14 Cobit Guias de Auditoria

DIRECTRICES DE AUDITORIAAbril de 1998 2da EdicinEmitido por el Comit Directivo de COBIT yla Information Systems Audit and Control Foundation

La Misin de COBIT:Investigar, desarrollar, publicar y promover un conjunto de objetivos de control en tecnologa de informacin con autoridad, actualizados, de carcter internacional y aceptados generalmente para el uso cotidiano de gerentes de empresas y auditores.

ARGENTINA ARUBA AUSTRALIA AUSTRIA BAHAMAS BAHRAIN BANGLEDESH BARBADOS BLGICA BERMUDA BOLIVIA BOSTSWANA BRASIL BRUENI CANAD CHILE CHINA COLOMBIA COSTA RICA CROATA CURAZAO CYPRUS REPBLICA CHECA DINAMARCA REPBLICA DOMINICANA

INFORMATION SYSTEMS AUDIT AND CONTROL ASSOCIATIONUna sola Fuente Internacional para los Controles de la Tecnologa de InformacinInformation Systems Audit and Control Association es una organizacin global lder de profesionales que representa a individuos en ms de 100 pases y comprende todos los niveles de la tecnologa de informacin Direccin ejecutiva, media gerencia y practicantes. La Asociacin est nicamente posesionada para cubrir el papel de generador central que armoniza los estndares de las prcticas de control de la TI a nivel mundial. Sus alianzas estratgicas con otros grupos dentro del mbito profesional financiero, contable, de auditora y de la TI aseguran un nivel sin paralelo de integracin y compromiso a los dueos del proceso de negocio. La Information Systems Audit and Control Association se cre en 1969 para cubrir las necesidades nicas, diversas y de alta tecnologa en el naciente campo de la TI. En una industria donde el progreso se mide en nonasegundos, ISACA se ha movido gil y velozmente para satisfacer las necesidades de la comunidad de negocios internacionales y de la profesin de controles de la TI. su programa de educacin profesional ofrece conferencias tcnicas y administrativas en cinco continentes, as como seminarios en todo el mundo para ayudar a los profesionistas de todo el mundo a recibir educacin contina de alta calidad. su rea de publicidad tcnica proporciona materiales de desarrollo profesional y referencias con el fin de aumentar su distinguida seleccin de programas y servicios.

ECUADOR EGIPTO ESTONIA ISLAS FAEROE FINLANDIA FRANCIA ALEMANIA GHANA GRECIA GUAM GUATEMALA HONDURAS HONG KONG HUNGRA ISLANDIA INDIA INDONESIA IRLANDA ISRAEL ITALIA IVORY COAST JAMAICA JAPN JORDN KENYA COREA KUWAIT LATVIA LEBANON

Programas y Servicios de la AsociacinLos Programas y Servicios de la Asociacin han ganado prestigio al establecer los niveles ms altos de excelencia en certificacin, estndares, educacin profesional y publicidad tcnica. su programa de certificacin (el Auditor de Sistemas de Informacin Certificado) es la nica designacin global en toda la comunidad de control y auditora de la TI.

Para ms InformacinPara recibir informacin adicional, puede llamar al (+1.847.253.1545), enviar un email a ([email protected]) o visitar nuestra pgina (www.isaca.org).

LIECHTENSTEIN LITUANIA LUXEMBURGO MALASIA MALTA MALAWI MXICO PASES BAJOS NUEVA GUINEA NUEVA ZELANDA NIGERIA NORUEGA OMN PAKISTN PANAM PER FILIPINAS POLONIA PORTUGAL QATAR RUSIA SAIPAN ARABIA SAUDITA ESCOCIA SEYCHELLES SINGAPUR REP. ESLOVACA ESLOVENIA SUDFRICA ESPAA SRI LANKA ST. KITTS ST. LUCIA SUECIA SUIZA SIRIA TAIWAN TANZANIA TASMANIA TAILANDIA TRINIDAD & TOBAGO

las actividades estndares establecen la base de calidad mediante la cual otras actividades de control y auditora de la TI se miden.

TURQUA UGANDA EMIRATOS ARAB UNIDOS REINO UNIDO ESTADOS UNIDOS

URUGUAY VENEZUELA VIETNAM GALES YEMEN ZAMBIA ZIMBABWE

OBJETIVOS DE CONTROL PARA LA INFORMACIN

Y TECNOLOGAS AFINES

CONTENIDOReconocimientos Resumen Ejecutivo Antecedentes El Marco Referencial de COBIT Estableciendo la escena.........................................11-13 Los Principios del Marco Referencial...................14-18 Gua para la utilizacin del Marco Referencial y Objetivos de Control.......................19-20 Tabla Resumen Introduccin a los Lineamientos de Auditoria Lineamiento General de Auditoria Lineamientos de Auditora 21 4-5 7-8 9-10Lmite de Responsabilidad La Information Systems Audit and Control Foundation y los patrocinadores de COBIT: Objetivos de Control para la Informacin y Tecnologas afines, han diseado este producto principalmente como una fuente de instruccin para los profesionales dedicados a las actividades de control. La Information Systems Audit and Control Foundation y los patrocinadores no declaran que el uso de este producto asegurar un resultado exitoso. No deber considerarse que este producto incluye todos los procedimientos o pruebas apropiados o que excluye otros procedimientos y pruebas que estn razonablemente dirigidos hacia la obtencin de los mismos resultados. Para determinar la conveniencia de cualquier prueba o procedimiento especfico, los expertos en control debern aplicar su propio juicio profesional a las circunstancias de control especiales presentadas por cada entorno de sistemas en particular. Acuerdo de Licencia (disclosure) Copyright 1996, 1998 de la Information Systems Audit and Control Foundation (ISACF). La reproduccin para fines comerciales no est permitida sin el previo consentimiento por escrito de la ISACF. Se otorga permiso para reproducir el Resumen Ejecutivo, el Marco Referencial y los Objetivos de Control para uso interno no comercial, incluyendo almacenamiento en medios de recuperacin de datos y transmisin en cualquier medio, incluyendo electrnico, mecnico, grabado u otro medio. Todas las copias del Resumen Ejecutivo, el Marco Referencial y los Objetivos de Control deben incluir el siguiente reconocimiento y leyenda de derechos de autor: Copyright 1996, 1998 Information Systems Audit and Control Foundation, reimpreso con la autorizacin de la Information Systems Audit and Control Foundation. Ningn otro derecho o permiso relacionado con esta obra es otorgado. Las Directrices de Auditora y el conjunto de herramientas de implementacin no pueden ser reproducidos, almacenados en un sistema de recuperacin de datos o transmitido en ninguna forma ni por ningn medio electrnico, mecnico, fotocopiado, grabado u otro medio- sin la previa autorizacin por escrito de la ISACF. Excepto por lo indicado, no se otorga ningn otro derecho o permiso relacionado con esta obra. Traducido al espaol de COBIT 2da Edicin: Objetivos de Control para la Informacin y Tecnologas afines por Gustavo A. Sols Montes, CISA con el permiso de la Information Systems Audit and Control Foundation (ISACF). Esta traduccin no fue revisada por la ISACF, por lo tanto, no garantiza la fidelidad y/o exactitud de la misma. Si desea obtener mayor informacin sobre ISACF, visite su web site en www.isaca.org. Information Systems Audit and Control Foundation 3701 Algonquin Road, Suite 1010 Rolling Meadows, Illinois 60008 USA. Telfono: +1.847.253.1545 Fax: +1.847.253.1443 E-mail: [email protected] Website: www.isaca.org

23-27, 29-31 28 33

Planeacin y Organizacin....................................35-86 Adquisicin e Implementacin............................87-118 Entrega de Servicios y Soporte..........................119-188 Monitoreo...........................................................189-204 Apndice I Lista de Dominios, Procesos y Objetivos de Control..........................................205-209 Apndice II Material de Referencia Primaria........................210-211 Apndice III Glosario de Trminos................................................212 Apndice IV Proceso de Auditora..........................................213-216 Apndice V Cumplimiento del Ao 2000..............................217-219 ndice 220-222

ISBN 0-9629440-6-8 (Audit Guidelines, English)

AUDITORA DE LOS SISTEMAS DE INFORMACIN Y LOS FUNDAMENTOS DE CONTROL

3

COBITRECONOCIMIENTOSPRINCIPALES PATRIOCINADORES DE LACORPORACIN A NIVEL MUNDIAL

PATROCINADORES DE LOS ASOCIADOS DE LA CORPORACINFellesdata a/s, Norway NoviT a/s, Norway

PRINCIPALES CAPTULOS DE ISACA PATROCINADORESBenelux National Capital Area New York Metropolitan Norway Toronto

CAPTULOS DE ISACA ASOCIADOS PATROCINADORESAdelaide Atlanta Auckland Austin Bangkok Brisbane Canberra Central Arkansas Central Indiana Central Maryland Central New York Denver Detroit Finland Greater Hartford Hawaii Houston Hudson Valley Indonesia London Los Angeles Middle Tennessee Minnesota New England New Jersey New Mexico North Alabama North Texas Northeast Ohio Northern United Kingdom Philadelphia Pittsburgh Puget Sound Research Triangle Sacramento San Diego Santiago de Chile Seoul South Texas St. Louis Sweden Tokyo Tulsa Victoria Virginia Wellington Winnipeg

CONTRIBUCIONES INDIVIDUALESBill Bartgis John Beveridge William Bialkowski Alllen Bragan Maryanne S. Canant Michael Donahue John Lainhart Akira Matsuo4

Teresa McCauley Robert G. Parker Daniel Ramos Deepak Sarup Lily Shue Patrick Stachtchenko Kevin Weston

DIRECTRICES DE AUDITORA


Y TECNOLOGAS AFINES

RECONOCIMIENTOSEL EQUIPO DEL PROYECTOErik Guldentops, S.W.I.F.T. S.C., Belgium Eddy Schuermans, Coopers & Lybrand, Belgium Thomas Lamm, ISACF, USA

ANALISTAS EXPERTOS USAProf. Ulric J. Gelinas, Bentley College John Hayes, Price Waterhouse LLP Greg Hedges, Arthur Andersen & Co., S.C. Dave Kent, Price Waterhouse LLP Tom Kothe, Ernst & Young LLP John Lainhart, Inspector General, U.S. House of Representatives, USA Robert Roussey, University of Southern California

COMIT QUE DIRIGE EL PROYECTOErik Guldentops, S.W.I.F.T. S.C., Belgium John Beveridge, State Auditors Office, Massachusetts, USA Prof. Dr. Bart De Schutter, Vrije Universiteit Brussels, Chairman BRT Belgium Gary Hardy, Arthur Andersen, United Kingdom John Lainhart, Inspector General, U.S. House of Representatives, USA Akira Matsuo, Chuo Audit Corporation, Japan Eddy Schuermans, Coopers & Lybrand, Belgium Paul Williams, Arthur Andersen, United Kingdom Thomas Lamm, ISACF, USA

