1ERA PARTE----AUDITORIA INFORMATICA

LA ORGANIZACIN Y EL CONTROL EN LA EMPRESA ACTUAL

Tendencia actual en las organizaciones

Tendencia de:

Organizaciones con control central

Funciones internas fuertes
Relaciones externas dbiles

Tendencia a:

Corporacin virtualmente descentralizada con procesos de negocio distribuido.

Personas y equipos interconectados, con responsabilidades delegadas (sistemas y empowerment) y a cargo
de ms de una funcin.
Organismos y empresas ms concentradas en asuntos externos.

EXPECTATIVA DE LA DIRECCION EN CUANTO A LA TI

Principios actuales de negocio:

Organizarse en torno a los work system y procesos, no entorno a las tareas.

Poner el punto de decisin donde se efecta el trabajo, incorporando el control al proceso.
Agrupar los recursos geogrficamente dispersos (centralizacin lgica)

Objetivos: Tanto objetivos externo como internes necesitan un marco de control

Objetivos internos:
 Reingeniera de los procesos
Procesamiento distribuido
Delegacin (empowerment)
Tercerizacin

Objetivos Externos:

Mejoramiento de la calidad
Aumento de los niveles de servicio
Control de inversiones

MARCO DE CONTROL PARA LA DIRECCION DE T

Control interno--> COSO(Comit de organizaciones de la comisin Treadway)

Es un proceso o un conjunto de procesos efectuados por el consejo de administracin ,la direccin y el resto de
personal de una entidad , diseado y el con el objeto de proporcionar un grado de seguridad razonable en cuanto a
la consecucin de objetivos.

Con alcance a los conceptos de:

Eficacia y Eficiencia de las operaciones.

Fiabilidad de la informacin financiera
Cumplimiento de las leyes y normas aplicables

Enfoque del control -> Responder a la necesidad de control de la tecnologa de informacin

Principales razones para el control:

a) Incidencia de la TI en las empresas

o Creciente dependencia de la informacin

o Debilidades y amenazas cada vez mayores
o Aumento de costos de las TI
o Irrupcin de nuevas TI

b) Factores de cambio continuo

o Accionistas : - costos, + rentabilidad y + crecimiento.

o Clientes externos e internos: mayor funcionalidad, incremento de la calidad de procesos y productos
finales.
o Sociedad: mayores exigencias en rendiciones de cuentas por la responsabilidad asignada en el sector
pblico y privado.

La tecnologa de la informacin toma el control y el COBIT puede gestionar dicho control

Objetivo de control para Tecnologia de informacin

Afirmacin del resultado deseado o propsito a ser cumplido, al implementar procedimientos de control en una
actividad particular de TI.

La sumatoria de los controles particulares en TI, nos da la confiabilidad en todos los procesos del negocio.
 COBIT
Objetivo: Soportar los objetivos empresariales mediante el desarrollo, promocin y entrega de investigaciones,
estndares, competencias y prcticas para un efectivo gobierno, control y evaluacin de los sistemas de informacin
y la tecnologa relacionada

Historia(ISACA): Fundada in 1969, como EDP Auditors Association

Definicin: Control OBjetives for Information and related Technology -> Objetivos de Control para Tecnologa de
Informacin y Tecnologas relacionadas

Antecedentes:

El gremio de profesionales en TI se mostr preocupado por la falta de una gua estndar sobre el control en TI, que
sirviera para diferentes grupos de inters.

LA ISACA, como rgano que agrupa a profesionales de diferentes reas interesados en el control de TI, se di a la
tarea de desarrollar un conjunto comn de conceptos sobre la materia.

COBIT Integra y concilia normas y reglamentaciones existentes como:

ISO (9000-3)
Cdigos de Conducta del Consejo Europeo
COSO, IFAC, IIA, ISACA, AICPA y Otras

Adems incluye el contenido de los Objetivos de Control emitidos por ISACA (EDPAA)

Concepto: COBIT responde a la pregunta siguiente definiendo los objetivos de control que se deben establecer en
cada funcin de la TI.

