Escolar Documentos
Profissional Documentos
Cultura Documentos
CASITI2010
ACTIVIDAD PRCTICA N 1
PRESENTACIN
El objetivo de la GUA ACTIVIDAD PRCTICA N1: JAYHAWK MEDICAL SUPPLY INC. es facilitar a los
alumnos organizados en Grupos de Trabajo (GT) la realizacin en tiempo y forma de la ACTIVIDAD
PRCTICA N1.
En la elaboracin y redaccin de la ACTIVIDAD PRCTICA N1 debern respetarse los Requisitos para
la Elaboracin y Presentacin de Trabajos Escritos obrantes en el documento
HEAM_CASITI_RequisitosTrabajosEscritos_V03.pdf.
El archivo zipeado conteniendo la versin definitiva de la ACTIVIDAD PRCTICA N1 (documento en
formato Adobe Acrobat) deber ser subido al Curso CASITI2010 dentro del plazo estipulado - utilizando
la facilidad incorporada en la Tarea de Moodle (subir archivo) provista a tal fin bajo el rtulo Subir
AP1.
Tanto el archivo zipeado como el documento incluido en l tendrn el mismo nombre, que se
conformar de la siguiente manera: CASITI2010_GTXX_AP1_V01, donde XX corresponde al Nmero de
GT (e.g., CASITI2010_GT01_AP01_V01, CASITI2010_GT02_AP01_V01, etc.)
DESARROLLO
La ACTIVIDAD PRCTICA N1 se llevar a cabo en 2 (dos) ETAPAS sucesivas: una 1RA. ETAPA de
carcter individual y luego una 2DA. ETAPA de carcter grupal. A tal efecto los alumnos de cada Curso
se organizarn de la manera siguiente:
1. 5K1 - 5 (CINCO) Grupos de Trabajo (numerados del GT01 al GT05)
2. 5K2 - 5 (CINCO) Grupos de Trabajo (numerados del GT06 al GT11).
HEAM_CASITI2010_Caselet 1_Spanish_V05_Alu.docx
Pgina 1 de 7
3. Estudiar - hasta comprender cabalmente y poder citar con precisin - el contenido del material
correspondiente a la UNIDAD N 2: GOBIERNO DE SI/TI (IS/IT GOVERNANCE) y a la UNIDAD N 3:
COBIT AVANZADO (COBIT 4.1) disponible en lnea en el Curso CASITI, con nfasis en los
documentos siguientes:
1. Presentacin sobre "Gobierno de TI, COBIT y Val IT
2. El Marco Val IT
3.
4. COBIT 4.1_Espaol
5. IT Governance Using COBIT and Val IT: Student Book, 2 nd Edition
6. COBIT_R_Control_Practices_2nd_Edition.pdf
7. IT Assurance Guide: Using COBIT
4. Estudiar - hasta comprender cabalmente y poder citar con profesionalidad - el contenido del
documento CASITI2010_AP1_CaseletJMS.
NOTA N 1
Al finalizar la 1RA. ETAPA el alumno deber haber alcanzado el grado de comprensin del contenido del
material de estudio y el nivel de preparacin mnimo requerido (que ser oportunamente evaluado y
calificado) para poder abordar en tiempo y forma la 2da. ETAPA, de carcter grupal.
HEAM_CASITI2010_Caselet 1_Spanish_V05_Alu.docx
Pgina 2 de 7
OBJETIVO DE APRENDIZAJE
Disear un programa de pruebas de auditora para testear1 la efectividad (eficacia y eficiencia)
operativa de los controles internos sobre los cambios efectuados a un sistema de informacin.
testear. 1. tr. Arg. y Chile. Someter algo a un control o prueba. Real Academia Espaola Todos los derechos
reservados.
Ing. Horacio Antonelli Matterson, CIA, CISA.
