www.monografias.

com

Trabajo de Auditoria: Normas COBIT

ndice
1. Introduccin
2. COBIT
3. Planificacin y Organizacin
4. Adquisicin e implementacin
5. Prestacin y Soporte
6. Monitoreo
7. Aplicacin de las Normas COBIT
8. Apndice I
9. Apndice II
1. Introduccin
El siguiente trabajo tiene la finalidad de exponer las Normas COBIT de manera simple y comprensible.
Para ello, adems de realizar un desarrollo terico de las mismas, incluimos un anlisis de la situacin
actual del Departamento de Recursos Humanos de la organizacin INEXEI SCHOOL, explicamos si sus
procedimientos respetan o no la norma, e indicamos qu debera hacerse para que aplique y cumpla
con un determinado proceso de la norma.
El cuerpo del trabajo esta dividido en dos partes principales las cuales reflejan las Caractersticas y
Estructura de COBIT y el Relevamiento y Aplicacin de las Normas COBIT en la Escuela. Adems,
incluimos dos Apndices: en el apndice I indicamos los componentes de COBIT como Producto y en el
apndice II incorporamos la lista completa de Dominios, Procesos y Objetivos de Control.
Para Finalizar, adjuntamos con esta monografa un disquette que contiene el Resumen Ejecutivo (2
Edicin) de la norma y las Guas de Auditora de la misma, las cuales pueden ser utilizadas por nuestros
compaeros si desean profundizar ms en el estudio de COBIT, y que en este trabajo son desarrolladas
brevemente para no hacer tediosa la explicacin de la norma y por razones de espacio obvias.
2. COBIT (Objetivos de Control para Tecnologa de Informacin y Tecnologas relacionadas)
COBIT, lanzado en 1996, es una herramienta de gobierno de TI que ha cambiado la forma en que
trabajan los profesionales de TI. Vinculando tecnologa informtica y prcticas de control, COBIT
consolida y armoniza estndares de fuentes globales prominentes en un recurso crtico para la gerencia,
los profesionales de control y los auditores.
COBIT se aplica a los sistemas de informacin de toda la empresa, incluyendo las computadoras
personales, mini computadoras y ambientes distribuidos. Esta basado en la filosofa de que los recursos
de TI necesitan ser administrados por un conjunto de procesos naturalmente agrupados para proveer la
informacin pertinente y confiable que requiere una organizacin para lograr sus objetivos.
Misin: Investigar, desarrollar, publicar y promover un conjunto internacional y actualizado de objetivos
de control para tecnologa de informacin que sea de uso cotidiano para gerentes y auditores
Usuarios:
La Gerencia: para apoyar sus decisiones de inversin en TI y control sobre el rendimiento de las
mismas, analizar el costo beneficio del control.
Los Usuarios Finales: quienes obtienen una garanta sobre la seguridad y el control de los
productos que adquieren interna y externamente.
Los Auditores: para soportar sus opiniones sobre los controles de los proyectos de TI, su
impacto en la organizacin y determinar el control mnimo requerido.
Los Responsables de TI: para identificar los controles que requieren en sus reas.
Tambin puede ser utilizado dentro de las empresas por el responsable de un proceso de negocio en su
responsabilidad de controlar los aspectos de informacin del proceso, y por todos aquellos con
responsabilidades en el campo de la TI en las empresas.
Caractersticas:

Orientado al negocio
Alineado con estndares y regulaciones de facto
Basado en una revisin crtica y analtica de las tareas y actividades en TI
Alineado con estndares de control y auditoria (COSO, IFAC, IIA, ISACA, AICPA)

Principios:

Requerimientos de Informacin del Negocio

Procesos de TI

Recursos de TI

El enfoque del control en TI se lleva a cabo visualizando la informacin necesaria para dar soporte a los
procesos de negocio y considerando a la informacin como el resultado de la aplicacin combinada de
recursos relacionados con las TI que deben ser administrados por procesos de TI.

Requerimientos de la informacin del negocio

Para alcanzar los requerimientos de negocio, la informacin necesita satisfacer ciertos criterios:
Requerimientos de Calidad: Calidad, Costo y Entrega.
Requerimientos Fiduciarios: Efectividad y Eficiencia operacional, Confiabilidad de los reportes
financieros y Cumplimiento le leyes y regulaciones.
Efectividad: La informacin debe ser relevante y pertinente para los procesos del negocio y debe
ser proporcionada en forma oportuna, correcta, consistente y utilizable.
Eficiencia: Se debe proveer informacin mediante el empleo ptimo de los recursos (la forma
ms productiva y econmica).
Confiabilidad: proveer la informacin apropiada para que la administracin tome las decisiones
adecuadas para manejar la empresa y cumplir con sus responsabilidades.
Cumplimiento: de las leyes, regulaciones y compromisos contractuales con los cuales est
comprometida la empresa.
Requerimientos de Seguridad: Confidencialidad, Integridad y Disponibilidad
Confidencialidad: Proteccin de la informacin sensible contra divulgacin no autorizada
Integridad: Refiere a lo exacto y completo de la informacin as como a su validez de acuerdo
con las expectativas de la empresa.
Disponibilidad: accesibilidad a la informacin cuando sea requerida por los procesos del negocio
y la salvaguarda de los recursos y capacidades asociadas a la misma.

