cobit 3 spanish audit guidelines

La Misin de COBIT: Investigar, desarrollar, publicar y promover un conjunto de objetivos de con-trol en tecnologa de informacin con autoridad, actualizados, de carcter in-ternacional y aceptados generalmente para el uso cotidiano de gerentes de

empresas y auditores.

COBIT DIRECTRICES DE AUDITORIA

Julio de 2000

3a Edicin

Emitido por el Comit Directivo de COBIT y El IT Governance Institute TM

ARGENTINA ARUBA AUSTRALIA AUSTRIA BAHAMAS BAHRAIN BANGLEDESH BARBADOS BLGICA BERMUDA BOLIVIA BOSTSWANA BRASIL BRUENI CANAD CHILE CHINA COLOMBIA COSTA RICA CROATA CURAZAO CYPRUS REPBLICA CHECA DINAMARCA REPBLICA DOMI-NICANA ECUADOR EGIPTO ESTONIA ISLAS FAEROE FINLANDIA FRANCIA ALEMANIA GHANA GRECIA GUAM GUATEMALA HONDURAS HONG KONG HUNGRA ISLANDIA INDIA INDONESIA IRLANDA ISRAEL ITALIA IVORY COAST JAMAICA JAPN JORDN KENYA COREA KUWAIT LATVIA LEBANON

LIECHTENSTEIN LITUANIA

LUXEMBURGO MALASIA

MALTA MALAWI MXICO

PASES BAJOS NUEVA GUINEA

NUEVA ZELANDA NIGERIA

NORUEGA OMN

PAKISTN PANAM

PER FILIPINAS POLONIA

PORTUGAL QATAR RUSIA

SAIPAN ARABIA SAUDITA

ESCOCIA SEYCHELLES

SINGAPUR REP. ESLOVACA

ESLOVENIA SUDFRICA

ESPAA SRI LANKA ST. KITTS ST. LUCIA

SUECIA SUIZA SIRIA

TAIWAN TANZANIA TASMANIA TAILANDIA

TRINIDAD & TO-BAGO

TURQUA UGANDA

EMIRATOS ARAB UNIDOS

REINO UNIDO ESTADOS UNI-

DOS URUGUAY

VENEZUELA VIETNAM

GALES YEMEN ZAMBIA

ZIMBABWE

INFORMATION SYSTEMS AUDIT AND CONTROL ASSOCIATION

Una sola Fuente Internacional para los Controles de la Tecnologa de Informacin

Information Systems Audit and Control

Association es una organizacin global

lder de profesionales que representa a

individuos en ms de 100 pases y compren-

de todos los niveles de la tecnologa de

informacin Direccin ejecutiva, geren-cia media y practicantes. La Asociacin

est nicamente posesionada para cubrir el

papel de generador central que armoniza

los estndares de las prcticas de control

de TI a nivel mundial. Sus alianzas estrat-

gicas con otros grupos dentro del mbito

profesional financiero, contable, de audito-

ra y de TI aseguran a los dueos del proce-

so del negocio un nivel sin paralelo de inte-

gracin y compromiso.

Programas y Servicios de la Asociacin Los Programas y Servicios de la Asociacin

han ganado prestigio al establecer los nive-

les ms altos de excelencia en certificacin,

estndares, educacin profesional y publici-

dad tcnica.

su programa de certificacin (el Audi-tor de Sistemas de Informacin Certi-

ficado) es la nica designacin global

en toda la comunidad de control y

auditora de la TI.

sus actividades estndar establecen la base de calidad mediante la cual otras

actividades de control y auditora de TI

se miden.

su programa de educacin profesional ofrece conferencias tcnicas y adminis-

trativas en cinco continentes, as como

seminarios en todo el mundo para

ayudar a los profesionistas de todas

partes a recibir educacin contina de

alta calidad.

su rea de publicidad tcnica propor-ciona materiales de desarrollo profe-

sional y referencias con el fin de au-

mentar su distinguida seleccin de

programas y servicios.

La Information Systems Audit and Control

Association se cre en 1969 para cubrir las

necesidades nicas, diversas y de alta tecno-

loga en el naciente campo de la TI. En una

industria donde el progreso se mide en na-

nosegundos, ISACA se ha movido gil y

velozmente para satisfacer las necesidades

de la comunidad de negocios internaciona-

les y de la profesin de controles de la TI.

Para ms Informacin Para recibir informacin adicional, puede

llamar al (+1.847.253.1545), enviar un e-

mail a ([email protected]) o visitar los

siguientes sitios web:

www.itgovernance.org

www.isaca.org

Reconocimientos 4-5 Resumen Ejecutivo 7-8 Antecedentes 9-10 El Marco Referencial de COBIT

Estableciendo la escena.........................................11-13 Los Principios del Marco Referencial...................14-18 Gua para la utilizacin del Marco Referencial y Objetivos de Control.......................19-20

Tabla Resumen 21 Introduccin a los Lineamientos

de Auditoria 23-27, 29-31 Lineamiento General de Auditoria 28 Lineamientos de Auditora 33

Planeacin y Organizacin....................................35-86 Adquisicin e Implementacin............................87-118 Entrega de Servicios y Soporte..........................119-188 Monitoreo...........................................................189-204

Apndice I Lista de Dominios, Procesos y Objetivos de Control..........................................205-209

Apndice II Material de Referencia Primaria........................210-211

Apndice III Glosario de Trminos................................................212

Apndice IV Proceso de Auditora..........................................213-216

Apndice V Cumplimiento del Ao 2000..............................217-219

ndice 220-222

IT GOVERNANCE INSTITUTE 3

DDIRECTRICESIRECTRICES DEDE A AUDITORIAUDITORIA

Lmite de Responsabilidad

La Information Systems Audit and Control Foundation, el IT Governance Institute y los patrocinadores de COBIT: Objetivos de Control para la Informa-cin y Tecnologas Relacionadas, han diseado y creado las publicaciones tituladas Resumen Ejecutivo, Marco Referencial, Objetivos de Control, Direc-trices Gerenciales, Directrices de Auditora, y el Conjunto de Herramientas de Implementacin (llamado colectivamente el Producto) principalmente como una fuente de instruccin para los profesionales dedicados a las actividades de control. La Information Systems Audit and Control Foundation, el IT Gover-nance Institute y los patrocinadores no garantizan que el uso de este producto asegurar un resultado exitoso. No deber considerarse que este producto incluye todos los procedimientos o pruebas apropiados o que excluye otros procedimientos y pruebas que estn razonablemente dirigidos hacia la obten-cin de los mismos resultados. Para determinar la conveniencia de cualquier prueba o procedimiento especfico, los expertos en control debern aplicar su propio juicio profesional a las circunstancias de control especiales presentadas por cada entorno de sistemas en particular.

Acuerdo de Licencia de uso (disclosure)

Copyright 1996, 1998, 2000, de la Information Systems Audit and Control Foundation (ISACF). La reproduccin para fines comerciales no est permitida sin el previo consentimiento por escrito de la ISACF. Se otorga permiso para reproducir el Resumen Ejecutivo, el Marco Referencial, los Objetivos de Con-trol, las Directrices Gerenciales y el Conjunto de Herramientas de Implemen-tacin para uso interno no comercial, incluyendo almacenamiento en medios de recuperacin de datos y transmisin en cualquier medio, incluyendo electr-nico, mecnico, grabado u otro medio. Todas las copias del Resumen Ejecuti-vo, el Marco Referencial, los Objetivos de Control, las Directrices Gerenciales y el Conjunto de Herramientas de Implementacin deben incluir el siguiente reconocimiento y leyenda de derechos de autor: Copyright 1996, 1998, 2000 Information Systems Audit and Control Foundation. Reimpreso con la autori-zacin de la Information Systems Audit and Control Foundation, y el IT Go-vernance Institute.

Las Guas/Directrices de Auditora no pueden ser usadas, copiadas, reproduci-das, almacenadas, modificadas en un sistema de recuperacin de datos o trans-mitido en ninguna forma ni por ningn medio (electrnico, mecnico, fotoco-piado, grabado u otro medio) sin la previa autorizacin por escrito de la ISACF. Sin embargo, las Directrices de Auditora pueden ser usadas con fines no comerciales internos nicamente. Excepto por lo indicado, no se otorga ningn otro derecho o permiso relacionado con esta obra. Todos los derechos de esta obra son reservados.

Information Systems Audit and Control Foundation IT Governance Institute 3701 Algonquin Road, Suite 1010 Rolling Meadows, Illinois 60008 USA. Telfono: 1+847.253.1525 Fax: 1+847.253.1443 E-mail: [email protected] Web sites: www.isaca.org www.Itgovernance.org ISBN 1-893209-18-0 (Audit Guidelines, English) ISBN 1-893209-13-X (Paquete completo de los 6 libros y CD) Impreso en los Estados Unidos de Amrica

CONTENIDO

CCOBIOBITT


Especiales Agradecimientos a los miembros de la Mesa Directiva de la Information Systems Audit and Control Association y a los Fideicomisarios de la Information Systems Audit and Control Foundation, enca-bezados por el Presidente Internacional Paul Williams, por su contnuo y firme apoyo al Cobit

COMIT DIRECTIVO DE COBIT

ERIK GULDENTOPS, S.W.I.F.T. SC, BLGICA

JOHN LAINHART, PRICEWATERHOUSECOOPERS, USA

EDDY SCHUERMANS, PRICEWATERHOUSECOOPERS, BLGICA

JOHN BEVERIDGE, STATE AUDITORS OFFICE, MASSACHUSETTS, USA

MICHAEL DONAHUE, PRICEWATERHOUSECOOPERS, USA

GARY HARDY, ARTHUR ANDERSEN, REINO UNIDO

RONALD SAULL, GREAT-WEST LIFE ASSURANCE, LONDON LIFE AND INVESTORS GROUP, CANADA

MARK STANLEY, SUN AMERICA INC., USA

RECONOCIMIENTOS


RRESUMENESUMEN E EJECUTIVOJECUTIVO Un elemento crtico para el xito y la supervivencia de las organizaciones, es la administracin efectiva de la informa-cin y de la Tecnologa de Informacin (TI) Relacionada. En esta sociedad global (donde la informacin viaja a travs del ciberespacio sin las restricciones de tiempo, distancia y ve-locidad) esta criticidad emerge de: z La creciente dependencia en informacin y en los siste-

mas que proporcionan dicha informacin z La creciente vulnerabilidad y un amplio espectro de ame-

nazas, tales como las ciber amenazas y la guerra de informacin1

z La escala y el costo de las inversiones actuales y futuras en informacin y en tecnologa de informacin; y

z El potencial que tienen las tecnologas para cambiar radi-calmente las organizaciones y las prcticas de negocio, crear nuevas oportunidades y reducir costos

Para muchas organizaciones, la informacin y la tecnologa que la soporta, representan los activos mas valiosos de la em-presa. Es ms, en nuestro competitivo y rpidamente cambian-te ambiente actual, la Gerencia ha incrementado sus expectati-vas relacionadas con la entrega de servicios de TI. Por lo tan-to, la Administracin requiere niveles de servicio que presen-ten incrementos en calidad, en funcionalidad y en facilidad de uso, as como un mejoramiento continuo y una disminucin de los tiempos de entrega; al tiempo que demanda que esto se realice a un costo ms bajo.

