Objetivo: Conocer las pautas la de certificación internacional. Se
revisan las unidades del examen CISA (Auditor certificado en
sistemas de información) y se presentan simulacros de la prueba
Antecedentes
Desde la década de 1960, el rápido desarrollo de los sistemas
automatizados ha creado la expectativa de una apropiada
respuesta de las áreas que se ocupan de gestionar la
tecnología informática y sistemas de información.
Estos cambios tienen y seguirán teniendo profundas
repercusiones en sus estructuras de control. La automatización
de las funciones organizacionales está determinando la
incorporación de mecanismos de control más potentes en los
sistemas de información, en los sistemas operativos, las redes,
y el hardware.
Pero en la actualidad, debemos ir hablando más de "Auditoria
de Sistemas de Información" que sólo de Auditoria Informática,
por la extensión de las áreas que llega a cubrir. En todo caso, la
Auditoria de Sistemas de Información se ha convertido en el
control del ambiente de controles embebido en los procesos
automatizados y en el la forma como se han gerenciado los
mismos.
Estándares de Auditoría.
Informe COSO - (Committee of Sponsoring
Organizations), de la Comisión de Estudios de Controles
Internos.
SAC - (Systems Auditability and Control), de la Fundación
de Investigación del Instituto de Auditores Internos.
SAS 55 y SAS 78 - Consideraciones de la estructura de
Controles Internos en los Informes de los Estados
Financieros, del Instituto Americano de Contadores
Públicos (CPA)
COBIT (Control Objectives for Information and related
Technology), de la Fundación de Auditoría y Control de
Sistemas de Información.
ISACA (Information Systems Audit and Control Asociation ).
IRCA (International Register of Certificated Auditor), de
Registro Internacional de Auditores
COBIT
La Estructura COBIT provee una herramienta
para el propietario del proceso del negocio
que facilita el descargo de su
responsabilidad. La estructura comienza con
una premisa simple y pragmática:
“Los Recursos de Tecnología Informática necesitan
ser administrados por un conjunto de procesos de
Tecnología Informática agrupados naturalmente
para proveer la información que necesita la
empresa para el logro de sus objetivos.”
COBIT
Continúa con un conjunto de 32 Objetivos de Control
de alto nivel, uno por cada uno de los Procesos de
Tecnología Informática, agrupados en cuatro
Dominios: planeamiento y organización, adquisición
e implementación, entrega y soporte y monitoreo.
Esta estructura cubre todos los aspectos de la
información y de la tecnología que la soporta.
Al encarar estos 32 Objetivos de Control de alto nivel
y con referencia a las políticas y estándares de la
empresa, el propietario del proceso del negocio
puede asegurar que se provee un sistema de control
adecuado para el ambiente de tecnología
informática.
Recursos de Tecnología
Informática
Datos: Objetos datos en su más amplio sentido, (ej: externos e
internos), estructurados y no estructurados, gráficos, sonido,
etc.
Sistemas de Aplicación: Se entiende como sistemas de
aplicación la suma de procedimientos programados y manuales.
Tecnología: Tecnología cubre hardware, sistemas operativos,
sistemas de administración de bases de datos, redes,
multimedia, etc.
Instalaciones: Recursos para albergar y soportar los sistemas
de información.
Gente: Habilidades del personal, concientización y
productividad para planear, organizar, adquirir, entregar,
soportar y monitorear sistemas de información y servicios.
Recursos de Tecnología
Informática
Requerimientos de Calidad, Financieros y de Seguridad: se extrajeron
siete categorías distintas, seguramente superpuestas, soportar y monitorear
sistemas de información y servicios.
1.
2.
3.
4.
5.
6.
7.
Efectividad: trata con información relevante y pertinente al proceso de negocios, así
como entregada de una manera oportuna, correcta, consistente y útil.
Eficiencia: concierne a la provisión de información mediante el uso óptimo (más
productivo y económico) de los recursos.
Confidencialidad: concierne a la protección de la información sensible respecto de
la disposición no autorizada.
Integridad: se relaciona con la precisión y completamiento de la información así
como con su validez de acuerdo con los valores y expectativas del negocio.
Disponibilidad: se refiere a que la información esté disponible cuando sea requerida
por el proceso del negocio, ahora y en el futuro. También concierne a la salvaguarda
de los recursos necesarios y las capacidades asociadas.
Cumplimiento: trata con el cumplimiento de aquellas leyes, regulaciones y arreglos
contractuales a los cuales está sujeto el proceso del negocio, ej: criterios del negocio
impuestos desde el exterior.
Confiabilidad de la Información: se relaciona con la provisión de información
apropiada a la gerencia para operar la entidad y también para ejercer sus
responsabilidades de elaboración de informes financieros y de cumplimiento.
Objetivos de Control
Es claro que no todas las medidas de control necesariamente
satisfarán en el mismo grado los distintos requerimientos del
negocio en materia de información.
Primario (P) es el grado al cual el Objetivo de Control definido
satisface completamente el requerimiento de información
concerniente.
Secundario (S) es el grado al cual el Objetivo de Control
definido sólo satisface con una menor extensión o
indirectamente el requerimiento de información concerniente.
Blanco (B) podría ser aplicable; pero sin embargo, los
requerimientos se satisfacen más apropiadamente por otro
criterio en este proceso y/o por otro proceso.
Para la clasificación seleccionada es que hay en esencia, tres niveles de
esfuerzos de Tecnología Informática cuando se considera la
administración de los recursos de Tecnología Informática.
COBIT. NIVELES
COBIT se divide en tres niveles:
Dominios: Agrupación natural de procesos, normalmente
corresponden a un dominio o una responsabilidad
organizacional.

Procesos: Conjuntos o series de actividades unidas con
delimitación o cortes de control.
