UNIVERSIDAD T ECNOLG ICA NACI ONAL

Facultad Regional Crdoba

CASITI2010
ACTIVIDAD PRCTICA N 1
PRESENTACIN
El objetivo de la GUA ACTIVIDAD PRCTICA N1: JAYHAWK MEDICAL SUPPLY INC. es facilitar a los
alumnos organizados en Grupos de Trabajo (GT) la realizacin en tiempo y forma de la ACTIVIDAD
PRCTICA N1.
En la elaboracin y redaccin de la ACTIVIDAD PRCTICA N1 debern respetarse los Requisitos para
la Elaboracin y Presentacin de Trabajos Escritos obrantes en el documento
HEAM_CASITI_RequisitosTrabajosEscritos_V03.pdf.
El archivo zipeado conteniendo la versin definitiva de la ACTIVIDAD PRCTICA N1 (documento en
formato Adobe Acrobat) deber ser subido al Curso CASITI2010 dentro del plazo estipulado - utilizando
la facilidad incorporada en la Tarea de Moodle (subir archivo) provista a tal fin bajo el rtulo Subir
AP1.
Tanto el archivo zipeado como el documento incluido en l tendrn el mismo nombre, que se
conformar de la siguiente manera: CASITI2010_GTXX_AP1_V01, donde XX corresponde al Nmero de
GT (e.g., CASITI2010_GT01_AP01_V01, CASITI2010_GT02_AP01_V01, etc.)

DESARROLLO
La ACTIVIDAD PRCTICA N1 se llevar a cabo en 2 (dos) ETAPAS sucesivas: una 1RA. ETAPA de
carcter individual y luego una 2DA. ETAPA de carcter grupal. A tal efecto los alumnos de cada Curso
se organizarn de la manera siguiente:
1. 5K1 - 5 (CINCO) Grupos de Trabajo (numerados del GT01 al GT05)
2. 5K2 - 5 (CINCO) Grupos de Trabajo (numerados del GT06 al GT11).

1RA. ETAPA (Individual)

Para llevar a cabo esta 1ra. ETAPA correspondiente a la ACTIVIDAD PRCTICA N1, cada alumno
deber, en forma individual:
1. Estudiar - hasta comprender cabalmente y poder aplicar con profesionalidad - el contenido de los
documentos MTODO DEL CASO y GUA DE ESTUDIO DE CASOS DE NEGOCIOS en los que se
detallan los aspectos ms destacados de este importante mtodo de aprendizaje.
2. Estudiar - hasta comprender cabalmente y poder aplicar con profesionalidad - el contenido del
documento HEAM_CASITI_Requisitos_Trabajos_Escritos_V03 en el que se detallan los Requisitos
para la Elaboracin y Presentacin de Trabajos Escritos.

Ing. Horacio Antonelli Matterson, CIA, CISA.

HEAM_CASITI2010_Caselet 1_Spanish_V05_Alu.docx

Pgina 1 de 7

UNIVERSIDAD T ECNOLG ICA NACI ONAL

Facultad Regional Crdoba

3. Estudiar - hasta comprender cabalmente y poder citar con precisin - el contenido del material
correspondiente a la UNIDAD N 2: GOBIERNO DE SI/TI (IS/IT GOVERNANCE) y a la UNIDAD N 3:
COBIT AVANZADO (COBIT 4.1) disponible en lnea en el Curso CASITI, con nfasis en los
documentos siguientes:
1. Presentacin sobre "Gobierno de TI, COBIT y Val IT
2. El Marco Val IT
3.

Informe de la Direccin sobre el Gobierno de SI/TI

4. COBIT 4.1_Espaol
5. IT Governance Using COBIT and Val IT: Student Book, 2 nd Edition
6. COBIT_R_Control_Practices_2nd_Edition.pdf
7. IT Assurance Guide: Using COBIT

4. Estudiar - hasta comprender cabalmente y poder citar con profesionalidad - el contenido del
documento CASITI2010_AP1_CaseletJMS.

NOTA N 1
Al finalizar la 1RA. ETAPA el alumno deber haber alcanzado el grado de comprensin del contenido del
material de estudio y el nivel de preparacin mnimo requerido (que ser oportunamente evaluado y
calificado) para poder abordar en tiempo y forma la 2da. ETAPA, de carcter grupal.