CALIDAD GARANTIZADAGary Austin, GAO Chris Bagot, NATO Rick Beatty, California Federal Bank Peter De Koninck, Coopers & Lybrand Balencia Dozier, Manufacturers Bank Doris Gin, Arthur Andersen & Co., LLP A.I. Heijkamp, Computercentrum VSB Max Huijbers, Rijkscomputercentrum Peter Maertens, NATO Bill Pepper, Zergo, Ltd. Mark Stanley, Santa Barbara Bank Tjerk Terpstra, Inter Access Mark Wheeler, Farmers Insurance Carla Williams, Executive Consultants AGRADECIMIENTO ESPECIAL a los miembros de la Mesa directiva de la Information Systems Audit and Control Association, y los Fideicomisarios de la Information Systems Audit and Control Foundation por su continuo y firme apoyo a la familia de productos de COBIT

INVESTIGADORESVrije Universiteit Amsterdam, The Netherlands Prof. M.E. Van Biene-Hershey Ren Barlage, RB Consultants California Polytechnic University, USA Prof. Dan Manson, Lead Researcher

ANALISTAS EXPERTOS EUROPAChris Bagot, NATO Ren Barlage, RB Consultants Prof. Dr. Henri Beker, Zergo, Ltd. John Beveridge, ISACA Past President Erik Guldentops, S.W.I.F.T. S.C. Gary Hardy, Arthur Andersen Eddy Schuermans, Coopers & Lybrand Alan Stanley, European Security Forum Danny Van Riel, Johnson & Johnson Bram Vandenberg, Ernst & Young


5

COBIT

6


RESUMEN EJECUTIVO

U

n elemento crtico para el xito y la supervivencia de las organizaciones, es la administracin efectiva de la informacin y de la Tecnologa de Informacin (TI) relacionada. En esta sociedad global (donde la informacin viaja a travs del ciberespacio sin las restricciones de tiempo, distancia y velocidad) esta criticalidad emerge de: l la creciente dependencia en informacin y en los sistemas que proporcionan dicha informacin l la creciente vulnerabilidad y un amplio espectro de amenazas, tales como las ciber amenazas y la guerra de informacin l la escala y el costo de las inversiones actuales y futuras en informacin y en tecnologa de informacin; y l el potencial que tienen las tecnologas para cambiar radicalmente las organizaciones y las prcticas de negocio, crear nuevas oportunidades y reducir costos Para muchas organizaciones, la informacin y la tecnologa que la soporta, representan los activos mas valiosos de la empresa. Es ms, en nuestro competitivo y rpidamente cambiante ambiente actual, la gerencia ha incrementado sus expectativas relacionadas con la entrega de servicios de TI. Verdaderamente, la informacin y los sistemas de informacin son penetrantes en las organizaciones (desde la plataforma del usuario hasta las redes locales o amplias, cliente servidor y equipos Mainframe. Por lo tanto, la administracin requiere niveles de servicio que presenten incrementos en calidad, en funcionalidad y en facilidad de uso, as como un mejoramiento continuo y una disminucin de los tiempos de entrega) al tiempo que demanda que esto se realice a un costo ms bajo. Muchas organizaciones reconocen los beneficios potenciales que la tecnologa puede proporcionar. Las organizaciones exitosas, sin embargo, tambin comprenden y administran los riesgos asociados con la implementacin de nueva tecnologa. Por lo tanto, la administracin debe tener una apreciacin por, y un entendimiento bsico de los riesgos y limitantes del empleo de la tecnologa de informacin para proporcionar una direccin efectiva y controles adecuados. COBIT ayuda a salvar las brechas existentes entre riesgos de negocio, necesidades de control y aspectos tcnicos. Proporciona prcticas sanas a travs de un Marco Referencial de dominios y procesos y presenta actividades en una estructura manejable y lgica. Las prcticas sanas de COBIT representan el consenso de los expertos (le ayudarn a optimizar la inversin en informacin, pero an ms importante, representan aquello sobre lo usted ser juzgado si las cosas salen mal. as organizaciones deben cumplir con requerimientos de calidad, de reportes fiduciarios y de seguridad, tanto para su informacin, como para sus activos. La administracin deber obtener un balance adecuado en el empleo de sus recursos disponibles, los cuales incluyen: personal, instalaciones, tecnologa, sistemas de aplicacin y datos. Para cumplir con esta responsabilidad, as como para alcanzar sus expectativas, la administracin deber establecer un sistema adecuado de control interno. Por lo tanto, este sistema o marco referencial deber existir para proporcionar soporte a los procesos de negocio y debe ser preciso en la forma en la que cada actividad individual de control satisface los requerimientos de informacin y puede impactar a los recursos de TI. El impacto en los recursos de TI es enfatizado en el Marco Referencial de COBIT conjuntamente a los requerimientos de informacin del negocio que deben ser alcanzados: efectividad, eficiencia, confidencialidad, integridad, disponibilidad, cumplimiento y confiabilidad. El control, que incluye polticas, estructuras, prcticas y procedimientos organizacionales, es responsabilidad de la administracin. La administracin, mediante este gobierno corporativo, debe asegurar que la debida diligencia sea ejercitada por todos los individuos involucrados en la administracin, empleo, diseo, desarrollo, mantenimiento u operacin de sistemas de informacin. Un Objetivo de Control en TI es una definicin del resultado o propsito que se desea alcanzar implementando procedimientos de control especficos dentro de una actividad de TI.

dueos de procesos para que estos posean total responsabilidad de todos los aspectos relacionados con dichos procesos de negocio. En forma particular, esto incluye el proporcionar controles adecuados. El Marco Referencial de COBIT proporciona herramientas al propietario de procesos de negocio que facilitan el cumplimiento de esta responsabilidad. El Marco Referencial comienza con una premisa simple y prctica: Con el fin de proporcionar la informacin que la empresa necesita para alcanzar sus objetivos, los recursos de TI deben ser administrados por un conjunto de procesos de TI agrupados en forma natural. ontina con un conjunto de 34 Objetivos de Control de alto nivel, uno para cada uno de los Procesos de TI, agrupados en cuatro dominios: planeacin & organizacin, adquisicin & implementacin, entrega (de servicio) y monitoreo. Esta estructura cubre todos los aspectos de informacin y de la tecnologa que la soporta. Dirigiendo estos 34 Objetivos de Control de alto nivel, el propietario de procesos de negocio podr asegurar que se proporciona un sistema de control adecuado para el ambiente de tecnologa de informacin. Adicionalmente, correspondiendo a cada uno de los 34 objetivos de control de alto nivel, existe una gua de auditora o de aseguramiento que permite la revisin de los procesos de TI contra los 302 objetivos detallados de control recomendados por COBIT para proporcionar a la Gerencia la certeza de su cumplimiento y/o una recomendacin para su mejora. COBIT contiene un conjunto de herramientas de implementacin que proporciona lecciones aprendidas por empresas que rpida y exitosamente aplicaron COBIT en sus ambientes de trabajo. Incluye un Resumen Ejecutivo para el entendimiento y la sensibilizacin de la alta gerencia sobre los principios y conceptos fundamentales de COBIT. La gua de implementacin cuenta con dos tiles herramientas (Diagnstico de Sensibilizacin Gerencial y Diagnstico de Control en TI ) para proporcionar asistencia en el anlisis del ambiente de control en una organizacin.

C

El Marco Referencial COBIT otorga especial importancia al impacto sobre los recursos de TI, as como a los requerimientos de negocios en cuanto a efectividad, eficiencia, confidencialidad, integridad, disponibilidad, cumplimiento y confiabilidad que deben ser satisfechos. Adems, el Marco Referencial proporciona definiciones para los requerimientos de negocio que son derivados de objetivos de control superiores en lo referente a calidad, seguridad y reportes fiduciarios en tanto se relacionen con Tecnologa de Informacin.

L

L

a administracin de una empresa requiere de prcticas generalmente aplicables y aceptadas de control y gobierno en TI para medir en forma comparativa tanto su ambiente de TI existente, como su ambiente planeado. COBIT es una herramienta que permite a los gerentes comunicarse y salvar la brecha existente entre los requerimientos de control, aspectos tcnicos y riesgos de negocio. COBIT habilita el desarrollo de una poltica clara y de buenas prcticas de control de TI a travs de organizaciones, a nivel mundial. El objetivo de COBIT es proporcionar estos objetivos de control, dentro del marco referencial definido, y obtener la aprobacin y el apoyo de las entidades comerciales, gubernamentales y profesionales en todo el mundo. Por lo tanto, COBIT esta orientado a ser la herramienta de gobierno de TI que ayude al entendimiento y a la administracin de riesgos asociados con tecnologa de informacin y con tecnologas relacionadas.

1 2

3 4 5

L

a orientacin a negocios es el tema principal de COBIT. Esta diseado no solo para ser utilizado por usuarios y auditores, sino que en forma ms importante, esta diseado para ser utilizado como una lista de verificacin detallada para los propietarios de los procesos de negocio. En forma incremental, las prcticas de negocio requieren de una mayor delegacin y apoderamiento de los

6 7

Guerra de informacin (information warfare) Gobierno corporativo (corporate governance): Governance es un trmino que representa el sistema que establece la alta gerencia para asegurar el logro de los objetivos de una Organizacin. Lista de verificacin (check list) Apoderamiento (empowerment) Diagnstico de Sensibilizacin Gerencial (management awareness diagnostic) Diagnstico de Control en TI (IT control diagnostic) Medir en forma comparativa (benchmark) 7


COBITPROCESOS DE IT DE COBIT DEFINIDOS DENTRO DE LOS CUATRO DOMINIOSOBJEIVOS DE NEGOCIO OBJETIVOS DE NEGOCIO

PO1

OBIM1 Monitorear los procesos M2 Evaluar lo adecuado del control Interno M3 Obtener aseguramiento independiente M4 Proporcionar auditora independiente

INFORMACION efectividad eficiencia confidencialidad integridad disponibilidad cumplimiento confiabilidad

Definir un Plan Estratgico de Tecnologa de Informacin PO2 Definir la Arquitectura de Informacin PO3 Determinar la direccin tecnolgica PO4 Definir la Organizacin y de las Relaciones de TI PO5 Manejar la Inversin en Tecnologa de Informacin PO6 Comunicar la direccin y aspiraciones de la gerencia PO7 Administrar Recursos Humanos PO8 Asegurar el Cumplimiento de Requerimientos Externos PO9 Evaluar Riesgos PO10 Administrar proyectos PO11 Administrar Calidad