Muchas organizaciones reconocen los beneficios potencia-les que la tecnologa puede proporcionar. Las organizacio-nes exitosas, sin embargo, tambin comprenden y adminis-tran los riesgos asociados con la implementacin de nuevas tecnologas.

Hay numerosos cambios en TI y en su ambiente de operacin que enfatiza la necesidad de un mejor manejo relacionado con los riesgos de TI. La dependencia en la informacin electrni-ca y en los sistemas de TI son esenciales para soportar los pro-cesos crticos del negocio. Adicionalmente, el ambiente regu-latorio demanda control estricto sobre la informacin. Esto a su vez conduce a un incremento de los desastres en los siste-mas de informacin y al incremento del fraude electrnico. La Administracin de los riesgos relacionados con TI est siendo entendido como un aspecto clave en el gobierno o direccin empresarial.

Dentro del Gobierno Empresarial, el Gobierno / Gobernabili-dad de TI2 se est volviendo mas y mas importante y est defi-nido como una estructura de relaciones y procesos para dirigir y controlar a la empresa con el fin que sta pueda cumplir sus metas dando valor agregado mientras balancea sus riesgos versus el retorno sobre TI y sus procesos. El Gobierno de TI es parte integral del xito de la Gerencia de la Empresa al ase-gurar mejoras medibles, eficientes y efectivas de los procesos

relacionados de la empresa. El Gobierno de TI provee las es-tructuras que unen los procesos de TI, los recursos de TI y la informacin con las estrategias y los objetivos de la empresa. Adems, el Gobierno de TI integra e institucionaliza buenas (o mejores) prcticas de planeacin y organizacin, adquisicin e implementacin, entrega de servicios y soporte y monitorea el desempeo de TI para asegurar que la informacin de la em-presa y las tecnologas relacionadas soportan sus objetivos del negocio. El Gobierno de TI conduce a la empresa a tomar total ventaja de su informacin logrando con esto maximizar sus beneficios, capitalizar sus oportunidades y obtener ventaja competitiva

GOBIERNO/ GOBERNABILIDAD DE TI

Una estructura de relaciones y procesos para dirigir y con-trolar la empresa con el objeto de alcanzar los objetivos de la empresa y aadir valor mientras se balancean los ries-gos versus el retorno sobre TI y sus procesos.

Las organizaciones deben cumplir con requerimientos de cali-dad, fiduciarios y de seguridad, tanto para su informacin, como para sus activos. La Administracin deber adems optimizar el empleo de sus recursos disponibles, los cuales incluyen: personal, instalaciones, tecnologa, sistemas de apli-cacin y datos. Para cumplir con esta responsabilidad, as como para alcanzar sus objetivos, la Administracin debe en-tender el estado de sus propios sistemas de TI y decidir el ni-vel de seguridad y control que deben proveer estos sistemas. Los Objetivos de Control para la Informacin y las Tecnolog-as Relacionadas (COBIT), ahora en esta tercera edicin, ayuda a satisfacer las mltiples necesidades de la Administracin estableciendo un puente entre los riesgos del negocio, los con-troles necesarios y los aspectos tcnicos. Provee buenas prcti-cas a travs de un dominio y el marco referencial de los proce-sos y presenta actividades en una estructura manejable y lgi-ca. Las Buenas prcticas de COBIT rene el consenso de expertos - quienes ayudarn a optimizar la inversin de la in-formacin y proporcionarn un mecanismo de medicin que permitir juzgar cuando las actividades van por el camino equivocado.

1 Guerra de informacin (information warfare) 2 Gobierno de TI (IT Governance) Governance es un trmino

que representa el sistema que establece la alta gerencia para asegurar el logro de los objetivos de una Organizacin.


RRESUMENESUMEN E EJECUTIVOJECUTIVO

La Administracin debe asegurar que los sistemas de control interno o el marco referencial estn funcionando y soportan los procesos del negocio y debe tener claridad sobre la forma como cada actividad individual de control satisface los reque-rimientos de informacin e impacta los recursos de TI. El im-pacto sobre los recursos de TI son resaltados en el Marco Re-ferencial de COBIT junto con los requerimientos del negocio que deben ser alcanzados: eficiencia, efectividad, confidencia-lidad, integridad, disponibilidad, cumplimiento y confiabilidad de la informacin. El control, que incluye polticas, estructu-ras, prcticas y procedimientos organizacionales, es responsa-bilidad de la administracin.

La administracin, mediante este gobierno corporativo, debe asegurar que todos los individuos involucrados en la adminis-tracin, uso, diseo, desarrollo, mantenimiento u operacin de sistemas de informacin acten con la debida diligencia.

Un Objetivo de Control en TI es una definicin del resultado o propsito que se desea alcanzar implementando procedimien-tos de control especficos dentro de una actividad de TI.

La orientacin al negocio es el tema principal de COBIT. Est diseado no solo para ser utilizado por usuarios y auditores, sino que, lo ms importante, esta diseado para ser utilizado por los propietarios de los procesos de negocio como una gua clara y entendible. A medida que ascendemos, las prcticas de negocio requieren de una mayor delegacin y empoderamien-to3 de los dueos de los procesos para que estos tengan total responsabilidad de todos los aspectos relacionados con dichos procesos de negocio. En particular, esto incluye el proporcio-nar controles adecuados.. El Marco Referencial de COBIT proporciona, al propietario de procesos de negocio, herramien-tas que facilitan el cumplimiento de esta responsabilidad. El Marco Referencial comienza con una premisa simple y prcti-ca:

Con el fin de proporcionar la informacin que la empresa necesita para alcanzar sus objetivos, los recursos de TI deben ser administrados por un conjunto de procesos de TI agrupados en forma natural.

El Marco Referencial contina con un conjunto de 34 Objeti-vos de Control de alto nivel, uno para cada uno de los Proce-sos de TI, agrupados en cuatro dominios: Planeacin y Orga-nizacin, Adquisicin e Implementacin, Entrega de servicios y Soporte y Monitoreo. Esta estructura cubre todos los aspec-tos de informacin y de tecnologa que la soporta. Adminis-trando adecuadamente estos 34 Objetivos de Control de alto nivel, el propietario de procesos de negocio podr asegurar que se proporciona un sistema de control adecuado para el ambiente de tecnologa de informacin.

El Marco Referencial de COBIT provee adems una gua o

lista de verificacin para el Gobierno de TI. El Gobierno de TI proporciona las estructuras que encadenan los procesos de TI, los recursos de TI y la informacin con los objetivos y las es-trategias de la empresa. El Gobierno de TI integra de una for-ma ptima el desempeo de la Planeacin y Organizacin, la Adquisicin e Implementacin, la Entrega de Servicios y So-porte y el Monitoreo. El Gobierno de TI facilita que la empre-sa obtenga total ventaja de su informacin y as mismo maxi-miza sus beneficios, capitalizando sus oportunidades y obte-niendo ventaja competitiva

Adicionalmente, correspondiendo a cada uno de los 34 objeti-vos de control de alto nivel, existe una Gua o directriz de Auditora o de aseguramiento que permite la revisin de los procesos de TI contra los 318 objetivos detallados de control recomendados por COBIT para proporcionar a la Gerencia la certeza de su cumplimiento y/o sugerencias para su mejora-miento.

Las Guas o Directrices Gerenciales de COBIT, desarrolladas recientemente, ayudan a la Gerencia a cumplir de una forma mas efectiva con las necesidades y requerimientos del Gobier-no de TI. Las Directrices son acciones genricas orientadas a proveer a la Administracin la direccin para mantener bajo control la informacin de la empresa y sus procesos relaciona-dos, para monitorear el logro de las metas organizacionales, para monitorear el desempeo de cada proceso de TI y para llevar a cabo un benchmarking de los logros organizacionales.

Especficamente COBIT provee Modelos de Madurez para el control sobre los procesos de TI de tal forma que la Adminis-tracin puede ubicarse en el punto donde la organizacin est hoy, donde est en relacin con los mejores de su clase en su industria y con los estndares internacionales y as mismo determinar a donde quiere llegar; Factores Crticos de xito (Critical Success Factors), que definen o determina cuales son las mas importantes directrices que deben ser consideradas por la Administracin para lograr control sobre y dentro de los procesos de TI. Indicadores Claves del logro de Objetivos o de Resultados (Key Goal Indicators) los cuales definen los mecanismos de medicin que indicarn a la Gerenciadespus del hecho si un proceso de TI ha satisfecho los re-querimientos del negocio; y los Indicadores Clave de desem-peo (Key Performance Indicators) los cuales son indicado-res primarios que definen la medida para conocer qu tan bien se est ejecutando el proceso de TI frente o comparado contra el objetivo que se busca.

3 Empoderamiento (empowerment)


RRESUMENESUMEN E EJECUTIVOJECUTIVO

Las Directrices Gerenciales de COBIT son genricas y son acciones orientadas al propsito de responder los siguien-tes tipos de preguntas gerenciales: Qu tan lejos debemos ir y es el costo justificado para el beneficio obtenido? Cu-les son los indicadores de buen desempeo? Cules son los factores crticos de xito? Cules son los riesgos de no lo-grar nuestros objetivos? Qu hacen otros? Cmo nos po-demos medir y comparar?

COBIT contiene adicionalmente un Conjunto de Herramien-tas de Implementacin que proporciona lecciones aprendidas por empresas que rpida y exitosamente aplicaron COBIT en sus ambientes de trabajo. Incluye dos herramientas particular-mente tiles - Diagnstico de Sensibilizacin Gerencial (Management Awareness Diagnostic) y Diagnstico de Con-trol en TI (IT Control Diagnostic) - para proporcionar asisten-cia en el anlisis del ambiente de control de TI en una organi-zacin.