HEAM_CASITI2010_Caselet 1_Spanish_V05_Alu.docx
Pgina 3 de 7
efectividad (eficacia y eficiencia) operativa de los controles internos sobre los cambios efectuados al SIE,
conforme a los supuestos y precisiones que de detallan en los puntos siguientes.
2. Suponga que usted est dirigiendo el trabajo de campo de un equipo de auditores que estn evaluando
la efectividad (eficacia y eficiencia) de los controles internos sobre los cambios que se introducen en
el SIE.
3. El equipo de auditores ya ha evaluado la efectividad del diseo de estos controles y ha arribado a la
conclusin que JMS tiene implementados procedimientos de control interno adecuados. Este equipo de
auditores tambin ha identificado controles crticos de cambios que se introducen en el SIE que
deben ser testeados a fin de obtener evidencia til para evaluar su efectividad operativa.
4. En el APNDICE del Caso JMS - Cuadro o Tabla titulado: OBJETIVOS Y PROCEDIMIENTOS DE
CONTROL PARA EVALUAR LA EFECTIVIDAD (CONTROL OBJECTIVES AND PROCEDURES FOR
EVALUATING EFFECTIVENESS) - se presenta un inventario o listado de los Procedimientos de
Auditora posibles para cada uno de los 10 (diez) CONTROLES CRTICOS (listados ms adelante) que
actan sobre los cambios que se introducen en el SIE. Cabe recordar que estos Procedimientos de
Auditora comprenden tanto las Prcticas de Control cuanto los Pasos de Aseguramiento asociados a
las mismas.
5. Para cada uno de los 10 (diez) Controles Crticos listados a continuacin, usted deber describir los
Procedimientos de Prueba especficos - que comprenden tanto las Prcticas de Control (Control
Practices) como los Pasos de Aseguramiento (Assurance Steps) asociados - que deberan ser
utilizados para evaluar la efectividad operativa de cada Control Crtico (i.e., Objetivo de Control
de COBIT). Limtese a seleccionar, adecuar y/o disear los Pasos de Aseguramiento ms adecuados
para cada Prctica de Control; usted no tiene que especificar tamaos de muestra ni cronogramas.
6. Su experiencia de aprendizaje clave en el Caso JMS es el proceso de mapeo que
fundamentalmente requiere que usted, en el contexto descrito en el Caso JMS y tomando como
input los OBJETIVOS Y PROCEDIMIENTOS DE CONTROL PARA EVALUAR LA EFECTIVIDAD obrantes
en el APNDICE del Caso JMS:
6.1. para cada Objetivo de Control, seleccione aquellas Prcticas de Control que a su criterio mejor se
corresponden con cada uno de los 10 (diez) Controles Crticos que deben ser probados;
6.2. una vez seleccionadas las Prcticas de Control del punto precedente, determine cules de los posibles
Pasos de Aseguramiento resultan ms apropiados.
HEAM_CASITI2010_Caselet 1_Spanish_V05_Alu.docx
Pgina 4 de 7
programa de pruebas de auditora para testear la efectividad operativa de los controles internos
sobre los cambios efectuados al SIE:
Pasos de Aseguramiento
Roles y responsabilidades
La
definicin
responsabilidades
Evaluacin de impacto
de
roles
NOTA N 2
Durante el proceso de mapeo, el alumno deber obtener una comprensin cabal de:
Los diferentes tipos de Prcticas de Control & Pasos de Aseguramiento (i.e., procedimientos de
auditora) que los auditores pueden utilizar para testear los diversos controles
Tambin debern tener en cuenta durante el proceso de mapeo que - a pesar de que "mapeen contra
un mismo Objetivo de Control - los Pasos de Aseguramiento a ser testeados no aparecen
necesariamente en el mismo orden que las Prcticas de Control; esta "disposicin particular"
obligar a los alumnos a leer muy cuidadosamente los Pasos de Aseguramiento y las Prcticas de
Control antes de relacionarlos o asociarlos en el orden ms adecuado posible.
Ing. Horacio Antonelli Matterson, CIA, CISA.
