de tercerosDS3 Administrar desempeño y capacidadDS4 Asegurar continuidad de servicioDS5 Garantizar seguridad de sistemas DS6 Identificar y asignar costosDS7 Educar y entrenar usuariosDS8 Apoyar y asistir a clientes de TIDS9 Administrar la configuraciónDS10 Administrar problemas e incidentesDS11 Administrar datosDS12 Administrar instalacionesDS13 Administrar operaciones

RECURSOS DE TI

RECURSOS DE TI

• Datos• Aplicaciones• Tecnología• Instalaciones• Gente

• Datos• Aplicaciones• Tecnología• Instalaciones• Gente PLANIFICAR Y

ORGANIZARPLANIFICAR Y

ORGANIZAR

ADQUIRIR EIMPLEMENTAR


PRESTAR SERV Y SOPORTE


• Efectividad• Eficiencia• Confidencialidad• Integridad• Disponibilidad• Cumplimiento• Fiabilidad


Criterios

Objetivos de NegociosMarco deCOBIT

MONITORIZAR Y EVALUAR


PROCESOSDE NEGOCIOS

PROCESOSDE NEGOCIOS

INFORMACIÓNINFORMACIÓN



Criterios

COBITCOBIT

RECURSOS DE TI

RECURSOS DE TI

• Datos• Aplicación de sistemas• Tecnología• Instalaciones• Gente

• Datos• Aplicación de sistemas• Tecnología• Instalaciones• Gente PLANIFICAR

Y ORGANIZARPLANIFICAR

Y ORGANIZAR





Marco deCOBIT

Para Para proporcionar la proporcionar la información que información que la organización la organización necesita para necesita para

lograr sus lograr sus objetivosobjetivos, , los los recursos de TI recursos de TI

deben ser deben ser administrados administrados

por un conjunto por un conjunto de procesos de procesos

naturalmente naturalmente agrupadosagrupados

MONITORIZARY EVALUAR


Resumen hasta el momento TI es indispensable para la supervivencia y crecimiento de

las empresas. La gerencia es responsable del control. Dicha responsabilidad requiere de un marco:

Los requerimientos de negocio pueden ser expresados como criterios de información.TI generalmente es organizada como un conjunto de procesos.TI requiere de un conjunto de recursos.

COBIT es un estándar aceptado internacionalmente

Para proporcionar la información que la Para proporcionar la información que la organización necesita para lograr sus objetivosorganización necesita para lograr sus objetivos, , los recursos de TI deben ser administrados porlos recursos de TI deben ser administrados por un un conjunto naturalmente agrupado de procesosconjunto naturalmente agrupado de procesos

Marco de COBIT


El Cubo COBIT


Dominios TI

Rec

urso

s TI

Criterios deInformación

Planificar yOrganizar

Adquirir e Implementar

Entregar y Mantener

Monitorizar y Evaluar

Gente

Aplicca

ción

Tecno

logía

Instal

acion

esDao

sa

Efect

ivida

d

Eficien

cia

Confid

encia

lidad

Inte

grida

d

Dispon

ibilid

ad

Cumpli

mien

to

Fiabilid

ad

SS PP

Ayudas de Navegación

Cubo COBIT


ResumeResumenn

ProcesProcesoos, s, CriteriCriterios yos y ReReccurursososs


Efe

ctiv

idad

Efic

ienc

iaC

onfid

enci

alid

ad

Inte

grid

adD

ispo

nibi

lidad

Cum

plim

ient

oFi

abili

dad

Gen

teA

plic

acio

nes

Tecn

olog

íaIn

stal

acio

nes

Dat

os

Dominio ProcesoAdquirir eImplementar

AI1 Identificar soluciones automatizadas P S AI2 Adquirir y mantener software de aplicacines P P S S S AI3 Adquirir y mantener infraestructura tecnológica P P S AI4 Desarrollar y mantener procedimientos P P S S S AI5 Instalar y acreditar sistemas P S S AI6 Administrar cambios P P P P S

COBIT Resumen de Procesos, Criterios y Recursos

AI6


Tarea

El proceso CEl proceso COBIOBIT más importanteT más importante

““En un negocio con el cual esté En un negocio con el cual esté familiarizadofamiliarizado, , ¿cuál sería¿cuál sería el el procesproceso de TI o de TI

mmásás important importantee? ? ¿Por qué¿Por qué?”?”