Objetivos del
Negocio

COBIT

Procesos Po1 a Po11

Requerimientos de
Informacin

Procesos
M1 al M4

Planeacin y
Organizacin
Recursos de TI
Datos, aplicaciones,
tecnologas,
Recursos Humanos

Adquisiciones e
Implementacin

Procesos
de Ds1 a

Servicios y
Soporte
Procesos de A11
a A16

Recursos de TI

En COBIT se establecen los siguientes recursos en TI necesarios para alcanzar los objetivos de
negocio:
Datos: Todos los objetos de informacin. Considera informacin interna y externa, estructurada o
no, grficas, sonidos, etc.
Aplicaciones: entendido como los sistemas de informacin, que integran procedimientos
manuales y sistematizados.
Tecnologa: incluye hardware y software bsico, sistemas operativos, sistemas de administracin
de bases de datos, de redes, telecomunicaciones, multimedia, etc.
Instalaciones: Incluye los recursos necesarios para alojar y dar soporte a los sistemas de
informacin.
Recurso Humano: Por la habilidad, conciencia y productividad del personal para planear,
adquirir, prestar servicios, dar soporte y monitorear los sistemas de Informacin.

Procesos de TI

La estructura de COBIT se define a partir de una premisa simple y pragmtica: Los recursos de las
Tecnologas de la Informacin (TI) se han de gestionar mediante un conjunto de procesos agrupados de
forma natural para que proporcionen la informacin que la empresa necesita para alcanzar sus
objetivos.
COBIT se divide en tres niveles:
Dominios

Procesos

Actividades
Dominios: Agrupacin natural de procesos, normalmente corresponden a un dominio o una
responsabilidad organizacional.
Procesos: Conjuntos o series de actividades unidas con delimitacin o cortes de control.
Actividades: Acciones requeridas para lograr un resultado medible.
Se definen 34 objetivos de control generales, uno para cada uno de los procesos de las TI. Estos
procesos estn agrupados en cuatro grandes dominios que se detallan a continuacin junto con sus
procesos y una descripcin general de las actividades de cada uno:

3. Dominio: Planificacin y organizacin

Este dominio cubre la estrategia y las tcticas y se refiere a la identificacin de la forma en que la
tecnologa de informacin puede contribuir de la mejor manera al logro de los objetivos de negocio.
Adems, la consecucin de la visin estratgica necesita ser planeada, comunicada y administrada
desde diferentes perspectivas. Finalmente, debern establecerse una organizacin y una infraestructura
tecnolgica apropiadas.
Procesos:

PO1 Definicin de un plan Estratgico

Objetivo: Lograr un balance ptimo entre las oportunidades de tecnologa de informacin y los
requerimientos de TI de negocio, para asegurar sus logros futuros.
Su realizacin se concreta a travs un proceso de planeacin estratgica emprendido en intervalos
regulares dando lugar a planes a largo plazo, los que debern ser traducidos peridicamente en planes
operacionales estableciendo metas claras y concretas a corto plazo, teniendo en cuenta:
La definicin de objetivos de negocio y necesidades de TI, la alta gerencia ser la responsable
de desarrollar e implementar planes a largo y corto plazo que satisfagan la misin y las metas
generales de la organizacin.
El inventario de soluciones tecnolgicas e infraestructura actual, se deber evaluar los sistemas
existentes en trminos de: nivel de automatizacin de negocio, funcionalidad, estabilidad,
complejidad, costo y fortalezas y debilidades, con el propsito de determinar el nivel de soporte
que reciben los requerimientos del negocio de los sistemas existentes.
Los cambios organizacionales, se deber asegurar que se establezca un proceso para modificar
oportunamente y con precisin el plan a largo plazo de tecnologa de informacin con el fin de
adaptar los cambios al plan a largo plazo de la organizacin y los cambios en las condiciones de
la TI
Estudios de factibilidad oportunos, para que se puedan obtener resultados efectivos

PO2 Definicin de la Arquitectura de Informacin

Objetivo: Satisfacer los requerimientos de negocio, organizando de la mejor manera posible los sistemas
de informacin, a travs de la creacin y mantenimiento de un modelo de informacin de negocio,
asegurndose que se definan los sistemas apropiados para optimizar la utilizacin de esta informacin,
tomando en consideracin:
La documentacin deber conservar consistencia con las necesidades permitiendo a los
responsables llevar a cabo sus tareas eficiente y oportunamente.
El diccionario de datos, el cual incorporara las reglas de sintaxis de datos de la organizacin y
deber ser continuamente actualizado.
La propiedad de la informacin y la clasificacin de severidad con el que se establecer un
marco de referencia de clasificacin general relativo a la ubicacin de datos en clases de
informacin.

PO3 Determinacin de la direccin tecnolgica

Objetivo: Aprovechar al mximo de la tecnologa disponible o tecnologa emergente, satisfaciendo los

requerimientos de negocio, a travs de la creacin y mantenimiento de un plan de infraestructura
tecnolgica, tomando en consideracin:
La capacidad de adecuacin y evolucin de la infraestructura actual, que deber concordar con
los planes a largo y corto plazo de tecnologa de informacin y debiendo abarcar aspectos tales
como arquitectura de sistemas, direccin tecnolgica y estrategias de migracin.
El monitoreo de desarrollos tecnolgicos que sern tomados en consideracin durante el
desarrollo y mantenimiento del plan de infraestructura tecnolgica.
Las contingencias (por ejemplo, redundancia, resistencia, capacidad de adecuacin y evolucin
de la infraestructura), con lo que se evaluar sistemticamente el plan de infraestructura
tecnolgica.
Planes de adquisicin, los cuales debern reflejar las necesidades identificadas en el plan de
infraestructura tecnolgica.