2DA. ETAPA (Grupal)

1. Luego de haber cumplido en forma individual con las actividades detalladas en los tres puntos
precedentes, los integrantes de cada GT volvern a realizarlas, esta vez trabajando
colaborativamente en equipo con los dems integrantes de su GT.
2. Finalmente - y trabajando siempre en forma grupal cumplirn con la CONSIGNA del Caso JMS,
elaborando y presentando (subiendo) en tiempo y forma el documento escrito correspondiente,
conforme se ha indicado precedentemente.

Ing. Horacio Antonelli Matterson, CIA, CISA.

HEAM_CASITI2010_Caselet 1_Spanish_V05_Alu.docx

Pgina 2 de 7

UNIVERSIDAD T ECNOLG ICA NACI ONAL

Facultad Regional Crdoba

CASELET 1: JAYHAWK MEDICAL SUPPLY INC.

OBJETIVO DE APRENDIZAJE
Disear un programa de pruebas de auditora para testear1 la efectividad (eficacia y eficiencia)
operativa de los controles internos sobre los cambios efectuados a un sistema de informacin.

INFORMACIN DEL CASO

Jayhawk Medical Supply Inc. (JMS) vende una lnea completa de equipamiento duradero y suministros
desechables a hospitales, clnicas y consultorios mdicos. Su lnea de productos vara desde depresores de
lengua (bajalenguas) e hisopos de algodn hasta equipos de rayos x y de resonancia magntica con precios
de seis dgitos (en U$S).
El servicio al cliente es proporcionado por vendedores asignados a zonas geogrficas especficas, pero los
clientes son alentados a colocar sus rdenes de rutina a travs del sitio web de JMS. Los inventarios son
mantenidos en seis almacenes regionales. Los productos son entregados a los clientes por transportistas
comunes a fin de que la empresa no tenga que gestionar y mantener una flota de vehculos de entrega. La
estrategia empresarial (o de negocios) de JMS depende fuertemente de los SI/TI para proveer un rpido y
eficiente servicio al cliente as como para minimizar los costos de la cadena de abastecimiento. El sistema
de informacin de JMS fue adquirido e implementado mediante la mejor estrategia disponible, que
implic la realizacin de compras a diferentes proveedores de los componentes siguientes:
1. Sistemas de Gestin de Bases de Datos (DBMS)
2. Sistemas de Gestin de Relaciones con los Clientes (CRMS)
3. Sistemas de Gestin de Cadena de Abastecimiento (SCMS)
4. Sistemas de Gestin de Recursos Humanos / Contabilidad
5. Aplicaciones de Inteligencia de Negocios
Estos sistemas y aplicaciones estn integrados por un paquete middleware (software que maneja la
conexin entre un cliente y una base de datos) comprado a y mantenido por un 6to. proveedor. Esta
configuracin ofrece a JMS un sistema de informacin empresarial que est ajustado (adaptado o
customizado) a sus necesidades de negocios, pero que tambin requiere (la introduccin de) cambios
constantes mediante la instalacin de actualizaciones (upgrades) para mantener la funcionalidad de los
seis principales sistemas y aplicaciones que integran el Sistema de Informacin Empresarial (SIE) de
JMS.
Dado que los SI/TI son esenciales para la propuesta de valor para el cliente que soporta la estrategia
empresarial de JMS, su SIE es mantenido por una organizacin interna de SI/TI, que est dirigida por un
Director de Informtica (CIO: Chief Information Officer), quien depende directamente del Presidente
(CEO: Chief Executive Officer).

testear. 1. tr. Arg. y Chile. Someter algo a un control o prueba. Real Academia Espaola Todos los derechos
reservados.
Ing. Horacio Antonelli Matterson, CIA, CISA.

HEAM_CASITI2010_Caselet 1_Spanish_V05_Alu.docx

Pgina 3 de 7

UNIVERSIDAD T ECNOLG ICA NACI ONAL

Facultad Regional Crdoba
JMS ofrece una amplia gama de opciones de venta y de modalidades de pago a sus clientes, y sus
directivos han concertado una variedad de acuerdos (o arreglos) para los procesos de compras (o
adquisiciones) y de gestin de inventarios por parte de los proveedores (o vendedores). Por lo tanto, el SIE
de JMS tambin desempea un papel importante al momento de reconocer o aplazar ingresos por ventas,
y para determinar cundo los costos deberan ser capitalizados (capitalised) como inventario o
reflejados (expensed) como costo de bienes vendidos.
Bajo la gua (u orientacin) del Comit (o Junta de Directores) de Inversiones en SI/TI, JMS adquiere todas
las soluciones de hardware y de software - incluyendo mejoras (upgrades) del sistema de informacin
empresarial - llave en mano - a reconocidos proveedores (o vendedores) de SI/TI. No se llevan a cabo en
la empresa actividades de programacin o de desarrollo de sistemas de informacin.
Con la ayuda de personal del proveedor (vendedor), JMS ha instalado actualizaciones a cuatro de los cinco
componentes principales de su SIE principales durante el ao pasado y tambin ha modificado la
aplicacin middleware para dar cabida a dichos cambios. Asimismo, JMS ha diseado un Sistema de
Controles Internos (SCI) que la direccin intenta hacer que se cumplan para todos los cambios que se
introduzcan en el su SIE.