MONITOREO

RECURSOS DE TI datos sistemas de aplicacin tecnologa instalaciones gente

PLANEACION Y ORGANIZACION

ENTREGA Y SOPORTE

ADQUISICION E IMPLEMENTACION

DS1 DS2 DS3 DS4 DS5 DS6 DS7 DS8 DS9 DS10 DS11 DS12 DS13

Definir Niveles de Servicio Administrar Servicios prestados por Terceros Administrar Desempeo y Capacidad Asegurar Servicio Continuo Garantizar la Seguridad de Sistemas Identificar y Asignar Costos Educar y Entrenar a los Usuarios Apoyar y Asistir a los Clientes de TI Administrar la Configuracin Administrar Problemas e Incidentes Administrar Datos Administrar Instalaciones Administrar Operaciones

AI1 Identificar Soluciones AI2 Adquirir y Mantener Software de Aplicacin AI3 Adquirir y Mantener Arquitectura de Tecnologa AI4 Desarrollar y Mantener Procedimientos relacionados con TI AI5 Instalar y Acreditar Sistemas AI6 Administrar Cambios

8



Y TECNOLOGAS AFINES

ANTECEDENTESDESARROLLO DEL PRODUCTO COBIT COBIT ha sido desarrollado como un estndar generalmente aplicable y aceptado para las buenas prcticas de seguridad y control en Tecnologa de Informacin (TI). COBIT es la herramienta innovadora para el gobierno8 de TI -. COBIT se fundamenta en los Objetivos de Control existentes de la Information Systems Audit and Control Foundation (ISACF), mejorados a partir de estndares internacionales tcnicos, profesionales, regulatorios y especficos para la industria, tanto existentes como en surgimiento. Los Objetivos de Control resultantes han sido desarrollados para su aplicacin en sistemas de informacin en toda la empresa. El trmino generalmente aplicables y aceptados es utilizado explcitamente en el mismo sentido que los Principios de Contabilidad Generalmente Aceptados (PCGA o GAAP por sus siglas en ingls). Para propsitos del proyecto, buenas prcticas significa consenso por parte de los expertos. Este estndar es relativamente pequeo en tamao, con el fin de ser prctico y responder, en la medida de lo posible, a las necesidades de negocio, manteniendo al mismo tiempo una independencia con respecto a las plataformas tcnicas de TI adoptadas en una organizacin. El proporcionar indicadores de desempeo (normas, reglas, etc.), ha sido identificado como prioridad para las mejoras futuras que se realizarn al marco referencial. El desarrollo de COBIT ha trado como resultado la publicacin del Marco Referencial general y de los Objetivos de Control detallados, y le seguirn actividades educativas. Estas actividades asegurarn el uso general de los resultados del Proyecto de Investigacin COBIT. Se determin que las mejoras a los objetivos de control originales deberan consistir en:

una revisin crtica y actualizacin de las guasactuales para desarrollo de auditoras de sistemas de informacin Sin excluir ningn otro estndar aceptado en el campo del control de sistemas de informacin que pudiera emitirse durante la investigacin, las fuentes han sido identificadas inicialmente como: Estndares Tcnicos de ISO, EDIFACT, etc. Cdigos de Conducta emitidos por el Council of Europe, OECD, ISACA, etc.; Criterios de Calificacin para sistemas y procesos de TI: ITSEC, ISO9000, SPICE, TickIT, etc.; Estndares Profesionales para control interno y auditora: reporte COSO, GAO, IFAC, IIA, ISACA, estndares CPA, etc.; Prcticas y requerimientos de la Industria de foros industriales (ESF, 14) y plataformas patrocinadas por el gobierno (IBAG, NIST, DTI); y Nuevos requerimientos especficos de la industria de la banca y manufactura de TI. (Ver Apndice III Glosario de Trminos para definiciones de siglas) DEFINICIN DEL PRODUCTO COBIT El desarrollo de COBIT ha resultado en la publicaci de: l un Resumen Ejecutivo el cual, adicionalmente a esta seccin de antecedentes, consiste en una Sntesis Ejecutiva (que proporciona a la alta gerencia entendimiento y conciencia sobre los conceptos clave y principios de COBIT) y el Marco Referencial (el cual proporciona a la alta gerencia un entendimiento ms detallado de los conceptos clave y principios de COBIT e identifica los cuatro dominios de COBIT y los correspondientes 34 procesos de TI); l el Marco Referencial que describe en detalle los 34 objetivos de control de alto nivel e identifica los requerimientos de negocio para la informacin y los recursos de TI que son impactados en forma primaria por cada objetivo de control; Objetivos de Control, los cuales contienen declaraciones de los resultados deseados o propsitos a ser alcanzados mediante la implementacin de 302 objetivos de control detallados y especficos a travs de los 34 procesos de TI;

el desarrollo de un marco referencial para control en TI como fundamento para los objetivos de control en TI y como una gua para la investigacin consistente en auditora y control de TI; una alineacin del marco referencial general y de los objetivos de control individuales, con estndares y regulaciones internacionales existentes de hecho y de derecho; y una revisin crtica de las diferentes actividades y tareas que conforman los dominios de control en TI y, cuando fuese posible, la especificacin de indicadores de desempeo relevantes (normas, reglas, etc.) y

8

Gobierno (governance): sistema que establece la alta gerencia para asegurar el logro de los objetivos de una Organizacin. 9


COBITANTECEDENTES, continal

l

Directrices de Auditora, las cuales contienen los pasos de auditora correspondientes a cada uno de los 34 objetivos de control de TI de alto nivel para proporcionar asistencia a los auditores de sistemas en la revisin de los procesos de TI con respecto a los 302 objetivos detallados de control recomendados para proporcionar a la gerencia certeza o una recomendaciones de mejoramiento; un Conjunto de Herramientas de Implementacin, el cual proporciona lecciones aprendidas por organizaciones que han aplicado COBIT rpida y exitosamente en sus ambientes de trabajo.

El Conjunto de Herramientas de Implementacin incluye la Sntesis Ejecutiva, proporcionando a la alta gerencia conciencia y entendimiento de COBIT. Tambin incluye una gua de implementacin con dos tiles herramientas Diagnstico de la Conciencia de la Gerencia9 y el Diagnstico de Control de TI10 - para proporcionar asistencia en el anlisis del ambiente de control en TI de una organizacin. Tambin se incluyen varios casos de estudio que detallan cmo organizaciones en todo el mundo han implementado COBIT exitosamente. Adicionalmente, se incluyen respuestas a las 25 preguntas mas frecuentes acerca de COBIT y varias presentaciones para distintos niveles jerrquicos y audiencias dentro de las organizaciones. EVOLUCIN DEL PRODUCTO COBIT COBIT evolucionar a travs de los aos y ser el fundamento de investigaciones futuras. Por lo tanto, se generar una familia de productos COBIT y al ocurrir esto, las tareas y actividades que sirven como la estructura para organizar los Objetivos de Control de TI, sern refinadas posteriormente, tambin ser revisado el balance entre los dominios y los procesos a la luz de los cambios en la industria. Una temprana adicin significativa visualizada para la familia de productos COBIT, es el desarrollo de las Guas de Gerenciales11 que incluyen Factores Crticos de Exito, Indicadores Clave de Desempeo y Medidas Comparativas12. Esta adicin proporcionar herramientas a la gerencia para evaluar el ambiente de TI de su organizacin con respecto a los 34 Objetivos de Control de alto nivel de COBIT. Los Factores Crticos de Exito identificarn los aspectos o acciones ms importantes para la administracin y poder as tomar dichas acciones o considerar los aspectos para lograr control sobre sus procesos de TI. Los Indicadores Clave de Desempeo proporcionarn medidas de xito que permitan conocer a la gerencia si un proceso de TI esta alcanzando los requerimientos de negocio. La Medidas Comparativas definirn niveles de madurez que10

pueden ser utilizadas por la gerencia para: (1) determinar el nivel actual de madurez de la empresa; (2) determinar el nivel de madurez que desea lograr, como una funcin de sus riesgos y objetivos; y (3) proporcionar una base de comparacin de sus prcticas de control de TI contra empresas similares o normas de la industria. Esta adicin proporcionar herramientas a la gerencia para evaluar el ambiente de TI de su organizacin con respecto a los 34 Objetivos de Control de alto nivel de COBIT. Las investigaciones y publicaciones han sido posibles gracias a contribuciones de Unysis, Unitech Systems, Inc., MIS Training Institute, Zergo, Ltd., y Coopers & Lybrand. El Forum Europeo de Seguridad (European Security Forum ESF-) amablemente puso a disposicin material para el proyecto. Otras donaciones fueron recibidas de captulos miembros de ISACA de todo el mundo.

SUMARIO DE LOS EXECUTIVOS

Familia de Productos COBIT

CONJUNTODE HERRAMIENTAS DE IMPLEMENTACINSumano de los Executivos Visin de los Executivos Estudios de los Casos FAQS Presentacins de PowerPoint Gui a de Implementacin

MACRO REFERENCIAL objetivos de control de alto nivel

Programa de la Conciencia

GUIAS GERENCIALS

OBJETIVOS DETALLADOS DE CONTROL

DIRECTRICES DE AUDITORIA

Factores Crticos del xito

Cumplimiento de los Principales Indicadores

Medidas Comparativas

9

10 11 12

Diagnstico de la Conciencia de la Gerencia (management awareness diagnostic) Diagnstico de Control de TI (IT control diagnostic) Guas gerenciales (management guidelines ) Medidas comparativas (benchmarks) DIRECTRICES DE AUDITORA