PO4 Definicin de la organizacin y de las relaciones de TI

Objetivo: Prestacin de servicios de TI

Esto se realiza por medio de una organizacin conveniente en nmero y habilidades, con tareas y
responsabilidades definidas y comunicadas, teniendo en cuenta:
El comit de direccin el cual se encargara de vigilar la funcin de servicios de informacin y sus
actividades.
Propiedad, custodia, la Gerencia deber crear una estructura para designar formalmente a los
propietarios y custodios de los datos. Sus funciones y responsabilidades debern estar
claramente definidas.
Supervisin, para asegurar que las funciones y responsabilidades sean llevadas a cabo
apropiadamente
Segregacin de funciones, con la que se evitar la posibilidad de que un solo individuo resuelva
un proceso crtico.
Los roles y responsabilidades, la gerencia deber asegurarse de que todo el personal deber
conocer y contar con la autoridad suficiente para llevar a cabo las funciones y responsabilidades
que le hayan sido asignadas
La descripcin de puestos, deber delinear claramente tanto la responsabilidad como la
autoridad, incluyendo las definiciones de las habilidades y la experiencia necesarias para el
puesto, y ser adecuadas para su utilizacin en evaluaciones de desempeo.
Los niveles de asignacin de personal, debern hacerse evaluaciones de requerimientos
regularmente para asegurar para asegurar una asignacin de personal adecuada en el presente
y en el futuro.
El personal clave, la gerencia deber definir e identificar al personal clave de tecnologa de
informacin.

PO5 Manejo de la inversin

Objetivo: tiene como finalidad la satisfaccin de los requerimientos de negocio, asegurando el

financiamiento y el control de desembolsos de recursos financieros.
Su realizacin se concreta a travs presupuestos peridicos sobre inversiones y operaciones
establecidas y aprobados por el negocio, teniendo en cuenta:
Las alternativas de financiamiento, se debern investigar diferentes alternativas de
financiamiento.
El control del gasto real, se deber tomar como base el sistema de contabilidad de la
organizacin, mismo que deber registrar, procesar y reportar rutinariamente los costos
asociados con las actividades de la funcin de servicios de informacin
La justificacin de costos y beneficios, deber establecerse un control gerencial que garantice
que la prestacin de servicios por parte de la funcin de servicios de informacin se justifique en
cuanto a costos. Los beneficios derivados de las actividades de TI debern ser analizados en
forma similar.

PO6 Comunicacin de la direccin y aspiraciones de la gerencia

Objetivo: Asegura el conocimiento y comprensin de los usuarios sobre las aspiraciones del alto nivel
(gerencia), se concreta a travs de polticas establecidas y transmitidas a la comunidad de usuarios,
necesitndose para esto estndares para traducir las opciones estratgicas en reglas de usuario
prcticas y utilizables. Toma en cuenta:
Los cdigo de tica / conducta, el cumplimiento de las reglas de tica, conducta, seguridad y
estndares de control interno deber ser establecido por la Alta Gerencia y promoverse a travs
del ejemplo.
Las directrices tecnolgicas
El cumplimiento, la Gerencia deber tambin asegurar y monitorear la duracin de la
implementacin de sus polticas.
El compromiso con la calidad, la Gerencia de la funcin de servicios de informacin deber
definir, documentar y mantener una filosofa de calidad, debiendo ser comprendidos,
implementados y mantenidos por todos los niveles de la funcin de servicios de informacin.
Las polticas de seguridad y control interno, la alta gerencia deber asegurar que esta poltica de
seguridad y de control interno especifique el propsito y los objetivos, la estructura gerencial, el
alcance dentro de la organizacin, la definicin y asignacin de responsabilidades para su
implementacin a todos los niveles y la definicin de multas y de acciones disciplinarias
asociadas con la falta de cumplimiento de estas polticas.

PO7 Administracin de recursos humanos

Objetivo: Maximizar las contribuciones del personal a los procesos de TI, satisfaciendo as los
requerimientos de negocio, a travs de tcnicas slidas para administracin de personal, tomando en
consideracin:
El reclutamiento y promocin, deber tener como base criterios objetivos, considerando factores
como la educacin, la experiencia y la responsabilidad.
Los requerimientos de calificaciones, el personal deber estar calificado, tomando como base
una educacin, entrenamiento y o experiencia apropiados, segn se requiera
La capacitacin, los programas de educacin y entrenamiento estarn dirigidos a incrementar
los niveles de habilidad tcnica y administrativa del personal.
La evaluacin objetiva y medible del desempeo, se deber asegurar que dichas evaluaciones
sean llevada a cabo regularmente segn los estndares establecidos y las responsabilidades
especficas del puesto. Los empleados debern recibir asesora sobre su desempeo o su
conducta cuando esto sea apropiado.

PO8 Asegurar el cumplimiento con los requerimientos Externos

Objetivo: Cumplir con obligaciones legales, regulatorias y contractuales

Para ello se realiza una identificacin y anlisis de los requerimientos externos en cuanto a su impacto
en TI, llevando a cabo las medidas apropiadas para cumplir con ellos y se toma en consideracin:
Definicin y mantenimiento de procedimientos para la revisin de requerimientos externos, para
la coordinacin de estas actividades y para el cumplimiento continuo de los mismos.
Leyes, regulaciones y contratos
Revisiones regulares en cuanto a cambios
Bsqueda de asistencia legal y modificaciones
Seguridad y ergonoma con respecto al ambiente de trabajo de los usuarios y el personal de la
funcin de servicios de informacin.
Privacidad
Propiedad intelectual
Flujo de datos externos y criptografa

PO9 Evaluacin de riesgos

Objetivo: Asegurar el logro de los objetivos de TI y responder a las amenazas hacia la provisin de
servicios de TI

Para ello se logra la participacin de la propia organizacin en la identificacin de riesgos de TI y en el

anlisis de impacto, tomando medidas econmicas para mitigar los riesgos y se toma en consideracin:
Identificacin, definicin y actualizacin regular de los diferentes tipos de riesgos de TI (por ej.:
tecnolgicos, de seguridad, etc.) de manera de que se pueda determinar la manera en la que los
riesgos deben ser manejados a un nivel aceptable.
Definicin de alcances, limites de los riesgos y la metodologa para las evaluaciones de los
riesgos.
Actualizacin de evaluacin de riesgos
Metodologa de evaluacin de riesgos
Medicin de riesgos cualitativos y/o cuantitativos
Definicin de un plan de accin contra los riesgos para asegurar que existan controles y
medidas de seguridad econmicas que mitiguen los riesgos en forma continua.
Aceptacin de riesgos dependiendo de la identificacin y la medicin del riesgo, de la poltica
organizacional, de la incertidumbre incorporada al enfoque de evaluacin de riesgos y de que
tan econmico resulte implementar protecciones y controles.