CONSIGNA DEL CASO

1. Su tarea consiste, bsicamente, en disear un programa de pruebas de auditora para testear la

efectividad (eficacia y eficiencia) operativa de los controles internos sobre los cambios efectuados al SIE,
conforme a los supuestos y precisiones que de detallan en los puntos siguientes.
2. Suponga que usted est dirigiendo el trabajo de campo de un equipo de auditores que estn evaluando
la efectividad (eficacia y eficiencia) de los controles internos sobre los cambios que se introducen en
el SIE.
3. El equipo de auditores ya ha evaluado la efectividad del diseo de estos controles y ha arribado a la
conclusin que JMS tiene implementados procedimientos de control interno adecuados. Este equipo de
auditores tambin ha identificado controles crticos de cambios que se introducen en el SIE que
deben ser testeados a fin de obtener evidencia til para evaluar su efectividad operativa.
4. En el APNDICE del Caso JMS - Cuadro o Tabla titulado: OBJETIVOS Y PROCEDIMIENTOS DE
CONTROL PARA EVALUAR LA EFECTIVIDAD (CONTROL OBJECTIVES AND PROCEDURES FOR
EVALUATING EFFECTIVENESS) - se presenta un inventario o listado de los Procedimientos de
Auditora posibles para cada uno de los 10 (diez) CONTROLES CRTICOS (listados ms adelante) que
actan sobre los cambios que se introducen en el SIE. Cabe recordar que estos Procedimientos de
Auditora comprenden tanto las Prcticas de Control cuanto los Pasos de Aseguramiento asociados a
las mismas.
5. Para cada uno de los 10 (diez) Controles Crticos listados a continuacin, usted deber describir los
Procedimientos de Prueba especficos - que comprenden tanto las Prcticas de Control (Control
Practices) como los Pasos de Aseguramiento (Assurance Steps) asociados - que deberan ser
utilizados para evaluar la efectividad operativa de cada Control Crtico (i.e., Objetivo de Control
de COBIT). Limtese a seleccionar, adecuar y/o disear los Pasos de Aseguramiento ms adecuados
para cada Prctica de Control; usted no tiene que especificar tamaos de muestra ni cronogramas.
6. Su experiencia de aprendizaje clave en el Caso JMS es el proceso de mapeo que
fundamentalmente requiere que usted, en el contexto descrito en el Caso JMS y tomando como
input los OBJETIVOS Y PROCEDIMIENTOS DE CONTROL PARA EVALUAR LA EFECTIVIDAD obrantes
en el APNDICE del Caso JMS:
6.1. para cada Objetivo de Control, seleccione aquellas Prcticas de Control que a su criterio mejor se
corresponden con cada uno de los 10 (diez) Controles Crticos que deben ser probados;
6.2. una vez seleccionadas las Prcticas de Control del punto precedente, determine cules de los posibles
Pasos de Aseguramiento resultan ms apropiados.

Ing. Horacio Antonelli Matterson, CIA, CISA.

HEAM_CASITI2010_Caselet 1_Spanish_V05_Alu.docx

Pgina 4 de 7

UNIVERSIDAD T ECNOLG ICA NACI ONAL

Facultad Regional Crdoba
7. A ttulo ilustrativo, mostramos a continuacin la primera parte de uno de los posibles diseos un

programa de pruebas de auditora para testear la efectividad operativa de los controles internos
sobre los cambios efectuados al SIE:

OBJETIVOS Y PROCEDIMIENTOS DE CONTROL PARA EVALUAR LA EFECTIVIDAD

AI6.1: Estndares y Procedimientos para Cambios - Establecer procedimientos de administracin de cambio
formales para manejar de manera estndar todas las solicitudes (incluyendo mantenimiento y parches) para cambios
a aplicaciones, procedimientos, procesos, parmetros de sistema y servicio, y las plataformas fundamentales.
Prcticas de Control
1

