Está en la página 1de 33

COBIT Dominio: Planeacin y Organizacin

Cristian camilo quintero Kevin Leonardo Barrionuevo Haga clic para modificar el estilo de subttulo del patrn

8/12/12

CONCEPTOS BASICOS

8/12/12

QU ES

PLANEAR?

Planear es el hecho de establecer lo que voy a hacer. No sera nada ms que contestarse siete preguntas:

8/12/12

8/12/12

EL CUBO COBIT

8/12/12

DIRECTRIZ DE LA AUDITORIA

OBTENCIN DE UN ENTENDIMIENTO EVALUACIN DE LOS CONTROLES VALORACIN DEL CUMPLIMIENTO JUSTIFICAR EL RIESGO

8/12/12

OBTENCIN DE UN ENTENDIMIENTO

Entrevistar al personal administrativo y de staff indicado para lograr la comprensin de: Los requerimientos del negocio y los riesgos asociados La estructura organizacional Los papeles y responsabilidades Las medidas de control establecidas La actividad de reporte a la

8/12/12

EVALUACIN DE LOS CONTROLES

Evaluar la conveniencia de las medidas de control para el proceso bajo revisin mediante la consideracin de los criterios indentificados y las prcticas estndares de la industria, los Factores Crticos de xito (CSF) de las medidas de control y la aplicacin del juicio profesional de auditor.
8/12/12

VALORACIN DEL CUMPLIMIENTO


Obtener evidencia directa o indirecta de puntos/perodos seleccionados para asegurarse que se ha cumplido con los procedimientos durante el perodo de revisin, utilizando evidencia tanto directa como indirecta.

8/12/12

JUSTIFICAR EL RIESGO

Documentar las debilidades del control y las amenazas y vulnerabilidades resultantes. Identifcar y documentar el impacto real y potencial; por ejemplo, mediante el anlisis de causa-raz. Brindar informacin comparativa

8/12/12

Dominios de TI
Planeacin y Organizacin
Se vincula con la identificacin de la forma en que la tecnologa de informacin puede contribuir de la manera ms adecuada con el logro de los objetivos del negocio.

Estn alineadas las estrategias de TI y del negocio? La empresa est alcanzando un uso ptimo de sus recursos? Entienden todas las personas dentro de la organizacin los objetivos de TI? Se entienden y administran los riesgos de TI? Es apropiada la calidad de los sistemas de TI para las necesidades del negocio?

8/12/12

Procesos de TI
Planeacin y Organizacin
1.

Definir un plan estratgico de TI Definir la arquitectura de informacin Determinar la direccin tecnolgica Definir la organizacin y relaciones de la Funcin TI Administrar la inversin en TI Comunicacin de la directrices Gerenciales Administracin del Recurso Humano Administrar la Calidad

2.

3.

4.

5.

6.

7.

8/12/12
8.

PLAN ESTRATEGICO DE TI Un Plan Estratgico de Tecnologa de Informacin es un conjunto de definiciones tecnolgicas e iniciativas de TI que deben soportar la visin, misin y estrategias que el negocio tiene para un horizonte de tiempo definido

8/12/12

Procesos de TI
Planeacin y Organizacin
1.

Definir un plan estratgico de TI

Que satisface el requisito de negocio para Hallar un balance ptimo de oportunidades de tecnologa de la informacin y los requisitos de negocio as como tambin asegurar su realizacin adicional

Toma en consideracin Definicin de los objetivos de negocio y necesidades para las TI Inventario de soluciones tecnolgicas e infraestructura actual Cambios organizativos Estudio de viabilidad oportuno Existencia de evaluaciones de sistemas

8/12/12

8/12/12

1.

Definir un plan estratgico de TI: Objetivos de Control

1 Tecnologa de Informacin como parte del Plan a largo y corto plazo 2 Plan a largo plazo de Tecnologa de Informacin 3 Plan a largo plazo de Tecnologa de Informacin - Enfoque y Estructura 4 Cambios al Plan a largo plazo de Tecnologa de Informacin

8/12/12

Los objetivos de control detallados y de alto nivel se auditan mediante:

8/12/12

La obtencin de un entendimiento a travs de : Entrevistas:


Director General Director de Operaciones Director de Finanzas Director de TI Miembros del comit planeador de la funcin de servicios de informacin.
8/12/12

Presidencia y personal de recursos

Obteniendo:

Polticas y procedimientos inherentes al proceso de planeacin. Tareas y responsabilidades de planeacin de la Presidencia. Objetivos y planes a corto y largo plazo organizacionales. Objetivos y planes a corto y largo plazo de tecnologa de informacin. Reportes de estatus y minutas de las

8/12/12

EVALUAR LOS CONTROLES Considerando s:

Las polticas y procedimientos de negocios de la funcin de servicios de informacin siguen un enfoque de planeacin estructurado.

8/12/12

EVALUAR LA SUFICIENCIA Probando que: Los elementos entregables y liberables de la metodologa de planeacin existen segn lo indicado.