 Actividades: Acciones requeridas para lograr un resultado
medidle.
Se definen 34 objetivos de control generales, uno para cada
uno de los procesos de las TI. Estos procesos están agrupados
en cuatro grandes dominios que se detallan a continuación
junto con sus procesos y una descripción general de las
actividades de cada uno:
Dominios
Planeamiento y Organización: Este Dominio cubre
la estrategia y las tácticas y le concierne la
identificación de la forma en que la tecnología
informática puede contribuir mejor al logro de los
objetivos del negocio.
Adquisición e Implementación: Para comprender
la estrategia de Tecnología Informática, las
soluciones de Tecnología Informática necesitan ser
identificadas, desarrolladas o adquiridas así como
implementadas e integradas en el proceso del
negocio. Además, se cubren en este Dominio los
cambios en y el mantenimiento de los sistemas
existentes.
Dominios
Entrega y Soporte: A este Dominio le concierne la entrega real
de los servicios requeridos, que cubre desde las operaciones
tradicionales sobre aspectos de seguridad y continuidad hasta
el entrenamiento. Para brindar servicios deben instalarse los
procesos de soporte necesarios. Este Dominio incluye el
procesamiento real de los datos por los sistemas de aplicación,
a menudo clasificados como controles de las aplicaciones.
Monitoreo: Todos los procesos de Tecnología Informática
necesitan ser evaluados regularmente en el tiempo en su
calidad y cumplimiento con los requerimientos de control.
Dominios, Procesos,
Actividades
Dominio: Planificación y Organización
PO1 Definición de un plan Estratégico
PO2 Definición de la Arquitectura de Información
PO3 Determinación de la dirección tecnológica
PO4 Definición de la organización y de las relaciones de TI
PO5 Manejo de la inversión
PO6 Comunicación de la dirección y aspiraciones de la gerencia
PO7 Administración de recursos humanos
PO8 Asegurar el cumplimiento con los requerimientos Externos
PO9 Evaluación de riesgos
PO10 Administración de proyectos
PO11 Administración de calidad
Dominios, Procesos,
Actividades
Dominio: Adquisición e
implementación
AI1 Identificación de Soluciones Automatizadas
AI2 Adquisición y mantenimiento del software aplicativo
AI3 Adquisición y mantenimiento de la infraestructura tecnológica
AI4 Desarrollo y mantenimiento de procedimientos
AI5 Instalación y aceptación de los sistemas
AI6 Administración de los cambios
ESTRUCTURA DE COBIT
INCORPORACIÓN INTRANET
PROCESO
DENOMINACIÓN PROCESO
Plani
ficació
n
Planeación
PO1
Definir un plan estratégico de
sistema
P
y
PO2
Definir la arquitectura de
información
P
P
Organiza-
PO3
Determinar la dirección
tecnológica
S
P
ción
PO4
Definir la organización y sus
relaciones
S
PO5
Administrar las inversiones (en TI)
P
PO6
Comunicar la dirección y objetivos
de la gerencia
S
P
P
PO7
Administrar los recursos humanos
P
S
P
PO8
Asegurar el apego a disposiciones
externas
P
P
P
P
PO9
Evaluar riesgo
S
P
P
P
PO10
Administrar proyecto
S
P
P
PO11
Administrar calidad
S
P
P
DOMINIO
Adquisición
Mantenimiento
Seguirda
d
Servi-cios
P
P
P
P
S
ESTRUCTURA DE COBIT
DOMINIO
PROCESO
DENOMINACIÓN PROCESO
INCORPORACIÓN INTRANET
Plani
ficació
n
Adquisición
Mantenimiento
Seguird
ad
Servi-cios
Adquisició AI1
ne
Identificar soluciones de
automatización
P
Implemen- AI2
Adquirir y mantener software
de aplicación
P
P
S
S
AI3
Adquirir y mantener la
arquitectura tecnológica
P
P
S
S
AI4
Desarrollar y mantener
procedimiento
P
P
S
S
AI5
Instalar y acreditar sistemas de
información
P
P
AI6
Administrar cambio
P
P
S
S
tación
P
ESTRUCTURA DE COBIT
DOMINIO
PROCESO
DENOMINACIÓN PROCESO
Entrega de DS1
Definir niveles de servicio
servicios y DS2
Administrar servicios de tercero
Soporte
INCORPORACIÓN INTRANET
Plani
ficació
n
Adquisición
Mantenimiento
Seguird
ad
Servi-cios
P
DS3
Administrar desempeño y
capacidad
DS4
Asegurar continuidad de
servicio
DS5
Garantizar la seguridad de
sistema
DS6
Identificar y asignar costo
P
DS7
Educar y capacitar a usuario
P
DS8
Apoyar y orientar a clientes
DS9
Administrar la configuración
P
DS10
Administrar problemas e
incidente
P
P
P
DS11
Administrar la información
S
P
P
DS12
Administrar las instalaciones
P
DS13
Administrar la operación
P
P
P
P
P
P
S
S
P
P
ESTRUCTURA DE COBIT
DOMINIO
PROCESO
Monitoreo M1
DENOMINACIÓN PROCESO
INCORPORACIÓN INTRANET
Plani
ficaci
ón
Adquisición
Mantenimiento
Seguird
ad
Monitorear el proceso
Servi-cios
P
M2
Evaluar lo adecuado del control
interno
P
M3
Obtener aseguramiento
independiente
P
M4
Proporcionar auditoría
independiente
S
S
S
S
P
P
P
P
P
P
P
http://www.seis.es/inforsalud2001/intro.htm#OBJETIVO
http://www.adacsi.org.ar/estaaudi1.htm - Introdución
Descargar

Diapositiva 1