PO10 Administracin de proyectos

Objetivo: Establecer prioridades y entregar servicios oportunamente y de acuerdo al presupuesto de

inversin
Para ello se realiza una identificacin y priorizacin de los proyectos en lnea con el plan operacional por
parte de la misma organizacin. Adems, la organizacin deber adoptar y aplicar slidas tcnicas de
administracin de proyectos para cada proyecto emprendido y se toma en consideracin:
Definicin de un marco de referencia general para la administracin de proyectos que defina el
alcance y los lmites del mismo, as como la metodologa de administracin de proyectos a ser
adoptada y aplicada para cada proyecto emprendido. La metodologa deber cubrir, como
mnimo, la asignacin de responsabilidades, la determinacin de tareas, la realizacin de
presupuestos de tiempo y recursos, los avances, los puntos de revisin y las aprobaciones.
El involucramiento de los usuarios en el desarrollo, implementacin o modificacin de los
proyectos.
Asignacin de responsabilidades y autoridades a los miembros del personal asignados al
proyecto.
Aprobacin de fases de proyecto por parte de los usuarios antes de pasar a la siguiente fase.
Presupuestos de costos y horas hombre
Planes y metodologas de aseguramiento de calidad que sean revisados y acordados por las
partes interesadas.
Plan de administracin de riesgos para eliminar o minimizar los riesgos.
Planes de prueba, entrenamiento, revisin post-implementacin.

PO11 Administracin de calidad

Objetivo: Satisfacer los requerimientos del cliente

Para ello se realiza una planeacin, implementacin y mantenimiento de estndares y sistemas de
administracin de calidad por parte de la organizacin y se toma en consideracin:
Definicin y mantenimiento regular del plan de calidad, el cual deber promover la filosofa de
mejora continua y contestar a las preguntas bsicas de qu, quin y cmo.
Responsabilidades de aseguramiento de calidad que determine los tipos de actividades de
aseguramiento de calidad tales como revisiones, auditorias, inspecciones, etc. que deben
realizarse para alcanzar los objetivos del plan general de calidad.
Metodologas del ciclo de vida de desarrollo de sistemas que rija el proceso de desarrollo,
adquisicin, implementacin y mantenimiento de sistemas de informacin.
Documentacin de pruebas de sistemas y programas
Revisiones y reportes de aseguramiento de calidad

4. Dominio: Adquisicin e implementacin

Para llevar a cabo la estrategia de TI, las soluciones de Ti deben ser identificadas, desarrolladas o
adquiridas, asi como implementadas e integradas dentro del proceso del negocio. Adems, este dominio
cubre los cambios y el mantenimiento realizados a sistemas existentes.
Procesos:

AI1 Identificacin de Soluciones Automatizadas

Objetivo: Asegurar el mejor enfoque para cumplir con los requerimientos del usuario
Para ello se realiza un anlisis claro de las oportunidades alternativas comparadas contra los
requerimientos de los usuarios y toma en consideracin:
Definicin de requerimientos de informacin para poder aprobar un proyecto de desarrollo.
Estudios de factibilidad con la finalidad de satisfacer los requerimientos del negocio
establecidos para el desarrollo de un proyecto.
Arquitectura de informacin para tener en consideracin el modelo de datos al definir soluciones
y analizar la factibilidad de las mismas.
Seguridad con relacin de costo-beneficio favorable para controlar que los costos no excedan
los beneficios.
Pistas de auditoria para ello deben existir mecanismos adecuados. Dichos mecanismos deben
proporcionar la capacidad de proteger datos sensitivos (ej. Identificacin de usuarios contra
divulgacin o mal uso)
Contratacin de terceros con el objeto de adquirir productos con buena calidad y excelente
estado.
Aceptacin de instalaciones y tecnologa a travs del contrato con el Proveedor donde se
acuerda un plan de aceptacin para las instalaciones y tecnologa especifica a ser
proporcionada.

AI2 Adquisicin y mantenimiento del software aplicativo

Objetivo: Proporciona funciones automatizadas que soporten efectivamente al negocio.

Para ello se definen declaraciones especficas sobre requerimientos funcionales y operacionales y una
implementacin estructurada con entregables claros y se toma en consideracin:
Requerimientos de usuarios, para realizar un correcto anlisis y obtener un software claro y fcil
de usar.
Requerimientos de archivo, entrada, proceso y salida.
Interfase usuario-maquina asegurando que el software sea fcil de utilizar y que sea capaz de
auto documentarse.
Personalizacin de paquetes
Realizar pruebas funcionales (unitarias, de aplicacin, de integracin y de carga y estrs), de
acuerdo con el plan de prueba del proyecto y con los estndares establecidos antes de ser
aprobado por los usuarios.
Controles de aplicacin y requerimientos funcionales
Documentacin (materiales de consulta y soporte para usuarios) con el objeto de que los
usuarios puedan aprender a utilizar el sistema o puedan sacarse todas aquellas inquietudes que
se les puedan presentar.