Productos COBIT Importantes

Objetivos de Control—Objetivos de Control—““Los controles mínimos Los controles mínimos son...”son...”

Directrices Gerenciales—Directrices Gerenciales—““Así es como se mide…”Así es como se mide…”

Directrices de Auditoría—Directrices de Auditoría—““Así es como se audita...”Así es como se audita...”


Definiciones de Control y Objetivos de Control

Las políticas, procedimientos, prácticas y estructuras organizacionales diseñadas para proporcionar certeza razonable de la consecución de los objetivos de negocios y prevención, detección o corrección de eventos indeseables

Definición de Definición de ControlControl

Definición de Definición de Objetivo de Objetivo de

Control de TIControl de TI

Un enunciado del resultado deseado o propósito a lograr mediante la implementación de prácticas de control en una actividad particular de TI


Objetivo de control de alto nivel• Uno por proceso

Objetivos de control detallados• De tres a 30 por proceso

Prácticas de control• De cinco a siete por objetivo de control

Objetivos de Control y Prácticas de Control


El control de

Procesos de TI que satisfacen

es habilitado porEnunciados

de Control que consideranPrácticas de

Control

El Modelo de Cascada

4 Domin4 Dominioios - 34 Process - 34 Procesoos - 318 Objetivs - 318 Objetivoos s de de ControlControl

Requerimientosde negocios


AI6AI6 Administrar cambiosAdministrar cambios

La administración de cambios a los programas de computador es necesaria para asegurar la integridad de procesamiento entre versiones, y la consistencia de resultados entre períodos. Los cambios deben ser formalmente administrados vía controles de solicitud de cambio, evaluación de impacto, documentación, políticas y procedimientos de autorización, liberación, y distribución

Objetivo de Control de Alto Nivel


AI6Objetivo de Control de Alto Nivel


AI6 Administrar cambios

6.1 Solicitud de inicio de cambio y controlLa administración de TI debe asegurar que todas las solicitudes de cambios, mantenimiento de sistemas y mantenimiento de proveedores sean estandarizadas y sujetas a procedimientos formales de administración de cambios. Los cambios deben ser categorizados y priorizados, y debe haber procedimientos específicos para manejar cambios de urgencia. Los solicitantes de cambios deben ser informados del estado de su solicitud.6.2 Evaluación de impactoDebe existir un procedimiento para asegurar que todas las solicitudes de cambio son evaluadas de manera estructurada para determinar todos los posibles impactos sobre el sistema operacional y su funcionalidad

6.3 Control de cambiosLa administración de TI debe asegurar que la administración de cambios y el control y distribución del software están integradas apropiadamente con un sistema comprehensivo de gestión de configuración. El sistema utilizado para monitorizar los cambios a las aplicaciones de sistemas debe ser automatizado para apoyar el registro y seguimiento de cambios hechos en sistemas de información grandes y complejos.

6.4 Cambios de emergenciaLa administración de TI debe establecer parámetros de definición de cambios de emergencia y procedimientos para controlar estos cambios cuando obvien el proceso normal de evaluación técnica, operacional y administrativa previo a su implementación. Los cambios de emergencia deben ser registrados y autorizados por la administración de TI antes de ser implementados.

Objetivos de Control Detallados


Objetivos de Control Detallados

AI6 Administrar Cambios (continución)

6.5 Documentación y procedimientosEl proceso de cambios debe asegurar que, cada vez que se implementan cambios en el sistema, la documentación y procedimientos asociados son documentados consiguientemente.

6.6 Mantenimiento autorizadoLa administración de TI debe asegurar que el personal de mantenimiento tiene tareas específicas y su trabajo es apropiadamente monitorizado. Además, sus derechos de acceso al sistema deben ser controlados para evitar riesgos de acceso no autorizados a los sistemas automatizados.

6.7 Política de liberación de softwareLa administración de TI debe asegurar que la liberación de software se controla con procedimientos formales—garantiza corte, empaquetado, pruebas de regresión, instalación, etc.

6.8 Distribución de softwareDebe establecerse medidas específicas de control interno para asegurar la distribución del elemento correcto de software, al lugar correcto, con integridad, oportunamente y con pistas de auditoría adecuadas.