En los prximos aos las Directivas de las Organizaciones necesitarn demostrar que estn logrando incrementar sus niveles de seguridad y control. COBIT es una herramienta que ayuda a los Directivos a colocar un puente entre los requeri-mientos de control, los aspectos tcnicos y los riesgos del ne-gocio y adicionalmente informa a los accionistas o dueos de la empresa el nivel de control alcanzado. COBIT habilita el desarrollo de una poltica clara y de buenas prcticas de con-trol de TI a travs de las organizaciones, a nivel mundial.

Por lo tanto, COBIT est diseado para ser la herramien-ta de gobierno de TI que ayude al entendimiento y a la administracin de los riesgos as como de los beneficios asociados con la informacin y sus tecnologas relaciona-das.


CCOBIOBITT

PROCESOS DE TI DE COBIT DEFINIDOS DENTRO DE LOS CUATRO DOMINIOS

RECURSOS DE TI

datos sistemas de

aplicacin tecnologa instalaciones gente

PLANEACION Y ORGANIZACION

ADQUISICION EIMPLEMENTACIONENTREGA Y

SOPORTE

MONITOREO

PO1 Definir un Plan Estratgico deTecnologa de Informacin

PO2 Definir la Arquitectura de InformacinPO3 Determinar la direccin tecnolgicaPO4 Definir la Organizacin y de las

Relaciones de TIPO5 Manejar la Inversin en Tecnologa de

InformacinPO6 Comunicar la direccin y aspiraciones de

la gerenciaPO7 Administrar Recursos HumanosPO8 Asegurar el Cumplimiento de

Requerimientos ExternosPO9 Evaluar RiesgosPO10 Administrar proyectosPO11 Administrar Calidad

AI1 Identificar SolucionesAI2 Adquirir y Mantener Software de

AplicacinAI3 Adquirir y Mantener Arquitectura de

TecnologaAI4 Desarrollar y Mantener Procedimientos

relacionados con TIAI5 Instalar y Acreditar SistemasAI6 Administrar Cambios

DS1 Definir Niveles de ServicioDS2 Administrar Servicios prestados por TercerosDS3 Administrar Desempeo y CapacidadDS4 Asegurar Servicio ContinuoDS5 Garantizar la Seguridad de SistemasDS6 Identificar y Asignar CostosDS7 Educar y Entrenar a los UsuariosDS8 Apoyar y Asistir a los Clientes de TIDS9 Administrar la ConfiguracinDS10 Administrar Problemas e IncidentesDS11 Administrar DatosDS12 Administrar InstalacionesDS13 Administrar Operaciones

M1 Monitorear los procesosM2 Evaluar lo adecuado del control

InternoM3 Obtener aseguramiento

independienteM4 Proporcionar auditora independiente INFORMACION

efectividad eficiencia confidencialidad integridad disponibilidad cumplimiento confiabilidad

COBITCOBITOBJEIVOS DE NEGOCIOOBJETIVOS DE NEGOCIO

GOBIERNO DE TI



LA NECESIDAD DE CONTROL EN TECNOLOGIA DE INFORMACION

En los ltimos aos , ha sido cada vez ms evidente la necesi-dad de un Marco Referencial para la seguridad y el control de tecnologa de informacin (TI). Las organizaciones exitosas requieren una apreciacin y un entendimiento bsico de los riesgos y limitaciones de TI a todos los niveles dentro de la empresa con el fin de obtener un efectiva direccin y controles adecuados.

LA ADMINISTRACION (MANAGEMENT) debe decidir cual es la inversin razonable en seguridad y en control en TI y cmo lograr un balance entre riesgos e inversiones en con-trol en un ambiente de TI frecuentemente impredecible. Mientras la seguridad y los controles en los sistemas de infor-macin ayudan a administrar los riesgos, no los eliminan. Adi-cionalmente, el exacto nivel de riesgo nunca puede ser conoci-do ya que siempre existe un grado de incertidumbre.

Finalmente, la Administracin debe decidir el nivel de riesgo que est dispuesta a aceptar. Juzgar cual puede ser el nivel tolerable, particularmente cuando se tiene en cuenta contra el costo, puede ser una decisin difcil para la Administracin. Por esta razn, la Administracin necesita un marco de refe-rencia de las prcticas generalmente aceptadas de control y seguridad de TI para compararlos contra el ambiente de TI existente y planeado.

Existe una creciente necesidad entre los USUARIOS de los servicios de TI, de estar protegidos a travs de la acreditacin y la auditora de servicios de TI proporcionados internamente o por terceras partes, que aseguren la existencia de controles y seguridades adecuadas. Actualmente, sin embargo, es confusa la implementacin de buenos controles de TI en sistemas de negocios por parte de entidades comerciales, entidades sin fines de lucro o entidades gubernamentales. Esta confusin proviene de los diferentes mtodos de evaluacin, tales como ITSEC, TCSEC, evaluaciones ISO9000, nuevas evaluaciones de control interno COSO, etc. Como resultado, los usuarios necesitan que se establezca una base general como un primer paso.

Frecuentemente, los AUDITORES han tomado el liderazgo en estos esfuerzos internacionales de estandarizacin, debido a que ellos enfrentan continuamente la necesidad de sustentar y apoyar su opinin acerca de los controles internos frente a la Gerencia. Sin contar con un marco referencial, sta se con-vierte en una tarea demasiado complicada. Incluso, la admi-nistracin consulta cada vez ms a los auditores para que la

asesoren en forma proactiva en lo referente a asuntos de segu-ridad y control de TI.

EL AMBIENTE DE NEGOCIOS: COMPETENCIA, CAMBIO Y COSTOS

La competencia global es ya un hecho. Las organizaciones se reestructuran con el fin de perfeccionar sus operaciones y al mismo tiempo aprovechar los avances en TI para mejorar su posicin competitiva. La reingeniera en los negocios, las reestructuraciones o right-sizing, el outsourcing, el empodera-miento, las organizaciones horizontales y el procesamiento distribuido son cambios que impactan la manera en la que operan tanto los negocios como las entidades gubernamenta-les. Estos cambios han tenido y continuarn teniendo, profun-das implicaciones para la administracin y las estructuras de control operacional dentro de las organizaciones en todo el mundo.

La especial atencin prestada a la obtencin de ventajas com-petitivas y a la eficiencia en costos implica una dependencia creciente en la tecnologa como el componente ms importan-te en la estrategia de la mayora de las organizaciones. La automatizacin de las funciones organizacionales, por su natu-raleza, dicta la incorporacin de mecanismos de control ms poderosos en las computadoras y en las redes, tanto para las basadas en hardware como las basadas en software. Adems, las caractersticas estructurales fundamentales de estos contro-les estn evolucionando al mismo paso que las tecnologas de computacin y las redes.

Dentro del marco referencial de cambios acelerados, si los administradores, los especialistas en sistemas de in-formacin y los auditores desean en realidad ser capa-ces de cumplir con sus tareas en forma efectiva , debe-rn aumentar y mejorar sus habilidades tan rpidamente como lo demandan la tecnologa y el ambiente. Debe-mos comprender la tecnologa de controles involucrada y su naturaleza cambiante si deseamos emitir y ejercer juicios razonables y prudentes al evaluar las prcticas de control que se encuentran en los negocios tpicos o en las organizaciones gubernamentales.

EL MARCO REFERENCIAL DE COBIT


CCOBIOBITT

APARICION DEL GOBIERNO4 DE LA EMPRESA Y DEL GOBIERNO DE TI

Para lograr el xito en esta economa de informacin, el Go-bierno de la empresa y el Gobierno de TI no pueden ser con-sideradas separadamente y en distintas disciplinas. El go-bierno efectivo de la empresa enfoca el conocimiento y la experiencia en forma individual y grupal, donde puede ser mas productivo, monitoreado y medido el desempeo as como provisto el aseguramiento para aspectos crticos. TI, por mucho tiempo considerada aislada dentro del logro de los objetivos de la empresa debe ahora ser considerada como una parte integral de la estrategia.

El Gobierno de TI provee la estructura que une los procesos de TI, los recursos de TI y las estrategias y objetivos de la empresa. El Gobierno de TI integra e institucionaliza de una manera ptima la planeacin y organizacin, la adquisicin e implementacin, la entrega de servicios y soporte y el moni-toreo del desempeo de TI. El Gobierno de TI es integral para el xito del Gobierno de la Empresa asegurando una eficiente y efectiva medicin para mejorar los procesos de la empresa. El Gobierno de TI le permite a la empresa tomar ventaja total de su informacin, al maximizar sus beneficios, capitalizar sus oportunidades y ganar ventaja competitiva.

Observando en el contexto a la empresa y los procesos del Gobierno de TI con mayor detalle, el gobierno de la empresa, el sistema por el cual las entidades son dirigidas y controladas direcciona y analiza el Gobierno de TI. Al mismo tiempo, TI debera proveer insumos crticos y constituirse en un componente importante de los planes estratgicos. De hecho TI puede influenciar las oportuni-dades estratgicas de la empresa.

Gobierno de la

Empresa

Direcciona y Prepara

Gobierno de Tecnologia de Informacion

Las actividades de la empresa requieren informa-cin de las actividades de TI con el fin de satisfa-cer los objetivos del negocio. Organizaciones exi-tosas aseguran la interdependencia entre su plan estratgico y sus actividades de TI. TI debe estar alineado y debe permitir a la empresa tomar ven-taja total de su informacin para maximizar sus beneficios, capitalizar oportunidades y ganar ven-taja competitiva.

Actividades de la empresa

Requiere informacion de

Actividades de Tecnologia de Informacion

Las empresas son gobernadas por buenas (o me-jores) prcticas generalmente aceptadas para asegurar que la empresa cumpla sus metas ase-gurando que lo anterior est garantizado por cier-tos controles. Desde estos objetivos fluye la di-reccin de la organizacin, la cual dicta ciertas actividades a la empresa usando sus propios re-cursos. Los resultados de las actividades de la empresa son medidos y reportados proporcionan-do insumos para el mantenimiento y revisin constante de los controles, comenzando el ciclo de nuevo.

4Gobierno (governance): sistema que establece la alta gerencia para asegurar el logro de los objetivos de una Organiza-cin.



Objetivos

Gobierno de la Empresa

CONTROL Actividades de la Empresa Recursos

Direcciona

Usando Reportando

Tambin TI es gobernado por buenas (o mejores) prcticas para asegurar que la informacin de la empresa y sus tec-nologas relacionadas apoyan sus objetivos del negocio, estos recursos son utilizados responsablemente y sus ries-gos son manejados apropiadamente. Estas prcticas con-forman una base para la direccin de las actividades de TI las cuales pueden ser enmarcadas en la Planeacin y Orga-nizacin, Adquisicin e Implementacin, Entrega de Servi-cios y Soporte y Monitoreo para los propsitos duales co-mo son el manejo de riesgo (para obtener seguridad, con-fiabilidad y cumplimiento) y la obtencin de beneficios (incrementando la efectividad y eficiencia). Los reportes son enfocados sobre los resultados de las actividades de TI, los cuales son medidos contra diferentes prcticas y con-troles y el ciclo comienza otra vez.