AI3 Adquisicin y mantenimiento de la infraestructura tecnolgica

Objetivo: Proporcionar las plataformas apropiadas para soportar aplicaciones de negocios

Para ello se realizara una evaluacin del desempeo del hardware y software, la provisin de
mantenimiento preventivo de hardware y la instalacin, seguridad y control del software del sistema y
toma en consideracin:
Evaluacin de tecnologa para identificar el impacto del nuevo hardware o software sobre el
rendimiento del sistema general.

Mantenimiento preventivo del hardware con el objeto de reducir la frecuencia y el impacto de

fallas de rendimiento.
Seguridad del software de sistema, instalacin y mantenimiento para no arriesgar la seguridad
de los datos y programas ya almacenados en el mismo.

AI4 Desarrollo y mantenimiento de procedimientos

Objetivo: Asegurar el uso apropiado de las aplicaciones y de las soluciones tecnolgicas establecidas.
Para ello se realiza un enfoque estructurado del desarrollo de manuales de procedimientos de
operaciones para usuarios, requerimientos de servicio y material de entrenamiento y toma en
consideracin:
Manuales de procedimientos de usuarios y controles, de manera que los mismos permanezcan
en permanente actualizacin para el mejor desempeo y control de los usuarios.
Manuales de Operaciones y controles, de manera que estn en permanente actualizacin.
Materiales de entrenamiento enfocados al uso del sistema en la prctica diaria.

AI5 Instalacin y aceptacin de los sistemas

Objetivo: Verificar y confirmar que la solucin sea adecuada para el propsito deseado
Para ello se realiza una migracin de instalacin, conversin y plan de aceptaciones adecuadamente
formalizadas y toma en consideracin:
Capacitacin del personal de acuerdo al plan de entrenamiento definido y los materiales
relacionados.
Conversin / carga de datos, de manera que los elementos necesarios del sistema anterior sean
convertidos al sistema nuevo.
Pruebas especficas (cambios, desempeo, aceptacin final, operacional) con el objeto de
obtener un producto satisfactorio.
Acreditacin de manera que la Gerencia de operaciones y usuaria acepten los resultados de las
pruebas y el nivel de seguridad para los sistemas, junto con el riesgo residual existente.
Revisiones post implementacin con el objeto de reportar si el sistema proporciono los
beneficios esperados de la manera mas econmica.

AI6 Administracin de los cambios

Objetivo: Minimizar la probabilidad de interrupciones, alteraciones no autorizadas y errores.

Esto se hace posible a travs de un sistema de administracin que permita el anlisis, implementacin y
seguimiento de todos los cambios requeridos y llevados a cabo a la infraestructura de TI actual y toma
en consideracin:
Identificacin de cambios tanto internos como por parte de proveedores
Procedimientos de categorizacin, priorizacin y emergencia de solicitudes de cambios.
Evaluacin del impacto que provocaran los cambios.
Autorizacin de cambios
Manejo de liberacin de manera que la liberacin de software este regida por procedimientos
formales asegurando aprobacin, empaque, pruebas de regresin, entrega, etc.
Distribucin de software, estableciendo medidas de control especificas para asegurar la
distribucin de software correcto al lugar correcto, con integridad y de manera oportuna.
5. Dominio: Prestacin y soporte
En este dominio se hace referencia a la entrega de los servicios requeridos, que abarca desde las
operaciones tradicionales hasta el entrenamiento, pasando por seguridad y aspectos de continuidad.
Con el fin de proveer servicios, debern establecerse los procesos de soporte necesarios. Este dominio
incluye el procesamiento de los datos por sistemas de aplicacin, frecuentemente clasificados como
controles de aplicacin.

Procesos

Ds1 Definicin de niveles de servicio

Objetivo: Establecer una comprensin comn del nivel de servicio requerido
Para ello se establecen convenios de niveles de servicio que formalicen los criterios de desempeo
contra los cuales se medir la cantidad y la calidad del servicio y se toma en consideracin:
Convenios formales que determinen la disponibilidad, confiabilidad, desempeo, capacidad de
crecimiento, niveles de soporte proporcionados al usuario, plan de contingencia / recuperacin,
nivel mnimo aceptable de funcionalidad del sistema satisfactoriamente liberado, restricciones
(lmites en la cantidad de trabajo), cargos por servicio, instalaciones de impresin central
(disponibilidad), distribucin de impresin central y procedimientos de cambio.
Definicin de las responsabilidades de los usuarios y de la funcin de servicios de informacin
Procedimientos de desempeo que aseguren que la manera y las responsabilidades sobre las
relaciones que rigen el desempeo entre todas las partes involucradas sean establecidas,
coordinadas, mantenidas y comunicadas a todos los departamentos afectados.
Definicin de dependencias asignando un Gerente de nivel de Servicio que sea responsable de
monitorear y reportar los alcances de los criterios de desempeo del servicio especificado y
todos los problemas encontrados durante el procesamiento.
Provisiones para elementos sujetos a cargos en los acuerdos de niveles de servicio para hacer
posibles comparaciones y decisiones de niveles de servicios contra su costo.
Garantas de integridad
Convenios de confidencialidad
Implementacin de un programa de mejoramiento del servicio.