HEAM_CASITI2010_Caselet 1_Spanish_V05_Alu.docx
Pgina 5 de 7
3.2.
3.3.
3.4.
4. Adems de los objetivos de control detallados, cada proceso de COBIT tiene requerimientos de
control genricos que se identifican con PCn, que significa Process Control number (nmero de
Control de Proceso). Estos requerimientos de control genricos deben tomarse como un todo junto
con los objetivos de control del proceso para tener una visin completa de dichos requerimientos de
control.
HEAM_CASITI2010_Caselet 1_Spanish_V05_Alu.docx
Pgina 6 de 7
2.
AI6.2: Evaluacin de Impacto, Priorizacin y Autorizacin - Garantizar que todas las solicitudes de cambio se
evalan de una estructurada manera en cuanto a impactos en el sistema operacional y su funcionalidad. Esta
evaluacin deber incluir categorizacin y priorizacin de los cambios. Previo a la migracin hacia produccin, los
interesados correspondientes autorizan los cambios.
3.
AI6.3: Cambios de Emergencia - Establecer un proceso para definir, plantear, evaluar y autorizar los cambios de
emergencia que no sigan el proceso de cambio establecido. La documentacin y pruebas se realizan,
posiblemente, despus de la implantacin del cambio de emergencia.
4.
AI6.4: Seguimiento y Reporte del Estatus de Cambio - Establecer un sistema de seguimiento y reporte para
mantener actualizados a los solicitantes de cambio y a los interesados relevantes, acerca del estatus del cambio a
las aplicaciones, a los procedimientos, a los procesos, parmetros del sistema y del servicio y las plataformas
fundamentales.
5.
AI6.5: Cierre y Documentacin del Cambio - Siempre que se implantan cambios al sistema, actualizar el sistema
asociado y la documentacin de usuario y procedimientos correspondientes. Establecer un proceso de revisin
para garantizar la implantacin completa de los cambios.
6.
7.
AI7.5: Conversin de Sistemas y Datos - Plan de conversin de datos y migracin de infraestructuras como parte
de los mtodos de desarrollo de la organizacin, incluyendo pistas de auditoria, respaldo y vuelta atrs.
8.
AI7.7: Prueba de Aceptacin Final - Asegurar que el dueo de proceso de negocio y los interesados de TI evalan
los resultados de los procesos de pruebas como determina el plan de pruebas. Remediar los errores significativos
identificados en el proceso de pruebas, habiendo completado el conjunto de pruebas identificadas en el plan de
pruebas y cualquier prueba de regresin necesaria. Siguiendo la evaluacin, aprobacin promocin a produccin.
9.
AI7.9: Revisin Posterior a la Implantacin - Establecer procedimientos en lnea con los estndares de gestin
de cambios organizacionales para requerir una revisin posterior a la implantacin como conjunto de salida en el
plan de implementacin.
10. DS5.3: Administracin de Identidad - Asegurar que todos los usuarios (internos, externos y temporales) y su
actividad en sistemas de TI (aplicacin de negocio, entorno de TI, operacin de sistemas, desarrollo y
mantenimiento) deben ser identificables de manera nica. Permitir que el usuario se identifique a travs de
mecanismos de autenticacin. Confirmar que los permisos de acceso del usuario al sistema y los datos estn en
lnea con las necesidades del negocio definidas y documentadas y que los requerimientos de trabajo estn
adjuntos a las identidades del usuario. Asegurar que los derechos de acceso del usuario se solicitan por la
gerencia del usuario, aprobados por el responsable del sistema e implementado por la persona responsable de la
seguridad. Las identidades del usuario y los derechos de acceso se mantienen en un repositorio central. Se
despliegan tcnicas efectivas en coste y procedimientos rentables, y se mantienen actualizados para establecer la
identificacin del usuario, realizar la autenticacin y habilitar los derechos de acceso.
HEAM_CASITI2010_Caselet 1_Spanish_V05_Alu.docx
Pgina 7 de 7