Gobierno de TI

POAIDSMO

Objetivos Actividades de TIPlaneaHace

RevisaCorrige

DIRIGIR

REPORTAR

TI est alineado con el negocio, habilita al negocio y maximiza beneficios.

Los recursos de TI son utilizados responsablemente.

Los riesgos relacionados a TI son manejados apropiadamente.

Decrementar Costos ser eficiente

Incrementar Automatizacin ser efectivo

Seguridad Confiabilidad Conformidad-

cumplimiento

BeneficiosManejo de Riesgo

Decrementar Costos ser eficiente

Incrementar Automatizacin ser efectivo

Seguridad Confiabilidad Conformidad-

cumplimiento

BeneficiosManejo de Riesgo

CONTROL

Para asegurar que la Gerencia alcance los objetivos de negocios, sta debe dirigir y administrar las actividades de TI para alcanzar un balance efectivo entre el manejo de riesgos y los beneficios encontrados. Para cumplir esto, la Gerencia necesita identificar las actividades mas importantes que deben ser desarrolladas, midiendo el progreso hacia el cumplimiento de las metas y determinando que tan bien se estn desarrollando los procesos de TI. Aun mas, necesita tener la habilidad de ava-luar el nivel de madurez de la organizacin contra las mejores practicas industriales y los modelos internacionales. Para soportar estas necesidades la Gerencia necesita las Directrices Gerenciales de COBIT en las cuales se han identificado Factores Crticos de Exito especficos, Indicadores Claves de Logros e Indicadores Clave de Desempeo y un Modelo de Madurez asociado al Gobierno de TI, como se puede apreciar en el Apdice I.


CCOBIOBITT

a la Administracin Indicadores Clave de Logros (KGIs Key Goal Indicators), Indicadores Claves de Desempeo (KPIs Key Performance Indicators), Factores Crticos de xito (CSFsCritical Success Factors) y un Modelo de Ma-durez con el cual puede analizar el ambiente de TI y conside-rar opciones para la implementacin y mejoramiento de los controles sobre la informacin de la organizacin y sus tecno-logas relacionadas.

Por lo tanto, el objetivo principal del proyecto COBIT es el desarrollo de polticas claras y buenas prcticas para la seguri-dad y el control de Tecnologa de Informacin, con el fin de obtener la aprobacin y el apoyo de las entidades comerciales, gubernamentales y profesionales en todo el mundo. La meta del proyecto es desarrollar estos objetivos de control principal-mente a partir de la perspectiva de los objetivos y necesidades de la empresa. (Esto concuerda con la perspectiva COSO, que constituye el primer y mejor marco referencial para la admi-nistracin en cuanto a controles internos.) Posteriormente, los objetivos de control fueron desarrollados a partir de la pers-pectiva de los objetivos de auditora (certificacin de informa-cin financiera, certificacin de medidas de control interno, eficiencia y efectividad, etc.)

AUDIENCIA: ADMINISTRACION, USUARIOS Y AU-DITORES

COBIT est diseado para ser utilizado por tres audiencias distintas:

ADMINISTRACION/ GERENCIA (Management):

Para ayudarlos a lograr un balance entre los riesgos y las in-versiones en control en un ambiente de tecnologa de informa-cin frecuentemente impredecible.

USUARIOS:

Para obtener una garanta en cuanto a la seguridad y controles de los servicios de tecnologa de informacin proporcionados internamente o por terceras partes.

AUDITORES:

Para soportar su opinin y/o proporcionar consejos a la Admi-nistracin sobre los controles internos.

RESPUESTA A LAS NECESIDADES

En vista de estos continuos cambios, el desarrollo de este Marco Referencial de objetivos de control para TI, conjunta-mente con una investigacin continua aplicada a controles de TI basada en este marco referencial, constituyen el funda-mento para el progreso efectivo en el campo de los controles de sistemas de informacin.

Por otro lado, hemos sido testigos del desarrollo y publica-cin de modelos de control generales de negocios como CO-SO [Committee of Sponsoring Organisations of the Tread-way Commisssion Internal Control-Integrated Framework, 1992] en los EUA, Cadbury en el Reino Unido, CoCo en Canad y King en Sudfrica. Por otro lado, existe un nme-ro importante de modelos de control ms enfocados al nivel de tecnologa de informacin. Algunos buenos ejemplos de esta ltima categora son el Security Code of Conduct del DTI (Departamento de Industria y Comercio, Reino Unido) y el Security Handbook de NIST (National Institute of Stan-dards and Technology, EUA). Sin embargo, estos modelos de control con orientacin especfica no proporcionan un modelo de control completo y utilizable sobre tecnologa de informacin como soporte para los procesos del negocio. El propsito de COBIT es cubrir este vaco proporcionando una base que est estrechamente ligada a los objetivos de nego-cio, al mismo tiempo que se enfoca a la tecnologa de infor-macin.

(El documento que ms se acerca al COBIT es una publica-cin reciente de AICPA/CICA Systrust TM Principios y Crite-rios para la Confiabilidad de los Sistemas. SysTrust es una autoridad que realiza publicaciones para el Comit Ejecutivo de Servicios de Aseguramiento de los Estados Unidos y para el Comit de Desarrollo de Servicios de Calidad de Canad, basado en parte en los Objetivos de Control de COBIT. Sys-Trust est diseado para incrementar el confort de la Admi-nistracin, los clientes y los socios de negocios con los siste-mas que soportan un negocio o una actividad en particular. Los servicios de SysTrust incluyen al contador pblico pro-porcionndole un servicio de aseguramiento en el cual l o ella evala y prueba si el sistema es confiable cuando lo mi-de contra cuatro principios esenciales: Disponibilidad, segu-ridad, integridad y mantenimiento.

Un enfoque hacia los requerimientos del negocio en cuanto a controles para tecnologa de informacin y la aplicacin de modelos de control emergentes y estndares internacionales relacionados incluyen los Objetivos de Control originales de la Information Systems Audit and Control Foundation como una herramienta usada por el Auditor y la Administracin. Adicionalmente, el desarrollo de las Directrices Gerenciales de TI ha llevado al COBIT al siguiente nivel proporcionando



ORIENTACIN A OBJETIVOS DE NEGOCIO

El CobiT est alineado con los Objetivos del Negocio. Los Ob-jetivos de Control muestran una relacin clara y distintiva con los objetivos del negocio con el fin de apoyar su uso en forma significativa fuera de las fronteras de la comunidad de auditora. Los Objetivos de Control estn definidos con una orientacin a los procesos, siguiendo el principio de reingeniera de negocios. En dominios y procesos identificados, se identifica tambin un objetivo de control de alto nivel para documentar el enlace con los objetivos del negocio. Adicionalmente, se establecen consi-deraciones y guas para definir e implementar el Objetivo de Control de TI.

La clasificacin de los dominios a los que se aplican los objeti-vos de control de alto nivel (dominios y procesos); una indica-cin de los requerimientos de negocio para la informacin en ese dominio, as como los recursos de TI que reciben un impacto primario por parte del objetivo del control, forman conjuntamen-te el Marco de Referencia de COBIT. El Marco de Referencia toma como base las actividades de investigacin que han identi-ficado 34 objetivos de alto nivel y 318 objetivos de control de-tallados. El Marco de Referencia fue presentado a la industria de TI y a los profesionales dedicados a la auditora para abrir la posibilidad a revisiones, cambios y comentarios. Las ideas obte-nidas fueron incorporadas en forma apropiada. DEFINICIONES GENERALES

Para propsitos de este proyecto, se proporcionan las siguientes definiciones. La definicin de Control est adaptada del repor-te COSO [Committee of Sponsoring Organisations of the Tread-way Commission. Internal Control-Integrated Framework, 1992 y la definicin para Objetivo de Control de TI ha sido adapta-da del reporte SAC (Systems Auditability and Control Report, The Institute of Internal Auditors Research Foundation, 1991 y 1994).

Una sentencia del resultado o prop-sito que se desea alcanzar implemen-tando procedimientos de control en una actividad de TI particular. Una estructura de relaciones y pro-cesos para dirigir y controlar la em-presa con el fin de lograr sus objeti-vos al aadir valor mientras se equi-libran los riesgos contra el retorno sobre TI y sus procesos.

Objetivo decontrol en TI

se definecomo

Objetivo decontrol en TI

se definecomo

Control sedefine comoControl se

define como

Las polticas, procedimientos, prcticas y estructuras organizacionales diseadas para garantizar razonablemente que los objetivos del negocio sern alcanzados y que eventos no deseables sern preveni-dos o detectados y corregidos

Gobierno de TI se define como


CCOBIOBITT

Existen dos clases distintas de modelos de control actual-mente disponibles, aqullos de la clase del modelo de con-trol de negocios (por ejemplo COSO) y los modelos ms enfocados a TI (por ejemplo, DTI). COBIT intenta cubrir la brecha que existe entre los dos. Debido a esto, COBIT se posiciona como una herramienta ms completa para la Ad-ministracin y para operar a un nivel superior a los estnda-res de tecnologa para la administracin de sistemas de infor-macin.. Por lo tanto, COBIT es el modelo para el gobier-no de TI! El concepto fundamental del Marco Referencial de COBIT se refiere a que el enfoque del control en TI se lleva a cabo visualizando la informacin necesaria para dar soporte a los procesos de negocio y considerando a la informacin como el resultado de la aplicacin combinada de recursos relacio-nados con la Tecnologa de Informacin que deben ser admi-nistrados por procesos de TI.