Ds2 Administracin de servicios prestados por terceros

Objetivo: Asegurar que las tareas y responsabilidades de las terceras partes estn claramente definidas,
que cumplan y continen satisfaciendo los requerimientos
Para ello se establecen medidas de control dirigidas a la revisin y monitoreo de contratos y
procedimientos existentes, en cuanto a su efectividad y suficiencia, con respecto a las polticas de la
organizacin y toma en consideracin:
Acuerdos de servicios con terceras partes a travs de contratos entre la organizacin y el
proveedor de la administracin de instalaciones este basado en niveles de procesamiento
requeridos, seguridad, monitoreo y requerimientos de contingencia, as como en otras
estipulaciones segn sea apropiado.
Acuerdos de confidencialidad. Adems, se deber calificar a los terceros y el contrato deber
definirse y acordarse para cada relacin de servicio con un proveedor.
Requerimientos legales regulatorios de manera de asegurar que estos concuerde con los
acuerdos de seguridad identificados, declarados y acordados.
Monitoreo de la entrega de servicio con el fin de asegurar el cumplimiento de los acuerdos del
contrato.

Ds3 Administracin de desempeo y capacidad

Objetivo: Asegurar que la capacidad adecuada est disponible y que se est haciendo el mejor uso de
ella para alcanzar el desempeo deseado.
Para ello se realizan controles de manejo de capacidad y desempeo que recopilen datos y reporten
acerca del manejo de cargas de trabajo, tamao de aplicaciones, manejo y demanda de recursos y toma
en consideracin:
Requerimientos de disponibilidad y desempeo de los servicios de sistemas de informacin
Monitoreo y reporte de los recursos de tecnologa de informacin
Utilizar herramientas de modelado apropiadas para producir un modelo del sistema actual para
apoyar el pronstico de los requerimientos de capacidad, confiabilidad de configuracin,
desempeo y disponibilidad.
Administracin de capacidad estableciendo un proceso de planeacin para la revisin del
desempeo y capacidad de hardware con el fin de asegurar que siempre exista una capacidad

justificable econmicamente para procesar cargas de trabajo con cantidad y calidad de

desempeo
Prevenir que se pierda la disponibilidad de recursos mediante la implementacin de
mecanismos de tolerancia de fallas, de asignacin equitativos de recursos y de prioridad de
tareas.

Monitoreo

Ds4 Asegurar el Servicio Continuo

Objetivo: mantener el servicio disponible de acuerdo con los requerimientos y continuar su provisin en
caso de interrupciones
Para ello se tiene un plan de continuidad probado y funcional, que est alineado con el plan de
continuidad del negocio y relacionado con los requerimientos de negocio y toma en consideracin:
Planificacin de Severidad
Plan Documentado
Procedimientos Alternativos
Respaldo y Recuperacin
Pruebas y entrenamiento sistemtico y singulares

Ds5 Garantizar la seguridad de sistemas

Objetivo: salvaguardar la informacin contra uso no autorizados, divulgacin, modificacin, dao o

prdida
Para ello se realizan controles de acceso lgico que aseguren que el acceso a sistemas, datos y
programas est restringido a usuarios autorizados y toma en consideracin:
Autorizacin,autenticacin y e l acceso lgico junto con el uso de los recursos de TI deber
restringirse a travs de la instrumentacin de mecanismos de autenticacin de usuarios
identificados y recursos asociados con las reglas de acceso
Perfiles e identificacin de usuarios estableciendo procedimientos para asegurar acciones
oportunas relacionadas con la requisicin, establecimiento, emisin, suspensin y suspensin
de cuentas de usuario
Administracin de llaves criptogrficas definiendo implementando procedimientos y protocolos a
ser utilizados en la generacin, distribucin, certificacin, almacenamiento, entrada, utilizacin y
archivo de llaves criptogrficas con el fin de asegurar la proteccin de las mismas
Manejo, reporte y seguimiento de incidentes implementado capacidad para la atencin de los
mismos
Prevencin y deteccin de virus tales como Caballos de Troya, estableciendo adecuadas
medidas de control preventivas, detectivas y correctivas.
Utilizacinde Firewalls si existe una conexin con Internet u otras redes pblicas en la
organizacin
Monitoreo

Ds6 Educacin y entrenamiento de usuarios

Objetivo: Asegurar que los usuarios estn haciendo un uso efectivo de la tecnologa y estn conscientes
de los riesgos y responsabilidades involucrados
Para ello se realiza un plan completo de entrenamiento y desarrollo y se toma en consideracin:
Curriculum de entrenamiento estableciendo y manteniendo procedimientos para identificar y
documentar las necesidades de entrenamiento de todo el personal que haga uso de los
servicios de informacin
Campaas de concientizacin, definiendo los grupos objetivos, identificar y asignar
entrenadores y organizar oportunamente las sesiones de entrenamiento
Tcnicas de concientizacin proporcionando un programa de educacin y entrenamiento que
incluya conducta tica de la funcin de servicios de informacin

Ds7 Identificacin y asignacin de costos

Objetivo: Asegurar un conocimiento correcto de los costos atribuibles a los servicios de TI

Para ello se realiza un sistema de contabilidad de costos que asegure que stos sean registrados,
calculados y asignados a los niveles de detalle requeridos y toma en consideracin:
Los elementos sujetos a cargo deben ser recursos identificables, medibles y predecibles para
los usuarios
Procedimientos y polticas de cargo que fomenten el uso apropiado de los recursos de computo
y aseguren el trato justo de los departamentos usuarios y sus necesidades
Tarifas definiendo e implementando procedimientos de costeo de prestar servicios, para ser
analizados, monitoreados, evaluados asegurando al mismo tiempo la economa
Monitoreo

Ds8 Apoyo y asistencia a los clientes de TI

Objetivo: asegurar que cualquier problema experimentado por los usuarios sea atendido
apropiadamente
Para ello se realiza un Bur de ayuda que proporcione soporte y asesora de primera lnea y toma en
consideracin:
Consultas de usuarios y respuesta a problemas estableciendo un soporte de una funcin de
bur de ayuda
Monitoreo de consultas y despacho estableciendo procedimientos que aseguren que las
preguntas de los clientes que pueden ser resueltas sean reasignadas al nivel adecuado para
atenderlas
Anlisis y reporte de tendencias adecuado de las preguntas de los clientes y su solucin, de los
tiempos de respuesta y la identificacin de tendencias