Y TECNOLOGAS AFINES

EL MARCO REFERENCIAL DE COBITESTABLECIENDO LA ESCENALA NECESIDAD DE CONTROL EN TECNOLOGIA DE INFORMACION En aos recientes, ha sido cada vez ms evidente para los legisladores, usuarios y proveedores de servicios la necesidad de un Marco Referencial para la seguridad y el control de tecnologa de informacin (TI). Un elemento crtico para el xito y la supervivencia de las organizaciones, es la administracin efectiva de la informacin y de la Tecnologa de Informacin (TI) relacionada. En esta sociedad global (donde la informacin viaja a travs del ciberespacio sin las restricciones de tiempo, distancia y velocidad) esta criticalidad emerge de:l l

to a la seguridad en los servicios TI, a travs de la acreditacin y la auditora de servicios de TI proporcionados internamente o por terceras partes, que aseguren la existencia de controles adecuados. Actualmente, sin embargo, es confusa la implementacin de buenos controles de TI en sistemas de negocios por parte de entidades comerciales, entidades sin fines de lucro o entidades gubernamentales. Esta confusin proviene de los diferentes mtodos de evaluacin, tales como ITSEC, TCSEC, evaluaciones ISO9000, nuevas evaluaciones de control interno COSO, etc. Como resultado, los usuarios necesitan una base general a ser establecida como primer paso. Frecuentemente, los AUDITORES han tomado el liderazgo en estos esfuerzos internacionales de estandarizacin, debido a que ellos enfrentan continuamente la necesidad de sustentar y apoyar frente a la Gerencia su opinin acerca de los controles internos. Sin contar con un marco referencial, sta se convierte en una tarea demasiado complicada. Esto ha sido mostrado en varios estudios recientes acerca de la manera en la que los auditores evalan situaciones complejas de seguridad y control en TI, estudios que fueron dados a conocer casi simultneamente en diferentes partes del mundo. Incluso, la administracin consulta cada vez ms a los auditores para que la asesoren en forma proactiva en lo referente a asuntos de seguridad y control de TI. EL AMBIENTE DE NEGOCIOS: COMPETENCIA, CAMBIO & COSTOS La competencia global es ya un hecho. Las organizaciones se reestructuran con el fin de perfeccionar sus operaciones y al mismo tiempo aprovechar los avances en tecnologa de sistemas de informacin para mejorar su posicin competitiva. La reingeniera en los negocios, las reestructuraciones, el outsourcing, las organizaciones horizontales y el procesamiento distribuido son cambios que impactan la manera en la que operan tanto los negocios como las entidades gubernamentales. Estos cambios han tenido y continuarn teniendo, profundas implicaciones para la administracin y las estructuras de control operacional dentro de las organizaciones en todo el mundo. La especial atencin prestada a la obtencin de ventajas competitivas y a la economa implica una dependencia creciente en la computacin como el componente ms importante en la estrategia de la mayora de las organizaciones. La automatizacin de las funciones organizacionales, por su naturaleza, dicta la incorporacin de mecanismos de control ms poderosos en13

la creciente dependencia en informacin y en los sistemas que proporcionan dicha informacin la creciente vulnerabilidad y un amplio espectro de amenazas, tales como las ciber amenazas y la guerra de informacin la escala y el costo de las inversiones actuales y futuras en informacin y en tecnologa de informacin; y el potencial que tienen las tecnologas para cambiar radicalmente las organizaciones y las prcticas de negocio, crear nuevas oportunidades y reducir costos

l l

Para muchas organizaciones, la informacin y la tecnologa que la soporta, representan los activos mas valiosos de la empresa. Verdaderamente, la informacin y los sistemas de informacin son penetrantes en las organizaciones (desde la plataforma del usuario hasta las redes locales o amplias, cliente servidor y equipos Mainframe. Muchas organizaciones reconocen los beneficios potenciales que la tecnologa puede proporcionar. Las organizaciones exitosas, sin embargo, tambin comprenden y administran los riesgos asociados con la implementacin de nueva tecnologa. Por lo tanto, la administracin debe tener una apreciacin por, y un entendimiento bsico de los riesgos y limitantes del empleo de la tecnologa de informacin para proporcionar una direccin efectiva y controles adecuados La administracin debe decidir la inversin razonable en seguridad y control en TI y cmo lograr un balance entre riesgos e inversiones en control en un ambiente de TI frecuentemente impredecible. La administracin necesita un Marco Referencial de prcticas de seguridad y control de TI generalmente aceptadas para medir comparativamente su ambiente de TI, tanto el existente como el planeado. Existe una creciente necesidad entre los USUARIOS en cuan-

Guerra de informacin (information warfare) 11


COBIT

las computadoras y en las redes, tanto los basados en hardware como los basados en software. Adems, las caractersticas estructurales fundamentales de estos controles estn evolucionando al mismo paso que las tecnologas de computacin y las redes. Si los administradores, los especialistas en sistemas de informacin y los auditores desean en realidad ser capaces de cumplir con sus tareas en forma efectiva dentro de un marco contextual de cambios acelerados, debern aumentar y mejorar sus habilidades tan rpidamente como lo demandan la tecnologa y el ambiente. Debemos comprender la tecnologa de controles involucrada y su naturaleza cambiante si deseamos emitir y ejercer juicios razonables y prudentes al evaluar las prcticas de control que se encuentran en los negocios tpicos o en las organizaciones gubernamentales. RESPUESTA A LAS NECESIDADES En vista de estos continuos cambios, el desarrollo de este Marco Referencial de objetivos de control para TI, conjuntamente con una investigacin continua aplicada a controles de TI basada en este marco referencial, constituyen el fundamento para el progreso efectivo en el campo de los controles de sistemas de informacin. Por otro lado, hemos sido testigos del desarrollo y publicacin de modelos de control generales de negocios como COSO [Committee of Sponsoring Organisations of the Treadway Commisssion Internal Control-Integrated Framework, 1992] en los EUA, Cadbury en el Reino Unido y CoCo en Canad y King en Sudfrica. Por otro lado, existe un nmero importante de modelos de control ms enfocados al nivel de tecnologa de informacin. Algunos buenos ejemplos de esta ltima categora son el Security Code of Conduct del DTI (Department of Trade and Industry, Reino Unido) y el Security Handbook de NIST (National Institute of Standards and Technology, EUA). Sin embargo, estos modelos de control con orientacin especfica no proporcionan un modelo de control completo y utilizable sobre tecnologa de informacin como soporte para los procesos de negocio. El propsito de COBIT es el cubrir este vaco proporcionando una base que est estrechamente ligada a los objetivos de negocio, al mismo tiempo que se enfoca a la tecnologa de informacin. Un enfoque hacia los requerimientos de negocio en cuanto a controles para tecnologa de informacin y la aplicacin de nuevos modelos de control y estndares internacionales relacionados, hicieron evolucionar los Objetivos de Control y pasar de una herramienta de auditora, a COBIT, que es una12

herramienta para la administracin. COBIT es, por lo tanto, la herramienta innovadora para el gobierno de TI que ayuda a la gerencia a comprender y administrar los riesgos asociados con TI. Por lo tanto, el objetivo principal del proyecto COBIT es el desarrollo de polticas claras y buenas prcticas para la seguridad y el control de Tecnologa de Informacin, con el fin de obtener la aprobacin y el apoyo de las entidades comerciales, gubernamentales y profesionales en todo el mundo. La meta del proyecto es el desarrollar estos objetivos de control principalmente a partir de la perspectiva de los objetivos y necesidades de la empresa. Esto concuerda con la perspectiva COSO, que constituye el primer y mejor marco referencial para la administracin en cuanto a controles internos. Posteriormente, los objetivos de control fueron desarrollados a partir de la perspectiva de los objetivos de auditora (certificacin de informacin financiera, certificacin de medidas de control interno, eficiencia y efectividad, etc.) AUDIENCIA: ADMINISTRACION, USUARIOS & AUDITORES COBIT est diseado para ser utilizado por tres audiencias distintas: ADMINISTRACION: Para ayudarlos a lograr un balance entre los riesgos y las inversiones en control en un ambiente de tecnologa de informacin frecuentemente impredecible. USUARIOS: Para obtener una garanta en cuanto a la seguridad y controles de los servicios de tecnologa de informacin proporcionados internamente o por terceras partes. AUDITORES DE SISTEMAS DE INFORMACION: Para dar soporte a las opiniones mostradas a la administracin sobre los controles internos. Adems de responder a las necesidades de la audiencia inmediata de la Alta Gerencia, a los auditores y a los profesionales dedicados al control y seguridad, COBIT puede ser utilizado dentro de las empresas por el propietario de procesos de negocio en su responsabilidad de control sobre los aspectos de informacin del proceso, y por todos aqullos responsables de TI en la empresa.DIRECTRICES DE AUDITORA


Y TECNOLOGAS AFINES

ORIENTACIN A OBJETIVOS DE NEGOCIO Los Objetivos de Control muestran una relacin clara y distintiva con los objetivos de negocio con el fin de apoyar su uso en forma significativa fuera de las fronteras de la comunidad de auditora. Los Objetivos de Control estn definidos con una orientacin a los procesos, siguiendo el principio de reingeniera de negocios. En dominios y procesos identificados, se identifica tambin un objetivo de control de alto nivel para documentar el enlace con los objetivos del negocio. Se proporcionan consideraciones y guas para definir e implementar el Objetivo de Control de TI. La clasificacin de los dominios a los que se aplican los objetivos de control de alto nivel (dominios y procesos); una indicacin de los requerimientos de negocio para la informacin en ese dominio, as como los recursos de TI que reciben un impacto primario por parte del objetivo del control, forman conjuntamente el marco Referencial COBIT. El marco referencial toma como base las actividades de investigacin que han identificado 34 objetivos de alto nivel y 302 objetivos detallados de control. El Marco Referencial fue mostrado a la industria de TI y a los profesionales dedicados a la auditora para abrir la posibilidad a revisiones, dudas y comentarios. Las ideas obtenidas fueron incorporadas en forma apropiada.

Objetivo de Objetivo de control en TI control en TI se define se define como como

Una definicin del resultado o propsito que se desea alcanzar implementando procedimientos de control en una actividad de TI particular

DEFINICIONES Para propsitos de este proyecto, se proporcionan las siguientes definiciones. La definicin de Control est adaptada del reporte COSO [Committee of Sponsoring Organisations of the Treadway Commission. Internal Control-Integrated Framework, 1992 y la definicin para Objetivo de Control de TI ha sido adaptada del reporte SAC (Systems Auditability and Control Report). The Institute of Internal Auditors Research Foundation, 1991 y 1994.Control se Control se define como define como

Las polticas, procedimientos, prcticas y estructuras organizacionales diseadas para garantizar razonablemente que los objetivos del negocio sern alcanzados y que eventos no deseables sern prevenidos o detectados y corregidos