Para satisfacer los objetivos del negocio, la informacin ne-cesita concordar con ciertos criterios a los que COBIT hace referencia como requerimientos de negocio para la informa-cin. Al establecer la lista de requerimientos, COBIT combi-na los principios contenidos en los modelos referenciales existentes y conocidos:

Calidad Costo Entrega o Distribucin (de servicio)

Efectividad y eficiencia de las operaciones Confiabilidad de la informacin Cumplimiento de leyes y regulaciones Confidencialidad Integridad Disponibilidad

La Calidad ha sido considerada principalmente por su aspec-to negativo (ausencia de fallas, confiabilidad, etc.), lo cual tambin se encuentra contenido en gran medida en los crite-rios de Integridad. Los aspectos positivos, pero menos tan-gibles, de la calidad (estilo, atractivo, ver y sentir, desem-peo ms all de las expectativas, etc.) no fueron, por un tiempo, considerados desde un punto de vista de Objetivos de Control de TI. La premisa se refiere a que la primera prioridad deber estar dirigida al manejo apropiado de los riesgos al compararlos contra las oportunidades. El aspecto utilizable de la Calidad est cubierto por los criterios de efectividad. Se consider que el aspecto de entrega o distri-bucin del servicio, de la Calidad se traslapa con el aspecto de disponibilidad correspondiente a los requerimientos de seguridad y tambin en alguna medida, con la efectividad y la eficiencia. Finalmente, el Costo tambin es considerado, siendo cubierto por la Eficiencia. Para los requerimientos fiduciarios, COBIT no intent reinven-tar la rueda se utilizaron las definiciones de COSO para la efectividad y eficiencia de las operaciones, confiabilidad de informacin y cumplimiento con leyes y regulaciones. Sin embargo, confiabilidad de informacin fue ampliada para in-cluir toda la informacin no slo informacin financiera. Con respecto a los aspectos de seguridad, COBIT identific la confidencialidad, integridad y disponibilidad como los ele-mentos clave se encontr que estos mismos tres elementos son utilizados a nivel mundial para describir los requerimien-tos de seguridad. Comenzando el anlisis a partir de los requerimientos de Cali-dad, Fiduciarios y de Seguridad ms amplios, se extrajeron siete categoras distintas, ciertamente superpuestas. A conti-nuacin se muestran las definiciones utilizadas por COBIT:

LOS PRINCIPIOS DEL MARCO REFERENCIAL

Requerimientosde Negocio

Recursos de TI

Procesos de TI

Requerimientos Fiduciarios

(COSO)

Requerimientos de Seguridad

Requerimientos de Calidad



Se refiere a que la informacin relevan-te sea pertinente para el proceso del negocio, as como a que su entrega sea oportuna, correcta, consistente y de manera utilizable. Se refiere a la provisin de informacin a travs de la utilizacin ptima (ms productiva y econmica) de recursos. Se refiere a la proteccin de informa-cin sensible contra divulgacin no autorizada. Se refiere a la precisin y suficiencia de la informacin, as como a su vali-dez de acuerdo con los valores y expec-tativas del negocio. Se refiere a la disponibilidad de la in-formacin cuando sta es requerida por el proceso de negocio ahora y en el futuro. Tambin se refiere a la salva-guarda de los recursos necesarios y capacidades asociadas. Se refiere al cumplimiento de aquellas leyes, regulaciones y acuerdos contrac-tuales a los que el proceso de negocios est sujeto, por ejemplo, criterios de negocio impuestos externamente. Se refiere a la provisin de informacin apropiada para la administracin con el fin de operar la entidad y para ejercer sus responsabilidades de reportes finan-cieros y de cumplimiento.

Los recursos de TI identificados en COBIT pueden explicarse/definirse como se muestra a continuacin:

Son objetos en su ms amplio sentido, (por ejemplo, externos e internos), es-tructurados y no estructurados, grficos, sonido, etc. Se entiende como sistemas de aplicacin la suma de procedimientos manuales y programados.

La tecnologa cubre hardware, sistemas operativos, sistemas de administracin de bases de datos, redes, multimedia, etc. Recursos para alojar y dar soporte a los sistemas de informacin. Habilidades del personal, conocimiento, sensibilizacin y productividad para planear, organizar, adquirir, entregar, soportar y monitorear servicios y siste-mas de informacin.

El dinero o capital no fue considerado como un recurso de TI para la clasificacin de los objetivos de control porque el dine-ro puede ser considerado como una inversin dentro de cual-quiera de los recursos presentados. Adems debe anotarse que el Marco Referencial no se refiere especficamente a la docu-mentacin de todos los materiales relacionados con un proce-so de TI en particular. Como un aspecto de buenas prcticas, la documentacin es considerada como un buen control, y por lo tanto la falta de documentacin sera causa de una mayor revisin y anlisis de los controles compensatorios en cual-quier rea bajo revisin. Otra forma de ver la relacin de los recursos de TI con respec-to a la entrega de servicios se describe a continuacin:

Con el fin de asegurar que los requerimientos del negocio para la informacin se cumplan, es necesario definir, imple-mentar y monitorear adecuadas medidas de control sobre esos recursos. Cmo pueden entonces las empresas estar satisfe-chas respecto a que la informacin obtenida presente las ca-ractersticas que necesitan? Es aqu donde se requiere de un sano marco referencial de Objetivos de Control para TI. El siguiente diagrama ilustra este concepto.

Disponibilidad

Cumplimiento

Confiabilidad de la

Informacin

Datos

Aplicaciones

Tecnologa

Instalaciones

Personal

mensajeentrada

serviciosalida

TECNOLOGIATECNOLOGIA

INSTALACIONESINSTALACIONES

GENTEGENTE

Sistemas de AplicacinSistemas de AplicacinDatosDatos

Eventos

Objetivos de negocioOportunidades de negocioRequerimientos externosRegulacionesRiesgos

Informacin

EfectividadEficienciaConfidencialidadIntegridadDisponibilidadCumplimientoConfiabilidad

Integridad

Confidencialidad

Eficiencia

Efectividad

El Marco Referencial consta de Objetivos de Control de alto nivel y de una estructura general para su clasificacin y pre-sentacin. La teora subyacente para esta clasificacin se re-fiere a que existen, en esencia, tres niveles de actividades de TI al considerar la administracin de sus recursos. Comenzan-do por la base, encontramos las actividades y tareas necesa-rias para alcanzar un resultado medible. Las actividades cuentan con un concepto de ciclo de vida, mientras que las tareas son consideradas ms discretas. El concepto de ciclo de vida cuenta tpicamente con requerimientos de control diferentes a los de actividades discretas. Los procesos se definen entonces en un nivel superior como una serie de ac-tividades o tareas conjuntas con cortes naturales (de con-trol). Al nivel ms alto, los procesos son agrupados de mane-ra natural en dominios. Su agrupamiento natural es confir-

mado frecuentemente como dominios de responsabilidad en una estructura organizacional, y est en lnea con el ciclo administrativo o ciclo de vida aplicable a los procesos de TI.

Por lo tanto, el marco referencial conceptual puede ser enfo-cado desde tres puntos estratgicos: (1)criterios de informa-cin; (2) recursos de TI, (3) procesos de TI. Estos tres puntos de vista diferentes estn descritos en el Cubo CobiT que se muestra a continuacin:

Dominios

Procesos

Actividades


CCOBIOBITT

PROCESOS PROCESOS DE NEGOCIODE NEGOCIO

INFORMACIONINFORMACION

RECURSOS DE TIRECURSOS DE TI

datosdatos sistemas de aplicacinsistemas de aplicacin tecnologatecnologa instalacionesinstalaciones gentegente

efectividadefectividad eficienciaeficiencia confidencialidadconfidencialidad integridadintegridad disponibilidaddisponibilidad cumplimientocumplimiento confiabilidadconfiabilidad

CriteriosCriterios

?? Concuerdan ?

Qu obtiene? Qu necesita?

Inst

alac

ione

s D

atos

Gen

te

Sist

emas

de

Aplic

aci

n Te

cnol

oga

Actividades

Dominios

Procesos

Calida

d

Fiduci

arios

Segu

ridad

Recu

rsos d

e TI

Criterios de informacin

Proc

esos

de

TI

Con lo anterior cono marco de referencia, los dominios son identificados utilizando las palabras que la gerencia utilizara en las actividades cotidianas de la organizacin y no la jerga5 del auditor -. Por lo tanto, cuatro grandes dominios son identificados: planeacin y organizacin, adquisicin e implementacin, entrega y soporte y monitoreo. Las definiciones para los dominios mencionados son las si-guientes:

Este dominio cubre la estrategia y las tcticas y se refiere a la identificacin de la forma en que la tecnologa de informacin puede contribuir de la me-jor manera al logro de los objetivos del negocio. Adems, la consecucin de la visin estratgica necesita ser planeada, comunicada y administrada desde dife-rentes perspectivas. Finalmente, debe-rn establecerse una organizacin y una infraestructura tecnolgica apropiadas. Para llevar a cabo la estrategia de TI, las soluciones de TI deben ser identifi-cadas, desarrolladas o adquiridas, as como implementadas e integradas de-ntro del proceso del negocio. Adems, este dominio cubre los cambios y el mantenimiento realizados a sistemas existentes. En este dominio se hace referencia a la entrega de los servicios requeridos, que abarca desde las operaciones tradicio-nales hasta el entrenamiento, pasando por seguridad y aspectos de continui-dad. Con el fin de proveer servicios, debern establecerse los procesos de soporte necesarios. Este dominio inclu-ye el procesamiento de los datos por sistemas de aplicacin, frecuentemente clasificados como controles de aplica-cin. Todos los procesos necesitan ser evaluados regularmente a travs del tiempo para verifi-car su calidad y suficiencia en cuanto a los requerimientos de control. Este dominio tambin advierte a la Administracin sobre la necesidad de asegurar procesos de control independientes, los cuales

son provistos por auditoras internas y externas u obtenidas de fuentes alterna-tivas.

Debe tomarse en cuenta que estos procesos pueden ser aplica-dos a diferentes niveles dentro de una organizacin. Por ejem-plo, algunos de estos procesos sern aplicados al nivel corpo-rativo, otros al nivel de la funcin de servicios de informacin, otros al nivel del propietario de los procesos de negocio. Tambin debe ser tomado en cuenta que el criterio de efectivi-dad de los procesos que planean o entregan soluciones a los requerimientos de negocio, cubrirn algunas veces los criterios de disponibilidad, integridad y confidencialidad. en la prcti-ca, se han convertido en requerimientos del negocio. Por ejemplo, el proceso de identificar soluciones automatizadas deber ser efectivo en el cumplimiento de requerimientos de disponibilidad, integridad y confidencialidad. En resumen, los Recursos de TI necesitan ser administrados por un conjunto de procesos agrupados en forma natural, con el fin de proporcionar la informacin que la empresa necesi-ta para alcanzar sus objetivos. Resulta claro que las medidas de control no satisfarn necesa-riamente los diferentes requerimientos de informacin del negocio en la misma medida. Primario es el grado al cual el objetivo de con-

trol definido impacta directamente el requerimiento de informacin de inte-rs.

Secundario es el grado al cual el objetivo de con-

trol definido satisface nicamente de forma indirecta o en menor medida el requerimiento de informacin de inte-rs.