Ds9 Administracin de la configuracin

Objetivo: Dar cuenta de todos los componentes de TI, prevenir alteraciones no autorizadas, verificar la
existencia fsica y proporcionar una base para el sano manejo de cambios
Para ello se realizan controles que identifiquen y registren todos los activos de TI as como su
localizacin fsica y un programa regular de verificacin que confirme su existencia y toma en
consideracin:
Registro de activos estableciendo procedimientos para asegurar que sean registrados
nicamente elementos de configuracin autorizados e identificables en el inventario, al momento
de adquisicin
Administracin de cambios en la configuracin asegurando que los registros de configuracin
reflejen el status real de todos los elementos de la configuracin
Chequeo de software no autorizado revisando peridicamente las computadoras personales de
la organizacin
Controles de almacenamiento de software definiendo un rea de almacenamiento de archivos
para todos los elementos de software vlidos en las fases del ciclo de vida de desarrollo de
sistemas
Ds10 Administracin de Problemas
Objetivo: Asegurar que los problemas e incidentes sean resueltos y que sus causas sean investigadas
para prevenir que vuelvan a suceder.
Para ello se necesita un sistema de manejo de problemas que registre y d seguimiento a todos los
incidentes, adems de un conjunto de procedimientos de escalamiento de problemas para resolver de la
manera ms eficiente los problemas identificados. Este sistema de administracin de problemas deber
tambin realizar un seguimiento de las causas a partir de un incidente dado.

Ds11 Administracin de Datos

Objetivo: Asegurar que los datos permanezcan completos, precisos y vlidos durante su entrada,
actualizacin, salida y almacenamiento.

Lo cual se logra a travs de una combinacin efectiva de controles generales y de aplicacin sobre las
operaciones de TI. Para tal fin, la gerencia deber disear formatos de entrada de datos para los
usuarios de manera que se minimicen lo errores y las omisiones durante la creacin de los datos.
Este proceso deber controlar los documentos fuentes (de donde se extraen los datos), de manera que
estn completos, sean precisos y se registren apropiadamente. Se debern crear tambin
procedimientos que validen los datos de entrada y corrijan o detecten los datos errneos, como as
tambin procedimientos de validacin para transacciones errneas, de manera que stas no sean
procesadas. Cabe destacar la importancia de crear procedimientos para el almacenamiento, respaldo y
recuperacin de datos, teniendo un registro fsico (discos, disquetes, CDs y cintas magnticas) de todas
las transacciones y datos manejados por la organizacin, albergados tanto dentro como fuera de la
empresa.
La gerencia deber asegurar tambin la integridad, autenticidad y confidencialidad de los datos
almacenados, definiendo e implementando procedimientos para tal fin.

Ds12 Administracin de las instalaciones

Objetivo: Proporcionar un ambiente fsico conveniente que proteja al equipo y al personal de TI contra
peligros naturales (fuego, polvo, calor excesivos) o fallas humanas lo cual se hace posible con la
instalacin de controles fsicos y ambientales adecuados que sean revisados regularmente para su
funcionamiento apropiado definiendo procedimientos que provean control de acceso del personal a las
instalaciones y contemplen su seguridad fsica.
Ds13 Administracin de la operacin
Objetivo: Asegurar que las funciones importantes de soporte de TI estn siendo llevadas a cabo
regularmente y de una manera ordenada
Esto se logra a travs de una calendarizacin de actividades de soporte que sea registrada y
completada en cuanto al logro de todas las actividades. Para ello, la gerencia deber establecer y
documentar procedimientos para las operaciones de tecnologa de informacin (incluyendo operaciones
de red), los cuales debern ser revisados peridicamente para garantizar su eficiencia y cumplimiento.
6. Dominio: Monitoreo
Todos los procesos de una organizacin necesitan ser evaluados regularmente a travs del tiempo para
verificar su calidad y suficiencia en cuanto a los requerimientos de control, integridad y confidencialidad.
Este es, precisamente, el mbito de este dominio.
Procesos

M1 Monitoreo del Proceso

Objetivo: Asegurar el logro de los objetivos establecidos para los procesos de TI. Lo cual se logra
definiendo por parte de la gerencia reportes e indicadores de desempeo gerenciales y la
implementacin de sistemas de soporte as como la atencin regular a los reportes emitidos.
Para ello la gerencia podr definir indicadores claves de desempeo y/o factores crticos de xito y
compararlos con los niveles objetivos propuestos para evaluar el desempeo de los procesos de la
organizacin. La gerencia deber tambin medir el grado de satisfaccin del los clientes con respecto a
los servicios de informacin proporcionados para identificar deficiencias en los niveles de servicio y
establecer objetivos de mejoramiento, confeccionando informes que indiquen el avance de la
organizacin hacia los objetivos propuestos.