13

COBITLOS PRINCIPIOS DEL MARCO REFERENCIALExisten dos clases distintas de modelos de control disponibles actualmente, aqullos de la clase del modelo de control de negocios (por ejemplo COSO) y los modelos ms enfocados a TI (por ejemplo, DTI). COBIT intenta cubrir la brecha que existe entre los dos. Debido a esto, COBIT se posiciona como una herramienta ms completa para la Administracin y para operar a un nivel superior que los estndares de tecnologa para la administracin de sistemas de informacin.. Por lo tanto, COBIT es el modelo para el gobierno de TI. El concepto fundamental del marco referencial COBIT se refiere a que el enfoque del control en TI se lleva a cabo visualizando la informacin necesaria para dar soporte a los procesos de negocio y considerando a la informacin como el resultado de la aplicacin combinada de recursos relacionados con la Tecnologa de Informacin que deben ser administrados por procesos de TI. Para satisfacer los objetivos del negocio, la informacin necesita La Calidad ha sido considerada principalmente por su aspecto negativo (no fallas, confiable, etc.), lo cual tambin se encuentra contenido en gran medida en los criterios de Integridad. Los aspectos positivos pero menos tangibles de la calidad (estilo, atractivo, ver y sentir14, desempeo ms all de las expectativas, etc.) no fueron, por un tiempo, considerados desde un punto de vista de Objetivos de Control de TI. La premisa se refiere a que la primera prioridad deber estar dirigida al manejo apropiado de los riesgos al compararlos contra las oportunidades. El aspecto utilizable de la Calidad est cubierto por los criterios de efectividad. Se consider que el aspecto de entrega (de servicio) de la Calidad se traslapa con el aspecto de disponibilidad correspondiente a los requerimientos de seguridad y tambin en alguna medida, con la efectividad y la eficiencia. Finalmente, el Costo es tambin considerado que queda cubierto por Eficiencia. Para los requerimientos fiduciarios, COBIT no intent reinventar la rueda se utilizaron las definiciones de COSO para la efectividad y eficiencia de operaciones, confiabilidad de informacin y cumplimiento con leyes y regulaciones. Sin embargo, confiabilidad de informacin fue ampliada para incluir toda la informacin no slo informacin financiera. Con respecto a los aspectos de seguridad, CobiT identific la confidencialidad, integridad y disponibilidad como los elementos clave, fue descubierto que estos mismos tres elementos son utilizados a nivel mundial para describir los requerimientos de seguridad. Comenzando el anlisis a partir de los requerimientos de Calidad, Fiduciarios y de Seguridad ms amplios, se extrajeron siete categoras distintas, ciertamente superpuestas. A continuacin se muestran las definiciones de trabajo de COBIT:Efectividad

Requerimientos de Negocio

Procesos de TI Recursos de TIconcordar con ciertos criterios a los que COBIT hace referencia como requerimientos de negocio para la informacin. Al establecer la lista de requerimientos, COBIT combina los principios contenidos en los modelos referenciales existentes y conocidos:Requerimientos de Calidad

Se refiere a que la informacin relevante sea pertinente para el proceso del negocio, as como a que su entrega sea oportuna, correcta, consistente y de manera utilizable. Se refiere a la provisin de informacin a travs de la utilizacin ptima (ms productiva y econmica) de recursos. Se refiere a la proteccin de informacin sensible contra divulgacin no autorizada. Se refiere a la precisin y suficiencia de la informacin, as como a su validez de acuerdo con los valores y expectativas del negocio.

Eficiencia

Calidad Costo Entrega (de servicio) Efectividad & eficiencia de operaciones Confiabilidad de la informacin Cumplimiento de las leyes & regulaciones Confidencialidad Integridad Disponibilidad

Confidencialidad

Requerimientos Fiduciarios (COSO)

Integridad

Requerimientos de Seguridad

14

Ver y Sentir (look and feel) DIRECTRICES DE AUDITORA

14


Y TECNOLOGAS AFINES

Disponibildad

Se refiere a la disponibilidad de la informacin cuando sta es requerida por el proceso de negocio ahora y en el futuro. Tambin se refiere a la salvaguarda de los recursos necesarios y capacidades asociadas. Se refiere al cumplimiento de aquellas leyes, regulaciones y acuerdos contractuales a los que el proceso de negocios est sujeto, por ejemplo, criterios de negocio impuestos externamente. Se refiere a la provisin de informacin apropiada para la administracin con el fin de operar la entidad y para ejercer sus responsabilidades de reportes financieros y de cumplimiento.

definirse como la inversin en cualquiera de los recursos mencionados anteriormente y podra causar confusin con los requerimientos de auditora financiera. El Marco referencial no menciona, en forma especfica para todos los casos, la documentacin de todos los aspectos materiales importantes relacionados con un proceso de TI particular. Como parte de las buenas prcticas, la documentacin es considerada esencial para un buen control y, por lo tanto, la falta de documentacin podra ser la causa de revisiones y anlisis futuros de controles de compensacin en cualquier rea especfica en revisin. Otra forma de ver la relacin de los recursos de TI con respecto a la entrega de servicios se describe a continuacin:EventosObjetivos de negocio Oportunidades de negocio Requerimientos externos Regulaciones Riesgosmensaje entrada DatosSistemas de Aplicacin

Cumplimiento

Confiabilidad de la Informacin

Informacinservicio salida

TECNOLOGIA

Los recursos de TI identificados en COBIT pueden explicarse/ definirse como se muestra a continuacin:Datos

INSTALACIONES GENTE

Los elementos de datos en su ms amplio sentido, (por ejemplo, externos e internos), estructurados y no estructurados, grficos, sonido, etc.

Efectividad Eficiencia Confidencialidad Integridad Disponibilidad Cumplimiento Confiabilidad

Aplicaciones

Se entiende como sistemas de aplicacin la suma de procedimientos manuales y programados. La tecnologa cubre hardware, software, sistemas operativos, sistemas de administracin de bases de datos, redes, multimedia, etc. Recursos para alojar y dar soporte a los sistemas de informacin. Habilidades del personal, conocimiento, conciencia y productividad para planear, organizar, adquirir, entregar, soportar y monitorear servicios y sistemas de informacin.

La informacin que los procesos de negocio necesitan es proporcionada a travs del empleo de recursos de TI. Con el fin de asegurar que los requerimientos de negocio para la informacin son satisfechos, deben definirse, implementarse y monitorearse medidas de control adecuadas para estos recursos. Cmo pueden entonces las empresas estar satisfechas respecto a que la informacin obtenida presente las caractersticas que necesitan? Es aqu donde se requiere de un sano marco referencial de Objetivos de Control para TI. El diagrama mostrado a continuacin ilustra este concepto.

Tecnologa

Instalaciones

PROCESOS DE NEGOCIOCriterios

Personal

INFORMACION

efectividad eficiencia confidencialidad integridad disponibilidad cumplimiento confiabilidad


El dinero o capital no fue considerado como un recurso para la clasificacin de objetivos de control para TI debido a que puede

Concuerdan ?


15

COBIT

El marco referencial consta de Objetivos de Control de TI de alto nivel y de una estructura general para su clasificacin y presentacin. La teora subyacente para la clasificacin seleccionada se refiere a que existen, en esencia, tres niveles de actividades de TI al considerar la administracin de sus recursos. Comenzando por la base, encontramos las actividades y tareas necesarias para alcanzar un resultado medible. Las actividades cuentan con un concepto de ciclo de vida, mientras que las tareas son consideradas ms discretas. El concepto de ciclo de vida cuenta tpicamente con requerimientos de control diferentes a los de actividades discretas. Algunos ejemplos de esta categora son las actividades de desarrollo de sistemas, administracin de la configuracin y manejo de cambios. La segunda categora incluye tareas llevadas a cabo como soporte para la planeacin estratgica de TI, evaluacin de riesgos, planeacin de la calidad, administracin de la capacidad y el desempeo. Los procesos se definen entonces en un nivel superior como una serie de actividades o tareas conjuntas con cortes naturales (de control). Al nivel ms alto, los procesos son agrupados de manera natural en dominios. Su agrupamiento natural es confirmado frecuentemente como dominios de responsabilidad en una estructura organizacional, y est en lnea con el ciclo administrativo o ciclo de vida aplicable a los procesos de TI.Dominios

Un Gerente de TI puede desear considerar recursos de TI por los cuales es responsable. Propietarios de procesos, especialistas de TI y usuarios pueden tener un inters en procesos particulares. Los auditores podrn desear enfocar el marco referencial desde un punto de vista de cobertura de control. Estos tres puntos estratgicos son descritos en el Cubo COBIT que se muestra a continuacin:Criterios de informa-

Dominios

Procesos

Actividades

Con lo anterior como marco de referencia, los dominios son identificados utilizando las palabras que la gerencia utilizara en las actividades cotidianas de la organizacin y no la jerga15 del auditor -. Por lo tanto, cuatro grandes dominios son identificados: planeacin y organizacin, adquisicin e implementacin; entrega y soporte y monitoreo.

Procesos

Actividades

Por lo tanto, el marco referencial conceptual puede ser enfocado desde tres puntos estratgicos: (1) recursos de TI, (2) requerimientos de negocio para la informacin y (3) procesos de TI. Estos puntos de vista diferentes permiten al marco referencial ser accedido eficientemente. Por ejemplo, los gerentes de la empresa pueden interesarse en un enfoque de calidad, seguridad o fiduciario (traducido por el marco referencial en siete requerimientos de informacin especficos).16

15

Jerga (jargon) DIRECTRICES DE AUDITORA

Gente Sistemas de Aplicacin Tecnologa Instalaciones Datos

d d ios da da iar uri ali uc eg C id S FProcesos de TI

TI de os rs cu Re


Y TECNOLOGAS AFINES

Las definiciones para los dominios mencionados son las siguientes:Planeacin y organizacin

El siguiente diagrama ilustra este concepto:OBJETIVOS DE NEGOCIO OBJEIVOS DE NEGOCIO

Este dominio cubre la estrategia y las tcticas y se refiere a la identificacin de la forma en que la tecnologa de informacin puede contribuir de la mejor manera al logro de los objetivos del negocio. Adems, la consecucin de la visin estratgica necesita ser planeada, comunicada y administrada desde diferentes perspectivas. Finalmente, debern establecerse una organizacin y una infraestructura tecnolgica apropiadas. Para llevar a cabo la estrategia de TI, las soluciones de TI deben ser identificadas, desarrolladas o adquiridas, as como implementadas e integradas dentro del proceso del negocio. Adems, este dominio cubre los cambios y el mantenimiento realizados a sistemas existentes. En este dominio se hace referencia a la entrega de los servicios requeridos, que abarca desde las operaciones tradicionales hasta el entrenamiento, pasando por seguridad y aspectos de continuidad.Con el fin de proveer servicios, debern establecerse los procesos de soporte necesarios. Este dominio incluye el procesamiento de los datos por sistemas de aplicacin, frecuentemente clasificados como controles de aplicacin. Todos los procesos necesitan ser evaluados regularmente a travs del tiempo para verificar su calidad y suficiencia en cuanto a los requerimientos de control.