COBIT

AI6Objetivosde Control Detallados


Prácticas de control. Son mecanismos claves de control que apoyan:• El logro de los objetivos de control• La prevención, detección y corrección de eventos

indeseables Prácticas de control. Logran lo anterior

mediante:• Utilización responsable de recursos• Administración apropiada de riesgos • Alineación de TI con el negocio

Traducen los objetivos de control de CTraducen los objetivos de control de COBIOBIT en prácticas T en prácticas detalladas e implementables y proporcionan la argumentación detalladas e implementables y proporcionan la argumentación de negocios para su implementación, a partir de una de negocios para su implementación, a partir de una perspectiva de valor y riesgosperspectiva de valor y riesgos

Prácticas de Control


1. La administración define parámetros, características y procedimientos que identifican y declaran emergencias.

2. Todos los cambios de emergencia son documentados, sino antes, después de la implementación.

3. Todos los cambios de emergencia son probados, sino antes. después de la implementación.

4. Todos los cambios de emergencia son formalmente autorizados por el propietario del sistema y la administración antes de su implementación.

5. Imágenes antes y después así como logs de intervención se guardan para revisión subsiguiente.

El control de cambios de emergen-cia mediante la implementación de prácticas control: Asegurará que los procedi-mientos de emergencia se usen solo en emergencias declaradas Asegurará que los cambios urgentes se implementen sin comprometer la integridad, disponibilidad, fiabilidad, seguridad, confidencialidad o exactitud

AI6 Administrar cambiosAI6 Administrar cambiosAI6.4 Cambios de emergenciaAI6.4 Cambios de emergenciaLa administración de TI debe establecer parámetros de definición de cambios de emergencia y procedimientos para controlar estos cambios cuando obvien el proceso normal de evaluación técnica, operacional y administrativa previo a su implementación. Los cambios de emergencia deben ser registrados y autorizados por la administración de TI antes de ser implementados.

Prácticas de Control ¿Por qué se ejecutan?





Directrices Gerenciales—Directrices Gerenciales—““Así es como se mide…”Así es como se mide…”

Directrices de Auditoría—Directrices de Auditoría—““Así es como se audita...”Así es como se audita...”


Modelo de Governance de TI

Governance de TI ayuda a determinar la manera en que los sistemas automatizados :• Simplifican operaciones• Reducen costos• Aumentan las utilidades

Requiere de un marco de control de TI


¿Cómo se enlaza COBIT con Governance de TI?

Metas ResponsabilidadesObjetivos de control

Requerimientos

NegocioNegocio TITI GovernanceGovernance

Información que el negocio necesita para lograr sus

objetivos

Información que los Ejecutivos y

Directorio necesitan para

ejercer sus responsabilidades

Dirección y Recursos


Governance de TIGovernance de TI

Metas ResponsabilidadesObjetivos de Control

Requerimientos

Negocio ITTI Governance

Información quenegocio necesita paralograr sus objetivos

Dirección(Estrategia de TI y Políticas)

Información(Control de TI, Riesgos

y Seguridades)

¿Cómo se enlaza COBIT con Governance de TI?


Sin embargo, la gerencia tiene preguntas que sobrepasan el marco

de control:¿Cómo "mantiene el curso de la nave"

un gerente responsable?

TABLERO DE CONTROL

¿Cómo lograr resultados satisfactorios para elmayor segmento posible de nuestros stakeholders?

SCORECARDS

¿Cómo adaptar oportunamente la organizacióna las tendencias y desarrollos en el entorno de la empresa?

BENCHMARKING

¿Indicadores?¿Indicadores?

¿Medidas?¿Medidas?

¿Escalas?¿Escalas?

Directrices Gerenciales


Control Statements

Control Practices

is enabled by

and considers

IT Processes

The control of


which satisfy

Descripción de Procesos

Factores Críticos de Éxito (CSF)

Indicadores Claves de Metas (KGI)

Indicadores Claves de Desempeño (KPI)

Criterios deInformación

Recursos

00 - No se aplican procesos de administración.

11 - Procesos son ad hoc y desorganizados.22 - Procesos siguen un patrón regular.33 - Procesos se documentan y comunican.44 - Procesos se monitorizan y miden.55 – Se siguen las mejores prácticas y se

automatizan.