Pregunta.- Cules son los controles mnimos que deben estar implementados para poder decir que estn bien
controlados los recursos de TI (Gobierno de TI)?

Adems, provee guas de auditora para los auditores de sistemas y Directrices Gerenciales para la medicin de los
procesos por parte de la Administracin de TI.

Misin.- Investigar, desarrollar, publicar y promover un conjunto internacional y actualizado de objetivos de control
para tecnologa de informacin que sea de uso cotidiano para gerentes, auditores y dems directivos de una
empresa.

Usuarios :

La Gerencia: para apoyar sus decisiones de inversin en TI y control sobre el rendimiento de las mismas, analizar el
costo beneficio del control.

Los Usuarios Finales: quienes obtienen una garanta sobre la seguridad y el control de los productos que adquieren
interna y externamente

Los Auditores Informticos: para soportar sus opiniones sobre los controles de los proyectos de TI , su impacto en
la organizacin y determinar el control mnimo requerido.

Los Responsables de TI: para identificar los controles que requieren en sus reas
Caracteristicas

Orientado al negocio
Alineado con normas, estndares y regulaciones internacionales
Basado en una revisin crtica y analtica de las tareas y actividades en TI
Alineado con los ms importantes estndares de control y auditora (COSO, IFAC, IIA, ISACA, AICPA)

Componentes

Estndar Abierto

Resumen Ejecutivo
Marco Referencial
Objetivos de Control
Herramientas de Implementacin
Directrices Gerenciales

Directrices de Auditora.

Esta parte m imagino a que se referir a como hacer un informe para auditar

Resumen ejecutivo-->Hay un metodo, una forma de controlar los procesos? Algo asi
Marco referencial-->El mtodo es.
Objetivos de control-->Los controles minimos son
Herramientas de implementacin-->Como implementar..
Directrices gerenciales-->Como medir..
Guias de Auditoria-->Como auditar..

-----------------------------------------------------------------------------------------------------------------------

Principios de cobit

Proceso de Tecnologia de informacin

Requerimientos de informacin del negocio
Recursos de TI

Estructura

En la organizacin se automatizan los PROCESOS DEL NEGOCIO los cuales para ser aceptados necesitan CRITERIOS
gobernando RECURSOS DE TECNOLOGIA DE INFORMACION que deben brindar INFORMACION CONFIABLE que nos
permita continuar con los PROCESOS DE NEGOCIO.
Requerimientos de la informacin del negocio:

CobiT combina los principios contenidos por modelos existentes y conocidos, como COSO, SAC y SAS

Requerimientos de calidad: Cero defectos, costo ,oportunidad.

Requerimientos financieros:
o Efectividad: La informacin debe ser relevante y pertinente para los procesos del negocio y debe ser
proporcionada en forma oportuna, consistente y utilizable.
o Eficiencia operacional: Se debe proveer informacin mediante el empleo ptimo de los recursos (la
forma ms productiva y econmica).
o confiabilidad de los reportes financieros: proveer la informacin apropiada para que la
administracin tome las decisiones adecuadas para manejar la empresa y cumplir con las
responsabilidades de los reportes financieros y de cumplimiento normativo.
o cumplimiento de leyes y regulaciones: de las leyes, regulaciones y compromisos contractuales con
los cuales est comprometida la empresa.
 Requerimientos de seguridad:
o Confidencialidad: Proteccin de la informacin sensitiva contra divulgacin o uso no autorizados
o Integridad: Refiere a lo exacto y completo de la informacin, as como a su validez de acuerdo con las
expectativas de la empresa.
o Disponibilidad: accesibilidad a la informacin cuando sea requerida por los procesos del negocio y la
salvaguarda de los recursos y capacidades asociadas a los mismos.