PO1

COBITM1 Monitorear los procesos M2 Evaluar lo adecuado del control Interno M3 Obtener aseguramiento independiente M4 Proporcionar auditora independiente

INFORMACION efectividad eficiencia confidencialidad integridad disponibilidad cumplimiento confiabilidad

Definir un Plan Estratgico de Tecnologa de Informacin Definir la Arquitectura de Informacin Determinar la direccin tecnolgica Definir la Organizacin y de las Relaciones de TI PO5 Manejar la Inversin en Tecnologa de Informacin PO6 Comunicar la direccin y aspiraciones de la gerencia PO7 Administrar Recursos Humanos PO8 Asegurar el Cumplimiento de Requerimientos Externos PO9 Evaluar Riesgos PO10 Administrar proyectos PO11 Administrar Calidad PO2 PO3 PO4

MONITOREO


PLANEACION Y ORGANIZACION

Adquiscin e implementacin

ENTREGA Y SOPORTE

ADQUISICION E IMPLEMENTACION

Entrega y Entrega y soporte soporte

DS1 DS2 DS3 DS4 DS5 DS6 DS7 DS8 DS9 DS10 DS11 DS12 DS13

Definir Niveles de Servicio Administrar Servicios prestados por Terceros Administrar Desempeo y Capacidad Asegurar Servicio Continuo Garantizar la Seguridad de Sistemas Identificar y Asignar Costos Educar y Entrenar a los Usuarios Apoyar y Asistir a los Clientes de TI Administrar la Configuracin Administrar Problemas e Incidentes Administrar Datos Administrar Instalaciones Administrar Operaciones

AI1 Identificar Soluciones AI2 Adquirir y Mantener Software de Aplicacin AI3 Adquirir y Mantener Arquitectura de Tecnologa AI4 Desarrollar y Mantener Procedimientos relacionados con TI AI5 Instalar y Acreditar Sistemas AI6 Administrar Cambios

Monitoreo

En resumen, los Recursos de TI necesitan ser administrados por un conjunto de procesos agrupados en forma natural, con el fin de proporcionar la informacin que la empresa necesita para alcanzar sus objetivos.


17

COBIT

Debe tomarse en cuenta que estos procesos pueden ser aplicados a diferentes niveles dentro de una organizacin. Por ejemplo, algunos de estos procesos sern aplicados al nivel corporativo, otros al nivel de la funcin de servicios de informacin, otros al nivel del propietario de los procesos de negocio. Tambin debe ser tomado en cuenta que el criterio de efectividad de los procesos que planean o entregan soluciones a los requerimientos de negocio, cubrirn algunas veces los criterios de disponibilidad, integridad y confidencialidad. en la prctica, se han convertido en requerimientos del negocio. Por ejemplo, el proceso de identificar soluciones automatizadas deber ser efectivo en el cumplimiento de requerimientos de disponibilidad, integridad y confidencialidad. Resulta claro que las medidas de control no satisfarn necesariamente los diferentes requerimientos de informacin del negocio en la misma medida. Se lleva a cabo una clasificacin dentro del marco referencial COBIT basada en rigurosos informes y observaciones de procesos por parte de investigadores, expertos y revisores con las estrictas definiciones determinadas previamente. Primario es el grado al cual el objetivo de control definido impacta directamente el requerimiento de informacin de inters.

Secundario

es el grado al cual el objetivo de control definido satisface nicamente de forma indirecta o en menor medida el requerimiento de informacin de inters. podra aplicarse; sin embargo, los requerimientos son satisfechos ms apropiadamente por otro criterio en este proceso y/o por otro proceso.

Blanco (vaco)

Similarmente, todas las medidas de control no necesariamente tendrn impacto en los diferentes recursos de TI a un mismo nivel. Por lo tanto, el Marco Referencial de COBIT indica

especficamente la aplicabilidad de los recursos de TI que son administrados en forma especfica por el proceso bajo consideracin (no por aquellos que simplemente toman parte en el proceso). Esta clasificacin es hecha dentro el Marco Referencial de COBIT basado en el mismo proceso riguroso de informacin proporcionada por los investigadores, expertos y revisores, utilizando las definiciones estrictas indicadas previamente.

18



Y TECNOLOGAS AFINES

GUA PARA LA UTILIZACIN DEL MARCO RREFERENCIAL Y LOS OBJETIVOS DE CONTROL COBITPERSPECTIVAS DIFERENTES; ENFOQUES DIFERENTESEl marco referencial conceptual puede ser enfocado desde tres puntos estratgicos: 1) recursos de TI, 2) requerimientos de negocio para la informacin y 3) procesos de TI. Estos puntos de vista diferentes permiten al marco referencial ser accedido eficientemente. Por ejemplo, los gerentes de la empresa pueden interesarse en un enfoque de calidad, seguridad o fiduciario (traducido por el marco referencial en siete requerimientos de informacin especficos). Un Gerente de TI puede desear considerar recursos de TI por los cuales es responsable. Propietarios de procesos, especialistas de TI y usuarios pueden tener un inters en procesos particulares. Los auditores podrn desear enfocar el marco referencial desde un punto de vista de cobertura de control.

MARCO REFERENCIAL COBITEl marco referencial COBIT ha sido limitado a objetivos de control de alto nivel en forma de necesidades de negocio dentro de un proceso de TI particular, cuyo logro es posible a travs de un establecimiento de controles, para el cual deben considerarse controles aplicables potenciales. Los Objetivos de Control de TI han sido organizados por proceso/actividad, pero tambin se han proporcionados ayudas de navegacin no solamente para facilitar la entrada a partir de cualquier punto de vista estratgico como se explic anteriormente, sino tambin para facilitar enfoques combinados o globales, tales como instalacin/implementacin de un proceso, responsabilidades gerenciales globales para un proceso y utilizacin de recursos de TI por un proceso. Tambin deber tomarse en cuenta que los Objetivos de Control COBIT han sido definidos en una manera genrica, por ejemplo, sin depender de la plataforma tcnica, aceptando el hecho de que algunos ambientes de tecnologa especiales pueden requerir una cobertura separada para objetivos de control.

Criterios de informacin

Sistemas de Aplicacin

Tecnologa

Instalaciones Datos

ad ios ad rid iar lid gu a uc C Se FidDominios

El control de Proceso de TI Que satisface Requerimiento Es habilitado por de Negocio Declaracin de Considerando Control Prcticas de Control

Procesos de TI

Procesos

Actividades

Gente

e sd so r cu Re


19

COBITPara facilitar el empleo eficiente de los objetivos de control como soporte a los diferentes puntos de vista, se proporcionan algunas ayudas de navegacin como parte de la presentacin de los objetivos de control de alto nivel. Se proporciona una ayuda de navegacin para cada una de las tres dimensiones del marco referencial COBIT - procesos, recursos y criterios efe cti vi efi dad cie co nfi nc de ia nc int ialid eg ad dis rida po d n cu ibilid m pli ad co mie nfi nt ab o ilid ad

AYUDAS DE NAVEGACIN

S

PPlaneacin & Organizacin

Criterios de Informacin

Adquisicin & Implementacin

Dominios De TI

TI Recursos

Entrega & Soporte

Monitoreo

Tres puntos de posicin

P Pge ap nte lica c tec ione s n ins olog tal a ac ion da es tos

Los dominios son identificados ubicando la siguiente figura en la esquina superior derecha de cada pgina en la seccin de Objetivos de Control, agrandando y haciendo ms visible el dominio bajo revisin.

Planeacin & Organizacin

Adquisicin & Implementacin

Entrega & Soporte

Monitoreo

La clave para el criterio de informacin ser proporcionado la esquina superior izquierda en la seccin de Objetivos de Control mediante la siguiente mini matriz, la cual identificar cul criterio y en qu grado (primario o secundario) es aplicable a cada Objetivo de Control de TI de alto nivel.

Una segunda mini matriz en la esquina inferior derecha en la seccin de Objetivos de Control identifica los recursos de TI que son administrados en forma especfica por el proceso bajo consideracin - no aquellos que simplemente toman parte en el proceso -. Por ejemplo, el proceso administracin de informacin se concentra particularmente en la integridad y confiabilidad de los recursos de datos, mientras que disponibilidad y confidencialidad son primariamente proporcionadas por los procesos que administran los recursos que utilizan los datos (Ej. Aplicaciones y tecnologa).20

ge ap nte lica c tec ione s n ins olog tal a ac ion da es tos

efe cti vi efi dad cie co nfi nc de ia nc int ialid eg ad dis rida po d n cu ibilid m pli ad co mie nfi nt ab o ilid ad

S

P

PP



Y TECNOLOGAS AFINES

TABLA RESUMENLa siguiente tabla proporciona una indicacin, por proceso y dominio de TI, de cules criterios de informacin tienen impacto de los objetivos de alto nivel, as como una indicacin de cules recursos de TI son aplicables.Criterios de Informacinef ec ef tivid ici ad e co nc nf ia int iden eg ci dis rida alid p d ad cu onib m ilid co plim ad nf ie iab nt ilid o r reec ad cuur sis isrsoos s ss tete h tece mmasum t a ncnos d d an l i insinologoge e a os tasta a ia nfoplic rma da a lacliac d c aci tots onion os e n in ses

Recursos de TI

DOMINIO Planeacin y Organizacin PO1 PO2 PO3 PO4 PO5 PO6 PO7 PO8 PO9 P010 PO11 AI1 AI2 AI3 AI4 AI5 AI6 DS1 DS2 DS3 DS4 DS5 DS6 DS7 DS8 DS9 DS10 DS11 DS12 DS13 M1 M2 M3 M4

PROCESODefinir un plan estratgico de sistemas Definir la arquitectura de informacin Determinar la direccin tecnolgica Definir la organizacin y sus relaciones Administrar las inversiones (en TI) Comunicar la direccin y objetivos de la gerencia Administrar los recursos humanos Asegurar el apego a disposiciones externas Evaluar riesgos Administrar proyectos Administrar calidad Identificar soluciones de automatizacin Adquirir y mantener software de aplicacin Adquirir y mantener la arquitectura tecnolgica Desarrollar y mantener procedimientos Instalar y acreditar sistemas de informacin Administrar cambios Definir niveles de servicio Administrar servicios de terceros Administrar desempeo y capacidad Asegurar continuidad de servicio Garantizar la seguridad de sistemas Identificar y asignar costos Educar y capacitar a usuarios Apoyar y orientar a clientes Administrar la configuracin Administrar problemas e incidentes Administrar la informacin Administrar las instalaciones Administrar la operacin Monitorear el proceso Evaluar lo adecuado del control interno Obtener aseguramiento independiente Proporcionar auditora independiente

P P P P P P P P S P P P P P P P P P P P P

S S S S S S P S P

S

P S S P P P S S P P P S S P P P P

Adquisicin e Implementacin

S S S S S S S S S P P S

Entrega de servicios y Soporte

P S S S S S P S S S S S P S S P P P S S S P P P S P P S S P P S P P P P P P S S P P P P S P P P S S S S S S S S S S S S S S S S S S S S