Blanco (vaco) podra aplicarse; sin embargo, los re-

querimientos son satisfechos ms apro-piadamente por otro criterio en este proceso y/o por otro proceso.



Planeacin y organizacin

Adquisicin e implementacin

Monitoreo

Entrega ysoporte

Entrega ysoporte

5 Jerga (jargon)

Similarmente, todas las medidas de control no necesariamente tendrn impacto en los diferentes recursos de TI a un mismo nivel. Por lo tanto, el Marco Referencial de COBIT indica es-pecficamente la aplicabilidad de los recursos de TI que son administrados en forma especfica por el proceso bajo consi-deracin (no por aquellos que simplemente toman parte en el proceso). Esta clasificacin es hecha dentro el Marco Referen-cial de COBIT basado en el mismo proceso riguroso de infor-macin proporcionada por los investigadores, expertos y revi-sores, utilizando las definiciones estrictas indicadas previa-mente.

En resumen, con el fin de proveer la informacin que la or-ganizacin necesita para lograr sus objetivos, el Gobierno de TI debe ser entrenado por la organizacin para asegurar que los recursos de TI sern administrados por una coleccin de procesos de TI agrupados naturalmente. El siguiente dia-grama ilustra este concepto.

PROCESOS DE TI DE COBIT DEFINIDOS EN LOS CUATRO DOMINIOS


CCOBIOBITT

RECURSOS DE TI

datos sistemas de

aplicacin tecnologa instalaciones gente

PLANEACION Y ORGANIZACION

ADQUISICION EIMPLEMENTACIONENTREGA Y

SOPORTE

MONITOREO

PO1 Definir un Plan Estratgico deTecnologa de Informacin

PO2 Definir la Arquitectura de InformacinPO3 Determinar la direccin tecnolgicaPO4 Definir la Organizacin y de las

Relaciones de TIPO5 Manejar la Inversin en Tecnologa de

InformacinPO6 Comunicar la direccin y aspiraciones de

la gerenciaPO7 Administrar Recursos HumanosPO8 Asegurar el Cumplimiento de

Requerimientos ExternosPO9 Evaluar RiesgosPO10 Administrar proyectosPO11 Administrar Calidad

AI1 Identificar SolucionesAI2 Adquirir y Mantener Software de

AplicacinAI3 Adquirir y Mantener Arquitectura de

TecnologaAI4 Desarrollar y Mantener Procedimientos

relacionados con TIAI5 Instalar y Acreditar SistemasAI6 Administrar Cambios

DS1 Definir Niveles de ServicioDS2 Administrar Servicios prestados por TercerosDS3 Administrar Desempeo y CapacidadDS4 Asegurar Servicio ContinuoDS5 Garantizar la Seguridad de SistemasDS6 Identificar y Asignar CostosDS7 Educar y Entrenar a los UsuariosDS8 Apoyar y Asistir a los Clientes de TIDS9 Administrar la ConfiguracinDS10 Administrar Problemas e IncidentesDS11 Administrar DatosDS12 Administrar InstalacionesDS13 Administrar Operaciones

M1 Monitorear los procesosM2 Evaluar lo adecuado del control

InternoM3 Obtener aseguramiento

independienteM4 Proporcionar auditora independiente INFORMACION

efectividad eficiencia confidencialidad integridad disponibilidad cumplimiento confiabilidad

COBITCOBITOBJEIVOS DE NEGOCIOOBJETIVOS DE NEGOCIO

Gobierno de TI



HISTORIA Y ANTECEDENTES DE COBIT La tercera edicin de COBIT es la mas reciente versin de los Objetivos de Control para la informacin y sus tecnologas relacionadas, que fue liberado primero por la Information Systems Audit and Control Foundation (ISACF) en 1996. La 2da edicin que refleja un incremento en el nmero de docu-mentos fuente, una revisin en el alto nivel y objetivos de control detallados y la adicin del Conjunto de herramientas de Implementacin fue publicado en 1998. La 3a edicin marca el ingreso de un nuevo editor para COBIT: El Institu-to de Gobierno de TI (IT Governance Institute).

El Instituto de Gobierno de TI fue formado por la Informa-tion Systems Audit and Control Association (ISACA) y su Fundacin asociada en 1998 para avanzar en el entendimien-to y la adopcin de principios de gobierno de TI. Con la adi-cin de las Directrices Gerenciales en la 3a edicin de CO-BIT y su expansin y mayor cubrimiento sobre el Gobierno de TI, el Instituto de Gobierno de TI adquiri un rol de lide-razgo en el desarrollo de la publicacin.

COBIT se bas originalmente en los Objetivos de Control de la ISACF y ha sido mejorado con las actuales y emergen-tes estndares internacionales a nivel tcnico, profesional, regulatorio y especficos de la industria. Los Objetivos de Control resultantes han sido desarrollados para su aplicacin en sistemas de informacin de toda la empresa. El trmi-no generalmente aplicables y aceptados es utilizado explcitamente en el mismo sentido que los Principios de Contabilidad Generalmente Aceptados (PCGA o GAAP por sus siglas en ingls).

Este estndar es relativamente pequeo en tamao, con el fin de ser prctico y responder, en la medida de lo posible, a las necesidades del negocio, manteniendo al mismo tiempo una independencia con respecto a las plataformas tcnicas de TI adoptadas en una organizacin.

Sin excluir ningn otro estndar aceptado en el campo del control de sistemas de informacin que pudiera emitirse du-rante la investigacin, las fuentes han sido identificadas ini-cialmente como: Estndares Tcnicos de ISO, EDIFACT, etc. Cdigos de Conducta emitidos por el Council of Europe, OECD, ISACA, etc.;

Criterios de Calificacin para sistemas y procesos de TI: ITSEC, ISO9000, SPICE, TickIT, Common Criteria, etc.; Estndares Profesionales para control interno y auditora: reporte COSO, IFAC, IIA, ISACA, GAO, PCIE, CICA, AICPA, etc.; Prcticas y requerimientos de la Industria de foros indus-triales (ESF, 14) y plataformas patrocinadas por el gobierno (IBAG, NIST, DTI); y Nuevos requerimientos especficos de la industria de la banca, Comercio Electrnico y manufactura de TI.

(Ver Apndice II, Descripcin del Proyecto COBIT; Apndice III Material de Referencia Primaria de COBIT y Apndice IV, Glosario de Trminos )


CCOBIOBITT

EVOLUCIN DEL PRODUCTO COBIT COBIT evolucionar a travs de los aos y ser el fundamento de investigaciones futuras. Por lo tanto, se generar una fami-lia de productos COBIT y al ocurrir esto, las tareas y activida-des que sirven como estructura para organizar los Objetivos de Control de TI, sern refinadas posteriormente. Tambin ser revisado el balance entre los dominios y los procesos a la luz de los cambios en la industria.

La investigacin y las publicaciones han sido posibles gracias al fundamental apoyo de PricewaterhouseCoopers y las dona-ciones de los captulos de ISACA y de miembros de todo el mundo. La European Security Forum (ESF) amablemente llev a cabo la recoleccin de material disponible para el pro-yecto. La Gartner Group adems particip en el desarrollo y realiz la revisin de aseguramiento de calidad de las Directri-ces Gerenciales.

HISTORIA Y ANTECEDENTES DE COBIT

RESUMEN EJECUTIVO

MARCO REFERENCIAL objetivos de control de alto nivel

DIRECTRICES GERENCIALES OBJETIVOS DE CONTROL DETALLA-DOS

DIRECTRICES DE AUDITORIA

Factores Crticos de xito Indicadores Clave por Objetivos

Indicadores Clave de Desempeo

Resumen Ejecutivo Casos de Estudio FAQs Presentaciones en PowerPoint Guas de Implementacin

Diagnstico de la conciencia de la Administracin Diagnostico de Control de TI

CONJUNTO DE HERRAMIENTAS DE IMPLEMENTACIN

Familia de Productos COBIT

PRODUCTOS DE LA FAMILIA COBIT

Modelo de Madurez

COBIT Y LAS DIRECTRICES DE AUDITORA Las Directrices de Auditora ofrecen una herramienta complementaria para la fcil aplicacin del Marco Refe-rencial y los Objetivos de Control COBIT dentro de las actividades de auditora y evaluacin. El propsito de las Directrices de Auditora es contar con una estructura sencilla para auditar y evaluar controles, con base en prcticas de auditora generalmente aceptadas y compa-tibles con el esquema global COBIT. Los objetivos y prcticas individuales varan considera-blemente de organizacin a organizacin y existen mu-chos tipos de practicantes dedicados a actividades rela-cionadas con la auditora; por ejemplo auditores exter-nos, auditores internos, evaluadores, revisores de cali-dad, y asesores tcnicos. Por estas razones, las Directri-ces de Auditora tienen una estructura genrica y de alto nivel. Los auditores deben cumplir con algunos requerimientos generales para proporcionar a los directivos y a los pro-pietarios o dueos de los procesos de negocios, seguri-dad y asesora respecto a los controles en una organiza-cin: ofrecer una seguridad razonable de que se est cumpliendo con los objetivos de control correspondien-tes; identificar dnde se encuentran las debilidades signi-ficativas en dichos controles; justificar los riesgos que pueden estar asociados con tales debilidades, y final-mente, aconsejar a estos ejecutivos sobre las medidas correctivas que deben adoptarse. COBIT ofrece polti-cas claras y prcticas eficaces en materia de seguridad y para los controles de informacin y la tecnologa asocia-da. Por tanto, las Directrices de Auditora firmemente basados en los Objetivos de Control, toman la opinin del auditor a partir de la conclusin de auditora, rempla-zndola con criterios normativos (41 estndares y mejo-res prcticas tomadas de normas privadas y pblicas aceptadas a nivel mundial). Estas Directrices de Auditora proporcionan guas para preparar planes de auditora que se integran al Marco Referencial de COBIT y a los Objetivos de Control deta-llados. Deben ser usados conjuntamente con estos dos ltimos, y a partir de ah pueden desarrollarse programas especficos de auditora. Sin embargo, las Directrices no son exhaustivas ni definitivas. No pueden incluir todo ni ser aplicables a todo, as que debern ajustarse a condi-ciones especficas.

No obstante, hay cuatro cosas que las Directrices no son: 1. Las Directrices de Auditora no pretenden ser una herra-

mienta para crear el plan global de auditora que considera una amplia gama de factores, incluyendo debilidades ante-riores, riesgo de la organizacin, incidentes conocidos, nue-vos acontecimientos, y seleccin de estrategias. Aun cuan-do el Marco Referencial y los Objetivos de Control ofrecen algunas orientaciones, los alcances de las Directrices no incluyen una gua precisa para actividades especficas.