Pasos de Aseguramiento

Desarrolle, documente y promulgue un marco de gestin

de cambio que especifique las polticas y los procesos
incluyendo:

Revise el marco (de trabajo) de gestin de

cambio para determinar si el marco (de
trabajo) incluye:

Roles y responsabilidades

Clasificacin y priorizacin de todos los

cambios sobre la base del riesgo de negocio
(o riesgo empresarial)

La
definicin
responsabilidades

Clasificacin (por ejemplo, entre

infraestructura y software de aplicacin)
y priorizacin de todos los cambios

Evaluacin del impacto, autorizacin y

aprobacin

Seguimiento de los cambios

Impacto sobre la integridad de los datos

(por ejemplo, que todos cambios a los
archivos de datos sean hechos bajo
control de sistemas y aplicaciones en
lugar de que sean realizados mediante
la intervencin directa de los usuarios)

Evaluacin de impacto

Autorizacin y aprobacin de todos los

cambios por (parte de) los propietarios de los
procesos de negocio y TI

Seguimiento y estado de los cambios

Impacto sobre la integridad de los datos (por

ejemplo, que todos cambios a los archivos de
datos sean hechos bajo control de sistemas y
aplicaciones en lugar de que sean realizados
mediante la intervencin directa de los
usuarios)

de

roles

NOTA N 2
Durante el proceso de mapeo, el alumno deber obtener una comprensin cabal de:

Los diferentes tipos de Prcticas de Control & Pasos de Aseguramiento (i.e., procedimientos de
auditora) que los auditores pueden utilizar para testear los diversos controles

El significativo grado de similitud entre los distintos tipos de combinaciones de Prcticas de

Control & Pasos de Aseguramiento que pueden ser utilizados

Tambin debern tener en cuenta durante el proceso de mapeo que - a pesar de que "mapeen contra
un mismo Objetivo de Control - los Pasos de Aseguramiento a ser testeados no aparecen
necesariamente en el mismo orden que las Prcticas de Control; esta "disposicin particular"
obligar a los alumnos a leer muy cuidadosamente los Pasos de Aseguramiento y las Prcticas de
Control antes de relacionarlos o asociarlos en el orden ms adecuado posible.
Ing. Horacio Antonelli Matterson, CIA, CISA.

HEAM_CASITI2010_Caselet 1_Spanish_V05_Alu.docx

Pgina 5 de 7

UNIVERSIDAD T ECNOLG ICA NACI ONAL

Facultad Regional Crdoba
NOTA N3:
1. La Gua de Aseguramiento de TI: Usando COBIT (IT Assurance Guide: Using COBIT) proporciona
directrices detalladas para los profesionales de SI/TI y de aseguramiento acerca de cmo COBIT puede
ser utilizado para apoyar una variedad de actividades de aseguramiento para cada uno de sus 34
procesos. Esta Gua provee pasos de aseguramiento (o procedimientos de prueba) y directrices para
testear:
1. Controles genricos que se aplican a todos los procesos (identificados en el marco COBIT por un
identificador PCn)
2. Controles de aplicacin (identificados en el marco COBIT por un identificador ACn)
3. Controles especficos de proceso (identificados en el marco COBIT por un indicador de dominio
y un nmero de proceso, por ejemplo, PO6.3, AI4.1)
Tambin proporciona pasos de aseguramiento (o procedimientos de prueba) para:
1. Testear el diseo del control del objetivo de control

2. Testear la efectividad operacional (o resultado) del objetivo de control

3. Documentar las debilidades de control y su impacto
Se supone que los usuarios de la Gua de Aseguramiento de TI estn familiarizados con los conceptos
de COBIT y con los conceptos de aseguramiento.
2. Tenga presente que cada uno de los procesos de TI de COBIT tiene UN objetivo de control de alto
nivel y VARIOS objetivos de control detallados. Como un todo, representan las caractersticas de un
proceso bien administrado.
3. Los objetivos de control detallados se identifican por:
3.1.

dos caracteres que representan el dominio (e.g., PO, AI, DS o ME) ms

3.2.

un nmero de proceso (e.g., PO1, AI2, DS3 o ME4) ms

3.3.

un punto de separacin (e.g., PO1., AI2., DS3. o ME4.) ms

3.4.

un nmero de objetivo de control detallado (e.g., PO1.1, AI2.2, DS3.3 o ME4.4)

4. Adems de los objetivos de control detallados, cada proceso de COBIT tiene requerimientos de
control genricos que se identifican con PCn, que significa Process Control number (nmero de
Control de Proceso). Estos requerimientos de control genricos deben tomarse como un todo junto
con los objetivos de control del proceso para tener una visin completa de dichos requerimientos de
control.