Monitoreo


21

COBIT

22



Y TECNOLOGAS AFINES

INTRODUCCIN A LAS DIRECTRICES DE AUDITORACOBIT LAS DIRECTRICES DE AUDITORA Las Directrices de Auditora ofrecen una herramienta complementaria para la fcil aplicacin del Marco Referencial y los Objetivos de Control COBIT dentro de las actividades de auditora y evaluacin. El propsito de las Directrices de Auditora es contar con una estructura sencilla para auditar y evaluar controles, con base en prcticas de auditora generalmente aceptadas y compatibles con el esquema global COBIT. Los objetivos y prcticas individuales varan considerablemente de organizacin a organizacin y existen muchos tipos de practicantes dedicados a actividades relacionadas con la auditora; por ejemplo auditores externos, auditores internos, evaluadores, revisores de calidad, y asesores tcnicos. Por estas razones, las Directrices de Auditora tienen una estructura genrica y de alto nivel. Los auditores deben cumplir con algunos requerimientos generales para proporcionar a los directivos y a los poseedores de los procesos de negocios, seguridad y asesora respecto a los controles en una organizacin: ofrecer una seguridad razonable de que se est cumpliendo con los objetivos de control correspondientes; identificar dnde se encuentran las debilidades significativas en dichos controles; justificar los riesgos que pueden estar asociados con tales debilidades, y finalmente, aconsejar a estos ejecutivos sobre las medidas correctivas que deben adoptarse. COBIT ofrece polticas claras y prcticas eficaces en materia de seguridad y control de informacin, as como tecnologa asociada. Por tanto, las Directrices de Auditora firmemente basados en los Objetivos de Control, toman la opinin del auditor a partir de la conclusin de auditora, remplazndola con criterios normativos (36 normas y las mejores prcticas (?) tomadas de normas privadas y pblicas aceptadas a nivel mundial). Estas Directrices de Auditora proporcionan orientaciones para preparar planes de auditora que se integran al Marco COBIT y a los Objetivos de Control detallados. Deben ser usados conjuntamente con estos dos ltimos, y a partir de ah pueden desarrollarse programas especficos de auditora. Sin embargo, las Directrices no son exhaustivos ni definitivos. No pueden incluir todo ni ser aplicables a todo, as que debern ajustarse a condiciones especficas. No obstante, hay cuatro cosas que las Directrices no son: 2. Las Directrices de Auditora no pretenden ser una herramienta para crear el plan y cobertura general de auditora23

que considera una amplia gama de factores, incluyendo debilidades anteriores, riesgo a la organizacin, incidentes conocidos, nuevos acontecimientos, y seleccin de estrategias. Aun cuando el Marco y los Objetivos de Control ofrecen algunas orientaciones, los alcances de las Directrices no incluyen una gua precisa para actividades especficas. 2. Las Directrices de Auditora no estn diseados como instrumento para ensear las bases de la auditora, aun cuando incorporen los elementos normalmente aceptados de la auditora general y de TI. Las Directrices de Auditora no pretenden explicar en detalle la forma en que pueden utilizarse las herramientas computarizadas para apoyar y automatizar los procesos de auditora IT, en materia de planeacin, evaluacin, anlisis y documentacin (que incluyen las Tcnicas de Auditora Asistidas por Computadora, pero no se limitan a ellas). Existe un enorme potencial para usar la tecnologa de informacin dirigida a aumentar la eficiencia y efectividad de las auditoras, pero una orientacin en este sentido, tampoco est dentro de los alcances de las Directrices. Los Las Directrices de Auditora no son exhaustivos ni definitivos, pero se desarrollarn conjuntamente con COBIT y sus Objetivos de Control detallados.

3.

4.

Las Directrices de Auditora COBIT permiten al auditor cotejar los procesos especficos de TI con los Objetivos de Control COBIT recomendados para auxiliar a los directivos a identificar en qu casos los controles son suficientes, o para asesorarlos respecto a los procesos que requieren ser mejorados. Desde el punto de vista de los directivos, los propietarios de los procesos harn las preguntas: Estoy haciendo lo correcto?, y si no es as: Qu puedo hacer para corregirlo? El Marco y las Directrices de Auditora COBIT ayudarn a responder a estas preguntas. El enfoque ofrece una perspectiva reactiva, mientras que los auditores necesitan tambin apoyar a la directiva de una manera proactiva. El Marco y las Directrices de Auditora pueden aplicarse igualmente en forma proactiva en las primeras etapas de los procesos y el desarrollo de proyectos, al responder a la pregunta: What do I need so it will not need to be fixed? (Qu es lo que necesito para no tener que ajustarlo despus?


COBIT

ESTRUCTURA GENERAL DE LAS DIRECTRICES DE AUDITORAEl modelo ms comn para evaluar el control es el modelo de auditora. Otro enfoque que se est adoptando cada vez ms es el modelo de anlisis de riesgos, que se cubrir hacia el final de esta introduccin. Todos aquellos involucrados en la evaluacin del control pueden inclinarse por cualquiera de los dos modelos. Los objetivos de la auditora son: Proporcionar administracin con aseguramiento razonable de que se estn cubriendo los objetivos de control, En donde existan debilidades de control significativas, justificar los riesgos resultantes, y Aconsejar a la administracin sobre acciones correctivas La estructura generalmente aceptada del proceso de auditora es: Identificacin y documentacin Evaluacin Pruebas de cumplimiento Pruebas justificantes El proceso de TI, por lo tanto, se audita mediante: La obtencin de un entendimiento de los riesgos relacionados con los requerimientos del negocio, y de las medidas relevantes de control La evaluacin de la conveniencia de los controles establecidos La valoracin del cumplimiento por medio de probar si los controles establecidos estn funcionando como se espera, de manera consistente y continua La justificacin del riesgo de que los objetivos de control no se estn cumpliendo mediante el uso de tcnicas analticas y/o consultando fuentes alternativas. Con el objetivo de brindar asistencia a la administracin en la forma de asesora de aseguramiento, hemos desarrollado esta estructura dentro de un marco referencial fundamentado en los requerimientos del COBIT: Presentacin en un enfoque de niveles Orientacin hacia los objetivos del negocio24

Manejado en funcin del proceso Enfocado sobre Los recursos que necesitan administrarse Los criterios de informacin que se requieren

En el nivel ms alto, este enfoque general de auditora est apoyado por: El marco referencial de COBIT, particularmente el resumen con la clasificacin de procesos de TI, los criterios de informacin aplicables y los recursos de TI (vea la pgina 21) Los requerimientos para el proceso de auditora mismo (vea la seccin Requerimientos del Proceso de Auditora en la pgina 26) Los requerimientos genricos para la auditora de procesos de TI (vea la seccin Directrices de Auditora Genricos de TI, pgina 27) Los principios generales de control (vea la seccin Observaciones del Proceso de Control, pgina 27) El segundo nivel est compuesto por las Directrices detallados de auditora para cada uno de los procesos de TI como se muestra en la seccin principal de esta publicacin. Las Directrices han sido presentados en una plantilla estndar que sigue la estructura general de Obtencin, Evaluacin, Valoracin y Justificacin. Esta plantilla ha sido aplicada a las Directrices de Auditora Genricos de TI, as como tambin a las Directrices de Auditora Detallados. En el tercer y ltimo nivel, el auditor puede complementar las Directrices de Auditora para cubrir las condiciones locales, conduciendo la fase de planeacin de auditora con puntos de atencin de auditora que influyen sobre los objetivos detallados de control mediante: Criterios especficos del sector Estndares de la industria Elementos especficos de la plataforma Tcnicas detalladas de control empleadas De importancia para este nivel est el hecho de que los objetivos de control no son necesariamente aplicables siempre y en cualquier lugar. Por lo tanto se sugiere que se realice una evaluacin de riesgos de alto nivel para determinar sobre qu objetivos se necesita enfocarse especficamente y cules pueden ignorarse.



Y TECNOLOGAS AFINES

Todos estos elementos se ofrecen para apoyar la planeacin y la realizacin de las auditoras de TI, y para una mejor aplicacin integrada de los lineamientos detallados de auditora. Los lineamientos no son exhaustivos y no son aplicables universalmente.

El nivel de informacin de apoyo (lineamientos genricos, requerimientos del proceso de auditora y observaciones de control) ayudar a los auditores a desarrollar el programa de auditora que necesitan.

ESTRUCTURA DETALLADA PARA LA APLICACIN DE LAS DIRECTRICES DE AUDITORA Nivel 1 Enfoque general de auditora de TI Marco Referencial de COBIT Requerimientos del Proceso de Auditora Observaciones de Control Directriz General de Auditora

Nivel 2 Directrices del proceso de auditora Directrices de Auditora detallados

Nivel 3 Puntos de atencin de auditora para complementar los objetivos detallados de control Condiciones Locales Criterios especficos del sector Estndares de la industria Elementos especficos de la plataforma Tcnicas detalladas de control utilizadas

REQUERIMIENTOS DEL PROCESO DE AUDITORA Una vez definido qu vamos a auditar y sobre qu vamos a proporcionar aseguramiento, tenemos que determinar el enfoque o estrategia ms apropiado para llevar a cabo el trabajo de auditora. Primero tenemos que determinar el alcance correcto de nuestra auditora. Para lograrlo, necesitamos investigar, analizar y definir: Los procesos del negocio involucrados; Las plataformas y los sistemas de informacin que estn apoyando el proceso del negocio, as como la interconectividad con otras plataformas o sistemas; Los papeles y responsabilidades definidas de TI, incluyendo qu ha sido realizado por fuentes internas y externas; y Los riesgos asociados del negocio y las decisiones estratgicas.

El siguiente paso es identificar los requerimientos de informacin que tienen una relevancia particular con respecto a los procesos del negocio. Luego necesitaremos identificar los riesgos inherentes de TI, as como el nivel general de control que puede asociarse con el proceso del negocio. Para lograrlo, identificamos: Los cambios recientes en el ambiente del negocio que tienen impacto sobre TI; Los cambios recientes al ambiente de TI, nuevos desarrollos, etc.; Los incidentes recientes relevantes para los controles y el ambiente del negocio; Los controles de monitoreo de TI aplicados por la administracin; Los reportes recientes de auditora y/o certificacin; y Los resultados recientes de autoevaluaciones.25


COBIT

Basndonos en la informacin obtenida, ahora podemos seleccionar los procesos relevantes de COBIT, as como tambin los recursos que aplican a los mismos. Esto pudiera requerir que ciertos procesos de COBIT necesiten auditarse varias veces, cada vez para una plataforma o sistema distinto. La persona deber determinar una estrategia de auditora basndose en el plan detallado de auditora que deber ela-

borarse con ms profundidad, por ejemplo, si uno busca un enfoque basado en controles o un enfoque sustantivo. Finalmente, necesitan considerarse todos los pasos, tareas y puntos de decisin para llevar a cabo la auditora. Un ejemplo de un proceso genrico de auditora (con pasos, tareas y puntos de decisin), que sigue la plantilla estndar, se proporciona en el Apndice IV.