Modelo de Madurez

Marco de Directrices Gerenciales


Describen el resultado del proceso (i.e., medibles después del hecho); son medidas de “qué,” y pueden describir el impacto de no lograr la meta del proceso

Son indicadores del éxito del proceso y su contribución al negocio

Se enfocan en las dimensiones cliente y financiera del balanced scorecard

Indicadores Claves de Metas, KGI

Control Statements

Control Practices

is enabled by

and considers

IT Processes

The control of


which satisfy

Definiciones


Nivel incrementado de entrega de servicio Número de clientes y costo por cliente atendido Disponibilidad de sistemas y servicios Ausencia de riesgos de integridad y confidencialidad Eficiencia de costos de procesos y operaciones Confirmación de fiabilidad y efectividad Adherencia a costos y cronograma de desarrollo Eficiencia de costos del proceso Productividad y moral del staff Número de cambios oportunos a procesos y sistemas Productividad mejorada (e.g., producción de valor por

empleado)

Indicadores Claves de Metas, KGI

Ejemplos


Son medidas de “cuán bien” se desempeña un proceso

Predicen la probabilidad de éxito o fracaso (lead indicators)

Se enfocan en las dimensiones de proceso y aprendizaje del balanced scorecard

Se expresan en términos precisos y medibles

Deben servir para mejorar el proceso de TI

Indicadores Claves de Desempeño, KPI

Control Statements

Control Practices

is enabled by

and considers

IT Processes

The control of


which satisfy

Definiciones


• Número de clientes de TI

• Costo por cliente de TI• Costo eficiencia de los

procesos de TI• Entrega de valor de TI

por empleado

Información

• Disponibilidad de sistemas y servicios

• Desarrollos a tiempo y dentro de presupuesto

• “Throughput” y tiempos de respuesta

• Cantidad de errores y reproceso

• Nivel de servicio entregado

• Satisfacción de los clientes existentes

• Número de nuevos clientes logrados

• Número de nuevos canales de servicio

FFinanciera

ClienteCliente

• Productividad y moral del staff

• Número de staff entrenados en nuevas tecnologías / servicios

• Entrega de valor por empleado

• Disponibilidd aumentada de sistemas de conocimiento

AprendizajeAprendizaje

PProceso

Indicadores Claves de Desempeño, KPI

Ejemplos


Son las cosas más importantes que hacer para incrementar la probabilidad de éxito del proceso

Son características observables—a menudo medibles—de la organización y proceso

Se enfocan en obtener, mantener y potenciar capacidades, habilidades y comportamiento

Factores Críticos de Éxito, CSF

Control Statements

Control Practices

is enabled by

and considers

IT Processes

The control of


which satisfy

Definiciones


Son lineamientos de implementación dirigidos a la gerencia e identifican las cosas más importantes que hacer estratégica, técnica, organizacional o procedimentalmente

Ejemplos de CSFs incluyen:

Los procesos de TI son definidos y alineados con las estrategias de TI y los objetivos de negocios

Los clientes del proceso y sus expectativas son conocidos

Los procesos son escalables y sus recursos son gestionados y desplegados apropiadamente

Factores Críticos de Éxito, CSF

Definiciones (cont.)


• El plan estratégico de TI claramente enuncia una posicion de riesgo tal como uso de la tecnología de punta o tecnología probada, innovador o seguidor, con el consiguiente equilibrio entre tiempo para mercadear, costo de propiedad y calidad de servicio.

• Si no está listo para hacer cumplir la política, no la emita.

• Un programa de permisos de construcción para construir sistemas de TI y un programa de “licencias de conducir” para los constructores

• Un buen plan de seguridad demora en evolucionar.

EstrategiaEstrategia

PolíticaPolítica

CumplimientoCumplimiento

SeguridadSeguridad

Ejemplos

Factores Críticos de Éxito


Se refieren a los requerimientos de negocios (KGI en inglés) y a los aspectos habilitadores (KPI en inglés) en los diferentes niveles

Son una escala que se presta a comparaciones prácticas, que permite medir fácilmente la diferencia

Son reconocibles como un perfil de la empresa con relación a governance y control de TI

Asisten en determinar como están y como serán las posiciones relativas a governance y control de madurez y en analizar la brecha

No son específicos de cada industria ni aplicables con generalidad. La naturaleza del negocio determina cual es un nivel apropiado

Modelos de Madurez

Definiciones


0 1 2 3 4 5

Inexistente Inicial Repetible Definido Administrado Optimizado

Status actual de la empresa

Lineamientos estándares internacionales

Mejores prácticas de la industria

Estrategia empresarial

Leyenda de Símbolos Usados Leyenda de Escala Usada

0 – No se aplica la administración de procesos1 - Procesos son ad hoc y desorganizados2 - Procesos siguen un patrón regular3 - Procesos se documentan y comunican.4 - Processes se monitorizan y miden5 – Se siguen las mejores prácticas y se automatizan

Modelos de Madurez

Uso


AI6Directrices

Gerenciales




Lineamientos de Lineamientos de Gerenciales—Gerenciales—““Así es como se mide…”Así es como se mide…”

Directrices de AuditoríaDirectrices de Auditoría——““Así es como se Así es como se audita...”audita...”