Recursos de Tecnologa de informacin

Datos: Todos los objetos de informacin. Considera informacin interna y externa, estructurada o
n, grficas, sonidos, etc.
Aplicaciones: entendido como los sistemas de informacin, que integran procedimientos manuales y
sistematizados.
Tecnologa: incluye hardware y software bsico, sistemas operativos, sistemas de administracin de
bases de datos, de redes, telecomunicaciones, multimedia, etc.
Instalaciones: Incluye los recursos necesarios para alojar y dar soporte a los sistemas de informacin.
Recurso Humano: Por la habilidad, conciencia y productividad del personal para planear, adquirir,
prestar servicios, dar soporte y monitorear los S/I

PROCESOS DE TECNOLOGIA DE INFORMACION

LOS 3 NIVELES:

Dominios

Agrupacin natural de procesos, normalmente corresponden a un dominio o una responsabilidad

Procesos organizacional

Conjuntos o series de actividades unidas con delimitacin o cortes de control.

Actividades o Tareas

Acciones requeridas para lograr un resultado medible. Las Actividades tienen un ciclo de vida mientras que las
Tareas son discretas.

DOMINIOS DE TECNOLOGIA DE INFORMACION

Planeacin y organizacin:

o Cubre la estrategia y las tcticas, y se refiere a la identificacin de la forma en que la TI puede contribuir de
la mejor manera al logro de los objetivos del negocio.
o Adems la bsqueda de la visin estratgica necesita ser planeada, comunicada y administrada desde
diferentes perspectiva.
o Por ltimo, deber establecerse una organizacin y una infraestructura tecnolgica apropiada.
PO1. Definir un plan estratgico
PO2. Definir la estructura de la informacin
PO3. Determinar la direccin tecnolgica
PO4. Definir la organizacin y las relaciones de TI
PO5. Administrar la inversin en TI
PO6. Comunicar los objetivos de la administracin y directrices
PO7. Administrar el recurso humano
 PO8. Asegurar cumplimiento de requerimientos externos.
PO9. Evaluar los riesgos
PO10 Administrar proyectos
PO11 Administrar la calidad

Adquisicin e implementacin:

Para llevar a cabo la estrategia de TI, las soluciones de TI deben ser identificadas, desarrolladas o adquiridas, as
como implementadas e integradas dentro del proceso del negocio.

Adems, cubre los cambios y el mantenimiento realizados a sistemas existentes.

o AI1. Identificar soluciones

o AI2. Adquirir y mantener software de aplicacin
o AI3. Adquirir y mantener infraestructura tecnolgica
o AI4. Desarrollar y mantener procedimientos
o AI5. Instalar y acreditar sistemas
o AI6. Administrar los cambios

Prestacin de servicios y soporte

Se hace referencia a la entrega de los servicios requeridos, que abarca desde las operaciones tradicionales hasta el
entrenamiento, pasando por la seguridad y aspectos de continuidad.

Con el fin de proveer servicios debern establecerse los procesos de soporte necesarios.

Incluye el procesamiento de los datos por sistemas de informacin (controles de aplicacin).

DS1. Definir niveles de servicio

DS2. Administrar servicios prestados por terceros
DS3. Administrar el desempeo y la capacidad
DS4. Asegurar el servicio continuo
DS5. Garantizar la seguridad de los sistemas
DS6. Identificar y asignar costos
DS7. Educar y entrenar a los usuarios
DS8. Apoyar y asistir a los clientes de la TI
DS9. Administrar la configuracin
DS10 Administrar problemas e incidentes
DS11 Administrar los datos
DS12 Administrar las instalaciones
DS13 Administrar las operaciones

Monitoreo

Todos los procesos necesitan ser evaluados regularmente a travs del tiempo para verificar su calidad y suficiencia
en cuanto a los requerimientos de control.

M1. Monitorear los procesos de la TI

M2. Evaluar el control interno
M3. Obtener garanta independiente
M4. Obtener auditora independiente.