2. Las Directrices de Auditora no estn diseados como ins-

trumento para ensear las bases de la auditora, aun cuando incorporen los elementos normalmente aceptados de la au-ditora general y de TI.

3. Las Directrices de Auditora no pretenden explicar en deta-

lle la forma en que pueden utilizarse las herramientas com-putarizadas para apoyar y automatizar los procesos de audi-tora a TI, en materia de planeacin, evaluacin, anlisis y documentacin (que estn incluidas, pero no se limitan a ellas, en las Tcnicas de Auditora Asistidas por Computa-dor). Existe un enorme potencial para usar la tecnologa de informacin dirigida a aumentar la eficiencia y efectividad de las auditoras, pero una orientacin en este sentido, tam-poco est dentro de los alcances de las Directrices.

4. Las Directrices de Auditora no son exhaustivas ni definiti-

vas, pero se desarrollarn conjuntamente con COBIT y sus Objetivos de Control detallados.

Las Directrices de Auditora de COBIT permiten al auditor com-parar los procesos especficos de TI con los Objetivos de Control de COBIT recomendados para ayudar a los directivos a identifi-car en qu casos los controles son suficientes, o para asesorarlos respecto a los procesos que requieren ser mejorados. Desde el punto de vista de los directivos, los propietarios de los procesos harn las preguntas: Estoy haciendo lo correcto?, y si no es as: Qu puedo hacer para corregirlo? El Marco Referen-cial y las Directrices de Auditora COBIT ayudarn a responder a estas preguntas. El enfoque ofrece una perspectiva reactiva, mientras que los auditores necesitan tambin apoyar a la directiva de una manera proactiva. El Marco Referencial y las Directri-ces de Auditora pueden aplicarse igualmente en forma proactiva en las primeras etapas de los procesos y el desarrollo de proyec-tos, al responder a la pregunta: Qu es lo que necesito hacer ahora para no tener que ajustarlo o corregirlo despus?



INTRODUCCIN A LAS DIRECTRICES DE AUDITORA


CCOBIOBITT

ESTRUCTURA GENERAL DE LAS DIRECTRICES DE AUDITORA El modelo ms comn para evaluar el control es el modelo de auditora. Otro enfoque que se est adoptando cada vez ms es el modelo de anlisis de riesgos, que se cubrir hacia el final de esta introduccin. Todos aquellos involucrados en la evaluacin del control pueden inclinarse por cualquiera de los dos modelos. Los objetivos de la auditora son para:

Proporcionar administracin con aseguramiento razonable de que se estn cubriendo los objetivos de control,

En donde existan debilidades de control significa-tivas, justificar los riesgos resultantes, y

Aconsejar a la administracin sobre acciones co-rrectivas

La estructura generalmente aceptada del proceso de auditora es:

Identificacin y documentacin Evaluacin Pruebas de cumplimiento Pruebas sustantivas

El proceso de TI, por lo tanto, se audita mediante: La obtencin de un entendimiento de los riesgos rela-

cionados con los requerimientos del negocio y de las medidas relevantes de control La evaluacin de la conveniencia de los controles

establecidos La valoracin del cumplimiento probando si

los controles establecidos estn funcionando como se espera, de manera consistente y con-tinua La comprobacin6 que existe el riesgo

de que los objetivos de control no se estn cumpliendo mediante el uso de tcnicas analticas y/o consultando fuen-tes alternativas.

Con el objetivo de brindar asistencia a la administracin en la forma de asesora de aseguramiento, hemos desarrollado esta estructura dentro de un marco referencial fundamentado en los requerimientos del COBIT:

Presentacin en un enfoque de niveles Orientacin hacia los objetivos del negocio

Orientado en funcin del proceso Enfocado sobre

Los recursos que necesitan administrarse Los criterios de informacin que se requieren

En el nivel ms alto, este enfoque general de auditora est apoyado por:

El Marco Referencial de COBIT, particularmente el resumen con la clasificacin de los procesos de TI, los criterios de informacin aplicables y los recursos de TI (vea la pgina 30)

Los requerimientos para el proceso de auditora mismo (vea la seccin Requerimientos del Proceso de Auditora en la pgina 23)

Los requerimientos genricos para la auditora de procesos de TI (vea la seccin Directrices de Au-ditora Genricos de TI, pgina 24)

Los principios generales de control (vea la seccin Observaciones del Proceso de Control, pginas 24-25)

El segundo nivel est compuesto por las Directrices detalla-das de auditora para cada uno de los procesos de TI como se muestra en la seccin principal de esta publicacin. Las Directrices han sido presentadas en una plantilla estn-dar que sigue la estructura general de Obtencin, Evalua-cin, Valoracin y Comprobacin. Esta plantilla ha sido aplicada a las Directrices de Auditora Genricas de TI, as como tambin a las Directrices de Auditora Detalladas. En el tercer y ltimo nivel, el auditor puede complementar las Directrices de Auditora para cubrir las condiciones loca-les, conduciendo la fase de planeacin de auditora con pun-tos de atencin de auditora que influyen sobre los objetivos detallados de control mediante:

Criterios especficos del sector Estndares de la industria Elementos especficos de la plataforma Tcnicas detalladas de control empleadas

Importante para este nivel es el hecho de que los objetivos de control no son necesariamente aplicables en todos los casos y en cualquier lugar. Por lo tanto se sugiere que se realice una evaluacin de riesgos de alto nivel para determi-nar sobre qu objetivos se necesita enfocarse especficamen-te y cules pueden ignorarse.

6 Comprobacin (substantiating)

Todos estos elementos se ofrecen para apoyar la planeacin y la realizacin de las auditoras de TI, y para una mejor aplicacin integrada de las directrices / lineamientos detalla-dos de auditora. Las directrices no son exhaustivas y no son aplicables universalmente. El nivel de informacin de apoyo

(guas genricas, requerimientos del proceso de auditora y observaciones de control) ayudar a los auditores a desarro-llar el programa de auditora que necesitan.


D DIRECTRICESIRECTRICES DEDE A AUDITORAUDITORA

Nivel 1 Enfoque general de auditora de TI

Marco Referencial de COBIT Requerimientos del Proceso de Auditora Observaciones de Control Directriz General de Auditora

Nivel 2 Directrices del proceso de auditora

Directrices de Auditora detalladas

Nivel 3 Puntos de atencin de auditora para complementar los objetivos detallados de control

Condiciones Locales

Criterios especficos del sector Estndares de la industria Elementos especficos de la plataforma Tcnicas detalladas de control utilizadas

ESTRUCTURA DETALLADA PARA LA APLICACIN DE LAS DIRECTRICES DE AUDITORA

REQUERIMIENTOS DEL PROCESO DE AUDITORA Una vez definido qu vamos a auditar y sobre qu vamos a proporcionar aseguramiento, tenemos que determinar el enfo-que o estrategia ms apropiada para llevar a cabo el trabajo de auditora. Primero tenemos que determinar el alcance correcto de nuestra auditora. Para lograrlo, necesitamos investigar, analizar y definir:

Los procesos del negocio involucrados; Las plataformas y los sistemas de informacin que

estn apoyando el proceso del negocio, as como la interconectividad con otras plataformas o sistemas;

Los roles y responsabilidades de TI definidas, inclu-yendo las correspondientes al outsourcing interno y/o externo; y

Los riesgos del negocio y las decisiones estratgicas asociadas.

El siguiente paso es identificar los requerimientos de informa-cin que tienen una relevancia particular con respecto a los procesos del negocio. Luego necesitaremos identificar los riesgos inherentes de TI, as como el nivel general de control que puede asociarse con el proceso del negocio. Para lograrlo, identificamos:

Los cambios recientes en el ambiente del negocio que tienen impacto sobre TI;

Los cambios recientes al ambiente de TI, nuevos desarrollos, etc.;

Los incidentes recientes relevantes para los controles y el ambiente del negocio;

Los controles de monitoreo de TI aplicados por la administracin;

Los reportes recientes de auditora y/o certificacin; y

Los resultados recientes de auto evaluaciones.

Basndonos en la informacin obtenida, ahora podemos se-leccionar los procesos relevantes de COBIT, as como tam-bin los recursos que aplican a los mismos. Esto pudiera requerir que ciertos procesos de COBIT necesiten auditarse varias veces, cada vez para una plataforma o sistema distin-to. El auditor deber determinar una estrategia de auditora ba-sndose en el plan detallado de auditora que deber elabo-

rarse con ms profundidad, por ejemplo, si uno busca un enfoque basado en controles o un enfoque sustantivo. Finalmente, necesitan considerarse todos los pasos, tareas y puntos de decisin para llevar a cabo la auditora. Un ejem-plo de un proceso genrico de auditora (con pasos, tareas y puntos de decisin), que sigue la plantilla estndar, se pro-porciona en el Apndice IV.


CCOBIOBITT

DIRECTRIZ GENERAL DE AUDITORA DE TI La plantilla en la pgina 26 (que adems se presenta como un anexo el final de este documento) presenta los requeri-mientos genricos para auditar procesos de TI para brindar el primer nivel de las directrices de auditora, generalmente aplicables a todos los procesos. Est primordialmente orien-tado hacia la comprensin del proceso y la determinacin de la propiedad y deber ser el fundamento y el marco referen-cial para todos las directrices detalladas de auditora. Esta misma plantilla se aplica luego a los 34 procesos que se identifican en el Marco Referencial de COBIT.

OBSERVACIONES DEL PROCESO DE CONTROL Los principios generales de control tambin pueden propor-cionar una gua adicional sobre cmo complementar las Di-rectrices de Auditora. Estos principios estn primordial-mente enfocados sobre el proceso y las responsabilidades del control, los estndares de control y los flujos de la informa-cin de control. El control, desde el punto de vista de la administracin, se define como el determinar qu se est logrando; esto es, eva-luar el desempeo y si es necesario aplicar medidas correcti-vas para que el desempeo est de acuerdo con lo planeado.