Se incluyen iniciativas de tecnologa de informacin en los planes a corto y largo plazos de la funcin de servicios de informacin (por ejemplo, cambios de hardware, 8/12/12 planeacin de capacidad,

EVALUAR EL RIESGO DE LOS OBJETIVOS DE CONTROL NO CUMPLIDOS Llevando a cabo: Mediciones ("Benchmarking") de planes estratgicos de tecnologa de informacin contra organizaciones similares o buenas prcticas industriales reconocidas/estndares internacionales apropiados. Una revisin detallada de los planes 8/12/12 de TI para asegurar que las

Identificando:

Fallas en la tecnologa de informacin para satisfacer la misin y las metas de la organizacin. Fallas en la tecnologa de informacin para concordar los planes a corto y largo plazo. Fallas en la tecnologa de informacin para satisfacer planes a corto plazo. Fallas en la tecnologa de informacin 8/12/12 para satisfacer lineamientos de

Procesos de TI
Planeacin y Organizacin

2. Definir la arquitectura de informacin

Que satisface el requisito de negocio para Una mejor organizacin de los sistemas de informacin Toma en consideracin Documentacin Diccionario de datos Reglas sintcticas de datos Propiedad de datos y clasificacin crtica

8/12/12

Procesos de TI
Planeacin y Organizacin

3. Determinar la direccin tecnolgica

Que satisface el requisito de negocio para Tomar ventaja de la tecnologa disponible y emergente Toma en consideracin Adecuacin y evolucin de la capacidad de la infraestructura actual Monitorizacin de los desarrollos tecnolgicos Contingencias Planes de adquisicin

8/12/12

Procesos de TI
Planeacin y Organizacin

4. Definir la organizacin y relaciones de la


Que satisface el requisito de negocio para Entregar los servicios de las TI Toma en consideracin Comit de direccin Consejo de nivel de responsabilidad Propiedad, custodia Supervisin Segregacin de obligaciones Roles y responsabilidades Descripciones del trabajo Provisin de niveles Clave personal

Funcin TI

8/12/12

Procesos de TI
Planeacin y Organizacin

5. Administrar la inversin en TI

Que satisface el requisito de negocio para Garantizar la consolidacin y controlar el gasto de los recursos financieros

Toma en consideracin Consolidacin de alternativas Control del gasto efectivo Justificacin de los costes Justificacin de los beneficios

8/12/12

Procesos de TI
Planeacin y Organizacin

6. Comunicacin de la directrices Gerenciales

Que satisface el requisito de negocio para Garantizar el conocimiento del usuario y entendimiento de esos fines Toma en consideracin Cdigo de conducta/tica Directrices de tecnologa Conformidad Comisin de calidad Polticas de seguridad Polticas de control interno 8/12/12

Procesos de TI
Planeacin y Organizacin

7. Administracin del Recurso Humano


Que satisface el requisito de negocio para Maximizar las contribuciones del personal a los procesos de TI

Toma en consideracin Refuerzo y promocin Requisitos de calidad Entrenamiento Construccin del conocimiento Evaluacin de la ejecucin objetiva y medible

8/12/12

Procesos de TI
Planeacin y Organizacin

8. Administracin de Calidad

Que satisface el requisito de negocio para La mejora continua y medible de la calidad de los servicios prestados por TI Toma en consideracin Plan de estructura de la calidad Estndares y prcticas de calidad Metodologa del ciclo de vida del desarrollo del sistemas Estndares de desarrollo y de adquisicin Medicin, monitoreo y revisin de la calidad

8/12/12

Procesos de TI
Planeacin y Organizacin

9. Evaluacin de Riesgos
Que satisface el requisito de negocio para De asegurar la realizacin de los objetivos de TI, respondiendo a las amenazas para el suministro de los servicios de TI

Toma en consideracin Diferentes tipos de riesgos de TI (tecnologa, seguridad, continuidad, etc.) Alcance: global o sistemas especficos Evaluacin de riesgos hasta la fecha Metodologa de anlisis de riesgos Medidas de riesgo cuantitativas y/o cualitativas Plan de accin de riesgos

8/12/12

Procesos de TI
PLANEARYORGANIZAR
PO9 Evaluar y administrar los riesgos de TI

BS 7799 Security Standard

"BS 7799-3:2005 sistemas de gestin seguridad de la informacin. Directrices para la gestin de riesgos de seguridad de la informacin "

Abarca las siguientes: # Evaluacin de riesgos # Tratamiento del riesgo # Gestin de la toma de decisiones # Nueva evaluacin de riesgo # La vigilancia y el examen de perfil de riesgo # Riesgo de la seguridad de la informacin en el contexto de la gobernanza empresarial # El cumplimiento de otras normas basadas en los riesgos y los reglamentos 8/12/12

Procesos de TI
Planeacin y Organizacin

10. Administracin de Proyectos


Que satisface el requisito de negocio para La entrega de resultados de proyectos dentro de marcos de tiempo, presupuesto y calidad acordados. Toma en consideracin la propiedad de los proyectos el involucramiento de los usuarios la estructuracin jerrquica de tareas y los puntos de revisin asignacin de responsabilidades aprobacin de fases y proyecto presupuestos de costos y horas hombre planes y metodologa de aseguramiento de calidad

8/12/12