REQUERIMIENTOS DEL PROCESO DE AUDITORA Definir el alcance de la auditora procesos del negocio involucrados plataformas, sistemas y su interconectividad, que apoyan el procesos papels, responsabilidades y estructura organizacional revelancia para el proceso del negocio

Identificar los requerimientos de informacin relevantes para el proceso del negocio Identificar los riesgos inherentes de TI y el nivel general de control

cambios recientes e incidentes en el ambiente del negocio y de la tecnologa resultados de auditoras, autoevaluaciones, y certificacin controles de monitores aplicados por la administracin procesos recursos

Selccionar procesos y plataformas para auditar

Fijar una estrategia de auditora

Controles de riesogo x Pasos y tareas Puntos de decisin

DIRECTRIZ GENERAL DE AUDITORA DE TILa plantilla en la pgina 28 presenta los requerimientos genricos para auditar procesos de TI para brindar el primer nivel de lineamientos de auditora, generalmente aplicables a todos los procesos. Est primordialmente orientado hacia la comprensin del proceso y la determinacin de la propiedad y deber ser el fundamento y el marco referencial para todos los lineamientos detallados de auditora. Esta misma plantilla luego se aplica a los 34 procesos que se identifican en el Marco Referencial de COBIT.

OBSERVACIONES DEL PROCESO DE CONTROLLos principios generales de control tambin pueden proporcionar una gua adicional sobre cmo complementar las Directrices de Auditora. Estos principios estn primordialmente enfocados sobre el proceso y las responsabilidades del control, los estndares de control y los flujos de la informacin de control. El control, desde el punto de vista de la administracin, se define como el determinar qu se est logrando; esto es, evaluar el desempeo y si es necesario aplicar medidas correctivas para que el desempeo tome lugar de acuerdo con lo planeado.

26



Y TECNOLOGAS AFINES

El proceso de control consiste de cuatro pasos. Primero, s especfico un estndar de desempeo deseado para un proceso. Segundo, existe un medio de saber qu esta sucediendo en el proceso, por ejemplo, el proceso proporciona informacin de control a una unidad de control. Tercero, la unidad de control compara la informacin con el estndar. Cuarto, si lo que realmente est sucediendo no cumple con el estndar, la unidad de control dirige aquella accin correctiva a tomar, en forma de informacin para el proceso. A partir de este modelo, las siguientes observaciones de control pueden resultar relevantes para la auditora: 1. Para que este modelo funcione, la responsabilidad por el proceso del negocio (o en este caso, de la TI) debe ser claro y la responsabilidad no debe ser ambigua. Si no es as, la informacin de control no fluir y no podr tomarse accin correctiva. 2. Los estndares pueden ser de una amplia variedad, desde planes y estrategias de alto nivel hasta indicadores clave de desempeo (KPI - Key Performance Indicators) y factores crticos de xito (CSF Critical Success Factors). Los estndares claramente documentados, mantenidos y comunicados son necesarios para un buen proceso de control. La responsabilidad clara por la custodia de dichos estndares tambin es un requerimiento para un buen control. 3. El proceso de control tiene los mismos requerimientos: bien documentado en cuanto a cmo funciona y con responsabilidades claras. Un aspecto importante es la clara definicin de lo que constituye una desviacin, esto es, cules son los lmites de desviacin. 4. La oportunidad, integridad y conveniencia de la informacin de control, as como tambin otra informacin, son bsicas para el buen funcionamiento de un sistema de control y es algo que el auditor debe tratar. Tanto la informacin de control como la informacin de accin correctiva tendrn requerimientos como evidencia, con el fin de establecer la responsabilidad despus del evento.

Acto

Normas Estndares KPI / CSF

Comparacin Proceso

Informacin De Control


27

COBITDIRECTRIZ GENERAL DE AUDITORAOBTENCIN DE UN ENTENDIMIENTOLos pasos de auditora a realizar para documentar las actividades subyacentes a los objetivos de control, as como tambin identificar las medidas/procedimientos de control establecidas. Etrevistar al personal adminstrativo y de staff indicado para lograr la comprensin de: Los requerimientos del negocio y los riesgos asociados La estructura organizacianal Los papels y responsabilidades Las medidas de control establecidas La actividad de reporte a la administracin (estatus, desempeo, acciones) Documentar los recursos de TI relacionados con el proceso que se ven especialmente afectados por el proceso bajo revisin. Confirmar el entendimiento del proceso bajo revisin, los Indicadores Clave de Desempeo (KPI) del proceso, las implicacones de control, por ejemplo, mediante una revisin paso a paso del proceso.

EVALUACIN DE LOS CONTROLESLos pasos de auditora a realizar en la evaluacin de la eficacia de las medidas de control establecidas o el grado en el que se logra el objetivo de control. Bsicamente, decidir qu se va a probar, si se va a probar y cmo se va a probar. Evaluar la conveniencia de las medidas de control para el proceso bajo revisin mediante la consideracin de los criterios indentificados y las prcticas estndares de la industria, los Factores Crticos de xito (CSF) de las medidas de control y la aplicacin del juicio profesional de auditor. Existen procesos documentados Existen resultados apropiados La responsabilidad y es clara y eficaz Existen controles compensatorios, en donde es necesario Concluir el grado en el que se cumple el objetivo de control.

VALORACIN DEL CUMPLIMIENTOLos pasos de auditora a realizar para asegurar que las medidas de control establecidas estn funcionando como es debido, de manera consistente y contiua, y concluir sobre la conveniencia de ambiente de control. Obtener evidencia directa o indirecta de puntos/perodos seleccionados para asegurarse que se ha cumplido con los procedimientos durante el perodo de revisin, utilizando evidencia tanto directa como indirecta. Realizar una revisin limitada de la suficiencia de los resultados del proceso. Determinar el nivel de pruebas justificantes y trabajo adicianal necesarios para asegurar que el proceso de TI es adecuado.

JUSTIFICAR EL RIESGOLos pasos de auditora a realizar para justificar el riesgo de que no se cumpla el objetivo de control mendiante el uso de tcnicas analticas y/o consultas a fuentes alternativas. El objetivo es respaldar la opinin e impresionar a la administratcin para que tome accin. Los auditores tienen que ser creativos para encontrar y presentar esta informacin que con frecuencia es susceptible y confidencial. Documentar las debilidades del control y las amenazas y vulnerabilidades resultantes. Identifcar y documentar el impacto real y potencial; por ejemplo, mediante el anlisis de causa-raz. Brindar informacin comparativa; por ejemplo, mediante puntos de referencia.28 DIRECTRICES DE AUDITORA

OBJETIVOS DE CONTROL PARA LA INFORMACINPlan Estratgico Accin

Y TECNOLOGAS AFINES

Verificacin

Reporte

Tctico

Reporte

Administrativo

Correccin Los controles tambin operan en diferentes niveles dentro del ciclo tradicional de Planear-Hacer-Verificar-Corregir con el que la administracin se siente cmoda. Este modelo ilustra: La secuencia lgica de planear-hacer-verificar y corregir el plan si es necesario: Cmo sucede esto a nivel estratgico, tctico y administrativo; Las diversas relaciones laterales y horizontales El hacer estratgico da como resultado planeacin tctica; el hacer tctico da como resultado planeacin administrativa; Las actividades de verificar y hacer cooperan e influyen continuamente una con otra; y La actividad administrativa de verificar reporta a verificar tctico, quien a su vez reporta a verificar estratgico. Cuando se evalan mecanismos de control, los revisores debern estar conscientes de que estos controles operan en estos diferentes niveles y de que tienen relaciones intrnsecas. La orientacin hacia el proceso de COBIT proporciona algunas indicaciones acerca de los diferentes procesos de control, niveles e interrelaciones, pero la implantacin o valoracin real de los sistemas de control requiere tomar en cuenta esta compleja dimensin adicional. RESUMEN En breve, las Directrices de Auditora detallados siempre pueden complementarse tomando en cuenta el Lineamiento Genrico y el proceso bajo revisin, y obteniendo tareas de auditora adicionales para lograr el objetivo de auditora. El desarrollo del programa de auditora en s puede beneficiarse de tomar en consideracin los requerimientos del proceso de auditora de TI, el Marco Referencial de COBIT y los Objetivos de Control de Alto Nivel, y las Consideraciones de Control que se muestran aqu. RELACIN ENTRE LOS OBJETIVOS DE RECTRICES DE AUDITORA CONTROL Y LAS DI-

Los objetivos han sido desarrollados a partir de una orientacin al proceso porque la administracin est buscando asesora a proactivo sobre cmo tratar el problema de mantener TI bajo control. Los Objetivos de Control ayudan a la administracin a establecer el control sobre el proceso, las Directrices de Auditora ayudan al auditor o asesor a asegurar que el proceso est realmente bajo control, de tal manera que los requerimientos de informacin necesarios para lograr los objetivos del negocio sern satisfechos. La relacin entre estos dos conceptos es el proceso, por lo que las Directrices de Auditora han sido desarrollados para

cada uno de los procesos, en oposicin para cada uno de los objetivos de control.29


COBITtiv idad co nfi efici den en cia cia lid ad in dis tegr po idad nib cu ilidad m plim co ient nfi abil o idad

Requerimientos de Proceso de Auditoria

Marco de Referencia de ControlAdquisicin & Implementacin

Observaciones de ControlActo

efec

P

S

Planeacin & Organizacin

Entrega & Soporte

El control de

Monitoreo

Normas Estndares KPI / CSF

Comparacin Proceso

Proceso de TILo cual satisface

Requerimientos de negocio

Informacin de Controles posible por

Los Estatutos de Control

considerando las

Prcticas de Control

ap licac ge ione nte tecns ol facil oga idad es da tos

Lineamiento General de Auditoria identificar evaluar probar establecer

Lineamientos Detallados de Auditoria

Uso en comunicacin

En cuanto al marco referencial de control representado por el modelo de cascada, las Directrices de Auditora pueden verse como los elementos que proporcionan retroalimentacin a partir de los procesos de control para los objetivos del negocio. Los objetivos de control son la gua que baja por la cascada para tener el proceso de TI bajo control. Las Directrices de Auditora son la gua para regresar a la parte superior de la cascada con la pregunta: Hay seguridad de que se logre el objetivo del negocio? Algunas veces, las Directrices de Auditora son traducciones literales de los Objetivos de Control; con mayor frecuencia, las Directrices buscan la evidencia de que el proceso est bajo control. OPORTUNIDADES Y RETOS PARA LAS TAREAS DE EVALUACIN

Las investigaciones pueden enfocarse utilizando el indicador de qu recurso es ms importante en qu proceso; y Como un estndar para definir las reas de TI auditables para el plan estratgico de auditora, con el fin de asegurar La cobertura efic

14 Cobit Guias de Auditoria

Documents

Transcript of 14 Cobit Guias de Auditoria