Proporcionar a la gerencia seguridad razonable del cumplimiento de los objetivos de control

Donde existan debilidades significativas de control, fundamentar los riesgos resultantes

Proponer a la gerencia las acciones correctivas

Objetivos de la Auditoría

““¿¿Estoy bien? Y, si no, ¿cómo lo Estoy bien? Y, si no, ¿cómo lo arreglo? arreglo? ”” ““¿¿Estoy bien? Y, si no, ¿cómo lo Estoy bien? Y, si no, ¿cómo lo arreglo? arreglo? ””


Estructura del Proceso de Auditoría

Identificación y

Documentación

Identificación y

DocumentaciónEvaluaciónEvaluación Pruebas de

CumplimientoPruebas de

CumplimientoPruebasPruebas

SustantivasSustantivasPruebasPruebas

SustantivasSustantivas


Un proceso de TI es auditado mediante:

• Obtención de entendimientoObtención de entendimiento de los riesgos relacionados con los requerimientos de negocios y medidas de control relevantes

• Evaluación de lo apropiadoEvaluación de lo apropiado de los controles establecidos

• Evaluación de cumplimientoEvaluación de cumplimiento probando si los controles establecidos trabajan según lo prescrito, consistente y continuamente

• Fundamentación del riesgoFundamentación del riesgo de los objetivos de control incumplidos mediante técnicas analíticas y/o consultando fuentes alternativas


Una directriz genérica y Una directriz genérica y 34 directrices orientadas a procesos34 directrices orientadas a procesos

Una directriz genérica identifica varias tareas a realizar para evaluar cualquier objetivo de control de un proceso. Esta directriz genérica es un modelo para todos los objetivos de control

Otros, son específicos, sugerencias de tareas orientadas a procesos para proporcionar seguridad a la gerencia de que existe un control con un nivel razonable de efectividad

COBIT Directrices de Auditoría


Obtención de entendimientoLos pasos de auditoría a ejecutar para documentar las actividades subyacentes a los objetivos de control e identificar las medidas/procedimientos de control establecidos

Entreviste a las gerencias apropiadas y staff para obtener y adquirir un entendimiento de:

• Requerimientos de negocios y riesgos asociados• Estructura de la organización• Roles y responsabilidades• Políticas y procedimientos• Leyes y regulaciones• Medidas de control establecidas• Informes gerenciales (status, desempeño, acciones)

Documente los recursos de TI relacionados con procesos particularmente afectados por el proceso en revisión Confirme el entendimiento del proceso en revisión, las implicancias de control, e.g., mediante un recorrido del proceso

Directriz Genérica de Auditoría (1 2 3 4)


Evaluación de ControlesLos pasos de auditoría a ejecutar con miras a evaluar la efectividad de los controles establecidos o el grado de cumplimiento de los objetivos de control

Evalúe lo apropiado de las medidas de control del proceso en revisión mediante la consideración de criterios identificados, practicas estándares de la industria y aplicación de juicio profesional. Determine si:

• Existe un proceso documentado • Existen entregables apropiados • La responsabilidad y rendición de cuentas son claras y efectivas • Existen controles compensatorios en caso necesario

Concluya señalando el grado de cumplimiento de los objetivos de control



Evaluación de CumplimientoLos pasos de auditoría a ejecutar para asegurar que las medidas de control establecidas trabajan según lo prescrito, consistente y continuamente

Obtenga evidencia directa o indirecta de ítems/períodos seleccionados para asegurar que los procedimientos se han cumplido en el período de revisión, empleando tanto evidencia directa como indirecta

Ejecute una limitada revisión de lo adecuado de los entregables del proceso

Determine el nivel de pruebas sustantivas y trabajo adicional necesarios para proporcionar seguridad de que el proceso de TI es adecuado.



Fundamentación del RiesgoLos pasos de auditoría a ejecutar para fundamentar el riesgo de no cumplimiento del objetivo de control mediante el uso de técnicas analíticas y/o consulta de fuentes alternativas

Documente las debilidades de control y las correspondientes amenazas y vulnerabilidades.