Ing. Horacio Antonelli Matterson, CIA, CISA.

HEAM_CASITI2010_Caselet 1_Spanish_V05_Alu.docx

Pgina 6 de 7

UNIVERSIDAD T ECNOLG ICA NACI ONAL

Facultad Regional Crdoba
CONTROLES CRTICOS
1.

AI6.1: Estndares y Procedimientos para Cambios - Establecer procedimientos de administracin de cambio

formales para manejar de manera estndar todas las solicitudes (incluyendo mantenimiento y parches) para
cambios a aplicaciones, procedimientos, procesos, parmetros de sistema y servicio, y las plataformas
fundamentales.

2.

AI6.2: Evaluacin de Impacto, Priorizacin y Autorizacin - Garantizar que todas las solicitudes de cambio se
evalan de una estructurada manera en cuanto a impactos en el sistema operacional y su funcionalidad. Esta
evaluacin deber incluir categorizacin y priorizacin de los cambios. Previo a la migracin hacia produccin, los
interesados correspondientes autorizan los cambios.

3.

AI6.3: Cambios de Emergencia - Establecer un proceso para definir, plantear, evaluar y autorizar los cambios de
emergencia que no sigan el proceso de cambio establecido. La documentacin y pruebas se realizan,
posiblemente, despus de la implantacin del cambio de emergencia.

4.

AI6.4: Seguimiento y Reporte del Estatus de Cambio - Establecer un sistema de seguimiento y reporte para
mantener actualizados a los solicitantes de cambio y a los interesados relevantes, acerca del estatus del cambio a
las aplicaciones, a los procedimientos, a los procesos, parmetros del sistema y del servicio y las plataformas
fundamentales.

5.

AI6.5: Cierre y Documentacin del Cambio - Siempre que se implantan cambios al sistema, actualizar el sistema
asociado y la documentacin de usuario y procedimientos correspondientes. Establecer un proceso de revisin
para garantizar la implantacin completa de los cambios.

6.

AI7.1: Entrenamiento - Entrenar al personal de los departamentos de usuario afectados y al grupo de

operaciones de la funcin de SI/TI de acuerdo con el plan definido de entrenamiento e implantacin y a los
materiales asociados, como parte de cada proyecto de sistemas de la informacin de desarrollo, implementacin
o modificacin.

7.

AI7.5: Conversin de Sistemas y Datos - Plan de conversin de datos y migracin de infraestructuras como parte
de los mtodos de desarrollo de la organizacin, incluyendo pistas de auditoria, respaldo y vuelta atrs.

8.

AI7.7: Prueba de Aceptacin Final - Asegurar que el dueo de proceso de negocio y los interesados de TI evalan
los resultados de los procesos de pruebas como determina el plan de pruebas. Remediar los errores significativos
identificados en el proceso de pruebas, habiendo completado el conjunto de pruebas identificadas en el plan de
pruebas y cualquier prueba de regresin necesaria. Siguiendo la evaluacin, aprobacin promocin a produccin.

9.

AI7.9: Revisin Posterior a la Implantacin - Establecer procedimientos en lnea con los estndares de gestin
de cambios organizacionales para requerir una revisin posterior a la implantacin como conjunto de salida en el
plan de implementacin.

10. DS5.3: Administracin de Identidad - Asegurar que todos los usuarios (internos, externos y temporales) y su
actividad en sistemas de TI (aplicacin de negocio, entorno de TI, operacin de sistemas, desarrollo y
mantenimiento) deben ser identificables de manera nica. Permitir que el usuario se identifique a travs de
mecanismos de autenticacin. Confirmar que los permisos de acceso del usuario al sistema y los datos estn en
lnea con las necesidades del negocio definidas y documentadas y que los requerimientos de trabajo estn
adjuntos a las identidades del usuario. Asegurar que los derechos de acceso del usuario se solicitan por la
gerencia del usuario, aprobados por el responsable del sistema e implementado por la persona responsable de la
seguridad. Las identidades del usuario y los derechos de acceso se mantienen en un repositorio central. Se
despliegan tcnicas efectivas en coste y procedimientos rentables, y se mantienen actualizados para establecer la
identificacin del usuario, realizar la autenticacin y habilitar los derechos de acceso.

Ing. Horacio Antonelli Matterson, CIA, CISA.

HEAM_CASITI2010_Caselet 1_Spanish_V05_Alu.docx

Pgina 7 de 7