Definir el alcance de la auditora procesos del negocio involucrados plataformas, sistemas y su interconectividad, que

apoyan el procesos roles, responsabilidades y estructura organizacional

Identificar los requerimientos de informacin rele-vantes para el proceso del negocio

importancia para el proceso del negocio

Identificar los riesgos inherentes de TI y el nivel general de control

cambios recientes e incidentes en el ambiente del nego-cio y de la tecnologa

resultados de auditoras, autoevaluaciones, y certificacin controles de monitoreo aplicados por la administracin

Selccionar procesos y plataformas a auditar procesos recursos

REQUERIMIENTOS DEL PROCESO DE AUDITORA

Fijar una estrategia de auditora Controles versus riesgos Pasos y tareas Puntos de decisin

El proceso de control consiste de cuatro pasos. Primero, se especifica un estndar de desempeo deseado para un proce-so. Segundo, existe un medio de saber qu esta sucediendo en el proceso, por ejemplo, el proceso proporciona informa-cin de control a una unidad de control. Tercero, la unidad de control compara la informacin con el estndar. Cuarto, si lo que realmente est sucediendo no cumple con el estn-dar, la unidad de control dirige aquella accin correctiva a tomar, en forma de informacin para el proceso. A partir de este modelo, las siguientes observaciones de control pueden resultar relevantes para la auditora: 1. Para que este modelo funcione, la responsabilidad por

el proceso del negocio (o en este caso, de TI) debe ser claro y la responsabilidad no debe ser ambigua. Si no es as, la informacin de control no fluir y no podr tomarse accin correctiva.

2. Los estndares pueden ser de una amplia variedad, des-de planes y estrategias de alto nivel hasta indicadores clave de desempeo (KPI - Key Performance Indica-tors) y factores crticos de xito (CSF Critical Success Factors). Los estndares claramente documentados, mantenidos y comunicados son necesarios para un buen proceso de control. La responsabilidad clara por la cus-todia de dichos estndares tambin es un requerimiento para un buen control.

3. El proceso de control tiene los mismos requerimientos: bien documentado en cuanto a cmo funciona y con responsabilidades claras. Un aspecto importante es la clara definicin de lo que constituye una desviacin, esto es, cules son los lmites de desviacin.



Normas Estndares KPI / CSF

Comparacin

Proceso

Acto

Informacin De Control

4. La oportunidad, integridad y conveniencia de la infor-macin de control, as como tambin otra informa-cin, son bsicas para el buen funcionamiento de un sistema de control y es algo que el auditor debe tratar.

5. Tanto la informacin de control como la informacin de accin correctiva tendrn que cumplir los requeri-mientos de evidencia, con el fin de establecer la res-ponsabilidad despus del evento.


CCOBIOBITT DIRECTRIZ GENERAL DE AUDITORA

OBTENCIN DE UN ENTENDIMIENTO

Los pasos de auditora que se deben realizar para documentar las actividades que generan inconvenientes a los objetivos de con-trol, as como tambin identificar las medidas/procedimientos de control establecidas.

Entrevistar al personal administrativo y de staff apropiado para lograr la comprensin de: Los requerimientos del negocio y los riesgos asociados La estructura organizacional Los roles y responsabilidades Polticas y procedimientos Leyes y regulaciones Las medidas de control establecidas La actividad de reporte a la administracin (estatus, desempeo, acciones)

Documentar el proceso relacionado con los recursos de TI que se ven especialmente afectados por el proceso bajo revisin. Con-firmar el entendimiento del proceso bajo revisin, los Indicadores Clave de Desempeo (KPI) del proceso, las implicaciones de control, por ejemplo, mediante una revisin paso a paso del proceso.

EVALUACIN DE LOS CONTROLES

Los pasos de auditora a ejecutar en la evaluacin de la eficacia de las medidas de control establecidas o el grado en el que se logra el objetivo de control. Bsicamente, decidir qu se va a probar, si se va a probar y cmo se va a probar.

Evaluar la conveniencia de las medidas de control para el proceso bajo revisin mediante la consideracin de los criterios inden-tificados y las prcticas estndares de la industria, los Factores Crticos de xito (CSF) de las medidas de control y la aplicacin del juicio profesional de auditor.

Existen procesos documentados Existen resultados apropiados La responsabilidad y el registro de las operaciones son claros y efectivos Existen controles compensatorios, en donde es necesario

Concluir el grado en que se cumple el objetivo de control.

VALORACIN DEL CUMPLIMIENTO

Los pasos de auditora a realizar para asegurar que las medidas de control establecidas estn funcionando como es debido, de manera consistente y continua, y concluir sobre la conveniencia del ambiente de control.

Obtener evidencia directa o indirecta de puntos/perodos seleccionados para asegurarse que se ha cumplido con los procedimien-tos durante el perodo de revisin, utilizando evidencia tanto directa como indirecta.

Realizar una revisin limitada de la suficiencia de los resultados del proceso.

Determinar el nivel de pruebas sustantivas y trabajo adicional necesarios para asegurar que el proceso de TI es adecuado.

JUSTIFICAR/COMPROBAR EL RIESGO

Los pasos de auditora a realizar para justificar el riesgo de que no se cumpla el objetivo de control mendiante el uso de tcnicas analticas y/o consultas a fuentes alternativas. El objetivo es respaldar la opinin e impresionar a la administracin para que tome accin. Los auditores tienen que ser creativos para encontrar y presentar esta informacin que con frecuencia es sensitiva y confidencial.

Documentar las debilidades de control y las amenazas y vulnerabilidades resultantes.

Identificar y documentar el impacto real y potencial; por ejemplo, mediante el anlisis de causa-efecto.

Brindar informacin comparativa; por ejemplo, mediante benchmarks.

Los controles tambin operan en diferentes niveles dentro del ciclo tradicional de Planear-Hacer-Verificar-Corregir con el que la administracin se siente cmoda. Este modelo ilus-tra:

La secuencia lgica de planear-hacer-verificar y corregir el plan si es necesario:

Cmo sucede esto a nivel estratgico, tctico y administrativo;

Las diversas relaciones laterales y horizontales El hacer estratgico da como resultado pla-

neacin tctica; el hacer tctico da como resultado planeacin administrativa;

Las actividades de verificar y hacer co-operan e influyen continuamente una con otra; y

La actividad administrativa de verificar reporta a verificar tctico, quien a su vez reporta a verificar estratgico.

Cuando se evalan mecanismos de control, los revisores debern estar conscientes de que estos controles operan en estos diferentes niveles y de que tienen relaciones intrnse-cas. La orientacin hacia el proceso de COBIT proporciona algunas indicaciones acerca de los diferentes procesos de control, niveles e interrelaciones, pero la implantacin o va-loracin real de los sistemas de control requiere tomar en cuenta esta compleja dimensin adicional.

COLOCNDOLAS TODAS JUNTAS En resumen, las Directrices de Auditora detalladas siempre pueden complementarse tomando en cuenta el Lineamiento Genrico y el proceso bajo revisin, y obteniendo tareas de auditora adicionales para lograr el objetivo de auditora. El desarrollo del programa de auditora en s puede beneficiarse de tomar en consideracin los requerimientos del proceso de auditora de TI, el Marco Referencial de COBIT y los Objeti-vos de Control de Alto Nivel, y las Consideraciones de Con-trol que se muestran aqu.

RELACIN ENTRE LOS OBJETIVOS DE CONTROL Y LAS DI-RECTRICES DE AUDITORA Los objetivos han sido desarrollados a partir de una orienta-cin al proceso porque la administracin est buscando ase-sora proactiva sobre cmo tratar el problema de mantener TI bajo control. Los Objetivos de Control ayudan a la admi-nistracin a establecer el control sobre el proceso, las Direc-trices de Auditora ayudan al auditor o asesor a asegurar que el proceso est realmente bajo control, de tal manera que los requerimientos de informacin necesarios para lograr los objetivos del negocio sern satisfechos. La relacin entre estos dos conceptos es el proceso, por lo que las Directrices de Auditora han sido desarrolladas para cada uno de los procesos, en oposicin a cada uno de los objetivos de control.



Plan Accin Verificacin

Estratgico

Tctico

Administrativo

Correccin

Reporte

Reporte

En cuanto al marco referencial de control representado por el modelo de cascada, las Directrices de Auditora pueden ver-se como los elementos que proporcionan retroalimentacin a partir de los procesos de control para los objetivos del nego-cio. Los objetivos de control son la gua que baja por la cas-cada para tener el proceso de TI bajo control. Las Directri-ces de Auditora son la gua para regresar a la parte superior de la cascada con la pregunta: Hay seguridad de que se logre el objetivo del negocio? Algunas veces, las Directri-ces de Auditora son traducciones literales de los Objetivos de Control; con mayor frecuencia, las Directrices buscan la evidencia de que el proceso est bajo control. OPORTUNIDADES Y RETOS PARA LAS TAREAS DE EVALUA-CIN La utilizacin del Marco Referencial, los Objetivos de Con-trol y las Directrices de Auditora como fundamento para la tarea de auditora/valoracin nos presenta algunas ventajas definitivas:

Permite dar prioridad a las actividades de auditora y reas bajo revisin, utilizando las calificaciones Primaria y Secundaria de los criterios de informa-cin;

Conduce a reas de investigacin que normalmen-te sin un marco referencial o modelo- no seran tratadas; Puede desarrollarse una planeacin y se-cuencia de entrevistas ms lgica conforme los auditores avanzan en el proceso;

Las investigaciones pueden enfocarse utilizando el indicador de qu recurso es ms importante en qu proceso; y

Como un estndar para definir las reas de TI au-ditables para el plan estratgico de auditora, con el fin de asegurar La cobertura efectiva de la auditora La adquisicin/desarrollo oportuno de las

habilidades necesarias para la auditora. Sin embargo, existen algunos retos en cuanto a la integra-cin del marco referencial y de los objetivos dentro del tra-bajo de auditora:

El cambio nunca es fcil (actitud, conjunto de herramientas, conjunto de habilidades, etc.);

La naturaleza detallada hace difcil la aplicacin inicial, especialmente cuando se est verificando la completitud7 y aplicabilidad de los objetivos de control para el rea bajo revisin;

Existe un grado necesario de repeticin en las Di-rectrices de Auditora porque rara vez hay una relacin uno-a-uno entre el objetivo de control y los mecanismos de control, un mecanismo contri-buye de varias maneras a varios objetivos, un obje-tivo necesita de varios mecanismos para lograr su cometido; y


CCOBIOBITT

LineamientosDetallados de Auditoria

Requerimientos deProceso de Auditoria

Marco de Referencia de Control

efect

ivida

d

efic ie

ncia

confi

denc

ialida

d

integ

ridad

dispo

nibil id

ad

cum

plimi

ento

confi

abilid

ad

P SPlaneacin &Organizacin

Adquisicin &Implementacin

Entrega &Soporte

Monitoreo

aplica

cione

s

tecno

loga

facilid

ades

datosge

nte

9 9

Prcticas deControl

Los Estatutosde Control

Requerimientosde negocio

El control de

Lo cual satisface

es posible por

considerando las

Proceso de TI

Observaciones de Control

NormasEstndares KPI / CSF

ComparacinProceso

Acto

Infor

cobit 3 spanish audit guidelines

Documents