Identifique y documente el impacto actual y potencial



OBJETIVOS DE CONTROL1. Interfaces con proveedores 2. Relaciones con propietarios 3. Contratos con terceros 4. Calificaciones de terceros 5. Contratos de tercerización 6. Continuidad de servicio 7. Relaciones de seguridad 8. Monitoreo

Directriz Detallada de Auditoría (1 de n)DS2 Administración de servicios prestados por terceros


TANTO LOS OBJETIVOS DE CONTROL DE ALTO NIVEL COMO LOS DETALLADOS SON AUDITADOS MEDIANTE:Obtención de entendimiento por medio de: Entrevistas

El jefe de TI La dirección senior de TIEl administrador de contratos/niveles de servicio de TI La dirección de producción de TI El oficial de seguridad

Directriz detallada de auditoría (1 de n)DS2 Administración de servicios prestados por terceros


TANTO LOS OBJETIVOS DE CONTROL DE ALTO NIVEL COMO LOS DETALLADOS SON AUDITADOS MEDIANTE:Obtención de entendimiento por medio de: La obtención de: Políticas y procedimientos aplicables a toda la organización relacionadas con los servicios comprados y, en particular, las relaciones con terceros Políticas y procedimientos de TI relacionadas con: relaciones con terceros, procedimientos de selección de proveedores, contenido del contrato de tales relaciones, seguridad física y lógica, mantenimiento de calidad de proveedores, planeamiento de contingencia y tercerización



TANTO LOS OBJETIVOS DE CONTROL DE ALTO NIVEL COMO LOS DETALLADOS SON AUDITADOS MEDIANTE:Obtención de entendimiento por medio de: La obtención de (continuación): La lista de todas las relaciones tercerizadas actuales y los contratos reales asociados con cada una Información de nivel de servicio relacionada con las relaciones y servicios de terceros Actas de reuniones en que se discutió la revisión del contrato, evaluación de desempeño y gestión de la relación Los acuerdos de confidencialidad de todas las relaciones tercerizadas



TANTO LOS OBJETIVOS DE CONTROL DE ALTO NIVEL COMO LOS DETALLADOS SON AUDITADOS MEDIANTE:Obtención de entendimiento por medio de: La obtención de (continuación): Los listados de perfiles de acceso de seguridad y recursos de los proveedores



TANTO LOS OBJETIVOS DE CONTROL DE ALTO NIVEL COMO LOS DETALLADOS SON AUDITADOS MEDIANTE:Evaluación de controles mediante: Considerando si: Existen políticas y procedimientos para las relaciones tercerizadas y éstas son consistentes con las políticas organizacionales generales Existen políticas que tratan de la necesidad de contratos, definición del contenido de los contratos, propietario o administrador de la relación responsable de asegurar que los contratos se creen, mantengan, supervisen y renegocien según sea requerido

Directriz detallado de auditoría (1 de n)DS2 Administración de servicios prestados por terceros


TANTO LOS OBJETIVOS DE CONTROL DE ALTO NIVEL COMO LOS DETALLADOS SON AUDITADOS MEDIANTE:Evaluación de controles mediante: Considerando si (continuación): Se definen las interfaces con agentes independientes involucrados en la conducción del proyecto y cualquier otra parte, tales como subcontratistas Los contratos representan un registro exhaustivo y completo de relaciones con proveedor de servicios de terceros Se establecen contratos específicamente para la continuidad de servicio, y estos contratos incluyen el planeamiento de contingencia por el proveedor para asegurar el servicio continuo a los usuarios de sus servicios

Directriz detallado de auditoría (1 de n)DS2 Administración de servicios prestados por terceros


TANTO LOS OBJETIVOS DE CONTROL DE ALTO NIVEL COMO LOS DETALLADOS SON AUDITADOS MEDIANTE:Evaluación de controles mediante: Considerando si (continuación): El contenido del contrato incluye por lo menos lo siguiente gestión formal y aprobación legal entidad legal proveedora de servicios servicios proporcionados acuerdos de nivel de servicios tanto cualitativos como cuantitativos costo de servicios y frecuencia de pago de los servicios proceso de resolución de problemas las multas por faltas de desempeño



TANTO LOS OBJETIVOS DE CONTROL DE ALTO NIVEL COMO LOS DETALLADOS SON AUDITADOS MEDIANTE:Evaluación de controles mediante:

Considerando si (continuación):

El contenido del contrato incluye por lo menos lo siguiente (continuación) proceso de disolución proceso de modificación informes de servicio - contenido, frecuencia, y distribución los roles de las partes contratantes durante la vida de contrato garantías de continuidad de que los servicios continuarán siendo proporcionados por el proveedor



TANTO LOS OBJETIVOS DE CONTROL DE ALTO NIVEL COMO LOS DETALLADOS SON AUDITADOS MEDIANTE:Evaluación de controles mediante:

Considerando si (continuación):

El contenido del contrato incluye por lo menos lo siguiente (continuación) proceso y frecuencia de comunicación entre el usuario de servicios y el proveedor duración del contrato nivel de acceso proporcionado al proveedor requisitos de seguridad garantías de confidencialidad derecho de acceso y derecho de auditar



TANTO LOS OBJETIVOS DE CONTROL DE ALTO NIVEL COMO LOS DETALLADOS SON AUDITADOS MEDIANTE:

Evaluación de controles mediante:

Considerando si: Se ha negociado los acuerdos de garantía de ser apropiado Los proveedores potenciales son calificados apropiadamente a través de una valoración de su capacidad de prestar el servicio requerido (diligencia debida)

Directriz detalladao de auditoría (1 de n)DS2 Administración de servicios prestados por terceros


TANTO LOS OBJETIVOS DE CONTROL DE ALTO NIVEL COMO LOS DETALLADOS SON AUDITADOS MEDIANTE:Evaluación del cumplimiento mediante: Probando que: La lista de contratos, y los contratos reales existentes, es exacta Ningún servicio es proporcionado por proveedores que no están en la lista de contratos Los proveedores de los contratos están realmente ejecutando los servicios definidos La administración/propietarios del proveedor entienden sus responsabilidades en los contratos



TANTO LOS OBJETIVOS DE CONTROL DE ALTO NIVEL COMO LOS DETALLADOS SON AUDITADOS MEDIANTE:Evaluación del cumplimiento mediante Probando que (continuación): Las políticas y procedimientos que tienen que ver con las relaciones con terceras partes existen y son consistente con las políticas generales de la organización Existen políticas que tratan específicamente de la necesidad de contratos, definición del contenido de contratos, propietario o administrador de la relación responsable de asegurar que los contratos se creen, mantengan, supervisen y renegocien según sea requerido



TANTO LOS OBJETIVOS DE CONTROL DE ALTO NIVEL COMO LOS DETALLADOS SON AUDITADOS MEDIANTE:Evaluación del cumplimiento mediante Probando que (continuación): Los contratos representan un registro exhaustivo y completo de relaciones tercerizadas con proveedores Se establecen contratos específicamente para continuidad de servicios, y que estos contratos incluyen el planeamiento de contingencia por el proveedor para asegurar el servicio continuo al usuario de servicios



TANTO LOS OBJETIVOS DE CONTROL DE ALTO NIVEL COMO LOS DETALLADOS SON AUDITADOS MEDIANTE:Evaluación del cumplimiento mediante Probando que (continuación): El contenido del contrato incluye por lo menos lo siguiente: gestión formal y aprobación legal entidad legal proveedora de servicios servicios proporcionados acuerdos de nivel de servicios tanto cualitativos como cuantitativos costo de servicios y frecuencia de pago de los servicios proceso de resolución de problemas las multas por faltas de desempeño




Evaluación del cumplimiento mediante:

Probando que (continuación):

El contenido del contrato incluye por lo menos lo siguiente (continuación) proceso de disolución proceso de modificación informes de servicio - contenido, frecuencia, y distribución los roles de las partes contratantes durante la vida del contrato garantías de continuidad de que los servicios continuarán siendo proporcionados por el proveedor




Evaluación del cumplimiento mediante: El contenido del contrato incluye por lo menos lo siguiente (continuación) proceso y frecuencia de comunicación entre el usuario de servicios y el proveedor duración del contrato nivel de acceso proporcionado al proveedor requisitos de seguridad garantías de confidencialidad derecho de acceso y derecho de auditar



TANTO LOS OBJETIVOS DE CONTROL DE ALTO NIVEL COMO LOS DETALLADOS SON AUDITADOS MEDIANTE:Evaluación del cumplimiento mediante:

Probando que (continuación): Los usuarios son conscientes y entienden la necesidad de las políticas de contratos y de los contratos para proporcionar servicios Existe independencia apropiada entre el proveedor y la organización Existe independencia entre la búsqueda y los procesos de selección del proveedor Las listas de accesos de seguridad incluyen sólo el número mínimo de personal del proveedor requerido, y el acceso es el mínimo necesario




Probando que (continuación): El acceso vía hardware y software a los recursos de la organización es administrado y controlado para minimizar el uso del proveedor El nivel real de servicio logrado se compara favorablemente con las obligaciones contractuales Las instalaciones de outsourcing, personal, operaciones y control aseguran el nivel requerido de desempeño comparable a lo esperado La administración realiza un monitoreo continuo de la entrega de servicio por terceros




Probando que (continuación): Ocurren auditorías independientes de las operaciones del contratista Existen informes de valoración de terceras partes potenciales para evaluar su capacidad de entregar el servicio requerido Historia de actividad de litigación - pasada y actual Las interfaces con agentes independientes involucrados en la conducción del proyecto se documentan en el contrato Los contratos con proveedores de Private Branch Exchange (PBX) se incluyen



TANTO LOS OBJETIVOS DE CONTROL DE ALTO NIVEL COMO LOS DETALLADOS SON AUDITADOS MEDIANTE:Fundamentando el riesgo de incumplimiento de los objetivos control mediante: La ejecución de: Benchmarking de servicios tercerizados contra los proporcionados por organizaciones similares o estándares internacionales apropiados /mejores prácticas reconocidas de la industria Una revisión detallada de cada contrato con terceros para determinar las provisiones cualitativas y cuantitativas que confirmen que las obligaciones están definidas



TANTO LOS OBJETIVOS DE CONTROL DE ALTO NIVEL COMO LOS DETALLADOS SON AUDITADOS MEDIANTE:Fundamentando el riesgo de incumplimiento de los objetivos control mediante:

Identificando: Provisiones que describen la coordinación y comunicación de la relación entre proveedor y usuario de los servicios de información Las facturas de terceros reflejan los cargos exactos por los servicios de los contratos seleccionados El enlace de la organización con los proveedores tercerizados asegura la comunicación de problemas del contrato entre las partes y usuarios de servicios El asesor legal y la dirección aprueban todos los contratos




Identificando: Se realiza una valoración continuada de riesgo para confirmar la necesidad de la relación o la necesidad de modificar la relación Ocurre la revisión y la acción correctiva continua por parte de la dirección basada en informes de contratos Se compara la razonabilidad de los cargos con medidas de desempeño internas, externas y de industrias comparables Todos los servicios contratados tienen planes de contingencia establecidos, específicamente servicios de recuperación de desastres para la función de TI




Identificando (conclusión): Para las funciones tercerizadas, las limitaciones claras o las oportunidades de mejorar desempeño o reducir los costos que existen Ocurre la implementación de recomendaciones resultado de las auditorías independientes del contratista



Cómo se enlazan los Directrices de Auditoría y los Objetivos de Control

Obtención de Obtención de entendimientoentendimiento

Evaluación de Evaluación de apropiabilidadapropiabilidad

Evaluación de Evaluación de cumplimientocumplimiento

Fundamentación del riesgoFundamentación del riesgo

Objetivos de control traducidos para verificar si son tratados y si se toma en cuenta su apropiabilidad para la empresa y las afirmaciones de la gerencia sobre su presencia

Objetivos de control traducidos para probar y/o medir si los controles de apoyo de los objetivos de control están presentes como se afirma y si operan satisfactoriamente

• Compilar información relacionada con procesos de negocios, riesgos, infraestructura, etc.

• Ilustrar objetivos de negocios incumplidos, pérdidas, etc, debido a la ausencia de control


Negocio

Procesosde TI

Directrices de Auditoría

Objetivosde Control


Factores Críticos de Éxito

Indicadores Claves de

Desempeño

IndicadoresClaves de

Metas

Modelos de Madurez

requerimientos información

med

idas

con

controlados por

implem

entad

con

auditados por

de d

esem

peño

de r

esu

ltados de m

adurez

hech

os e

fectivo

s

y eficie

nte

s con

se tr

aduc

en e

n

= considera

Cómo se enlazan las directrices de auditoría y los demás elementos de COBIT

cobit presentation package_sp

Software

ti governance

ti necesitan

negocios y ti niveles

riesgo y

vulnerabilidades y

ti disparada

ti infraestructuras

ti cobitcobitrepositorio