M2 Evaluar lo adecuado del Control Interno

Objetivo: Asegurar el logro de los objetivos de control interno establecidos para los procesos de TI.
Para ello la gerencia es la encargada de monitorear la efectividad de los controles internos a travs de
actividades administrativas y de supervisin, comparaciones, reconciliaciones y otras acciones
rutinarias., evaluar su efectividad y emitir reportes sobre ellos en forma regular. Estas actividades de
monitoreo continuo por parte de la Gerencia debern revisar la existencia de puntos vulnerables y
problemas de seguridad.
M3 Obtencin de Aseguramiento Independiente

Objetivo: Incrementar los niveles de confianza entre la organizacin, clientes y proveedores externos.
Este proceso se lleva a cabo a intervalos regulares de tiempo.
Para ello la gerencia deber obtener una certificacin o acreditacin independiente de seguridad y
control interno antes de implementar nuevos servicios de tecnologa de informacin que resulten crticos,
como as tambin para trabajar con nuevos proveedores de servicios de tecnologa de informacin.
Luego la gerencia deber adoptar como trabajo rutinario tanto hacer evaluaciones peridicas sobre la
efectividad de los servicios de tecnologa de informacin y de los proveedores de estos servicios como
as tambin asegurarse el cumplimiento de los compromisos contractuales de los servicios de tecnologa
de informacin y de los proveedores de estos servicios.
M4 Proveer Auditoria Independiente
Objetivo: Incrementar los niveles de confianza y beneficiarse de recomendaciones basadas en mejores
prcticas de su implementacin, lo que se logra con el uso de auditorias independientes desarrolladas a
intervalos regulares de tiempo. Para ello la gerencia deber establecer los estatutos para la funcin de
auditoria, destacando en este documento la responsabilidad, autoridad y obligaciones de la auditoria. El
auditor deber ser independiente del auditado, esto significa que los auditores no debern estar
relacionados con la seccin o departamento que est siendo auditado y en lo posible deber ser
independiente de la propia empresa. Esta auditoria deber respetar la tica y los estndares
profesionales, seleccionando para ello auditores que sean tcnicamente competentes, es decir que
cuenten con habilidades y conocimientos que aseguren tareas efectivas y eficientes de auditoria.
La funcin de auditoria deber proporcionar un reporte que muestre los objetivos de la auditoria, perodo
de cobertura, naturaleza y trabajo de auditoria realizado, como as tambin la organizacin, conclusin y
recomendaciones relacionadas con el trabajo de auditoria llevado a cabo.
Los 34 procesos propuestos se concretan en 32 objetivos de control detallados anteriormente.
Un Control se define como las normas, estndares, procedimientos, usos y costumbres y las
estructuras organizativas, diseadas para proporcionar garanta razonable de que los objetivos
empresariales se alcanzaran y que los eventos no deseados se prevern o se detectaran, y corregirn
Un Objetivo de Control se define como la declaracin del resultado deseado o propuesto que se ha de
alcanzar mediante la aplicacin de procedimientos de control en cualquier actividad de TI
En resumen, la estructura conceptual se puede enfocar desde tres puntos de vista:
-Los recursos de las TI
-Los criterios empresariales que deben satisfacer la informacin
-Los procesos de TI
Las tres dimensiones condeptuales de COBIT
7. Aplicacin de las Normas COBIT
A continuacin, analizaremos como se deberan aplicar las Normas COBIT en una Organizacin,
utilizando para ello la Gua de Auditoria presentada en la pagina Web www.isaca.org, la misma indica los
pasos a seguir para auditar cada uno de los procesos de TI de la norma. Este reporte lo confeccionamos
dndole el formato de un informe de auditora:

Informe de Auditoria
Entidad Auditada: ARCO IRIS SCHOOL

Alcance de la auditora: Esta auditora comprende solamente al rea de Recursos

Humanos de la Arco Iris School, con respecto al cumplimiento del proceso
Administracin de Recursos Humanos de la norma COBIT.
Norma Aplicada: COBIT, especficamente el proceso de TI Po7 Administracin de
Recursos Humanos
Relevamiento:
Organizacin: Colegio Privado que brinda un servicio de educacin a nios de nivel inicial y
primario.
Objetivos de la Organizacin:
Ofrecer el servicio de una excelente educacin con orientacin bilinge (Espaol Ingles), artstica, deportiva y ecolgica en forma personalizada a los nios de nivel
inicial y primario, y obtener por el servicio un beneficio monetario acorde a las ofertas
educativa que brinda la Institucin (segn si el inscripto participa de escolaridad simple

o doble)
Incrementar cada ao el nmero de inscriptos para obtener mayor rentabilidad y
ampliar la comunidad educativa.
Transmitir a la comunidad en general el perfil institucional y los beneficios que los
alumnos obtienen por una educacin personalizada.
Departamento de administracin de personal: Comprende todo lo relacionado con el desarrollo
y administracin de polticas y programas que provean una estructura organizativa eficiente,
empleados calificados, tratamiento equitativo, oportunidades de progreso, satisfaccin en el
trabajo y adecuada seguridad de empleo.
Depende de la Gerencia de Administracin.
Polticas y estrategias del Departamento de Administracin de personal
Polticas
Estrategias
Para con el
Personal
Objetivo: perfeccionar al personal con el perfil Institucional
Seleccionar docentes que respondan a los requerimientos del proyecto educativo institucional
Realizar durante la seleccin de personal talleres de capacitacin y evaluacin de inteligencia
emocional y desarrollo de la persona.
Seleccionar docentes con muy buenas referencias
Los docentes de asignaturas especiales (plstica, msica, deportes, etc.) deben tener
experiencias mnimas en mas de una escuela y estar abalados con referencias por escrito
Respetar las decisiones personales de los docentes y no docentes.
Antes de que un personal forme parte de la institucin debe conocer y firmar las Normativas
Institucionales donde se especifican todas las medidas, deberes y derechos de todo el personal
docente y no docente
La direccin general realiza peridicamente evaluaciones del rendimiento de trabajo individual y
grupal mediante entrevistas. (grupales y personales)
Educativas
Objetivo: Lograr una excelencia educativa
Brindar una educacin excelente y personalizada
Confeccionar un PEI (Proy. Educ. Inst.) con los objetivos que cubran las orientaciones Bilinge,
deportiva, ecolgica y artstica.
Realizar peridicamente talleres de capacitacin docente a nivel institucional donde se
promueve la inteligencia emocional y el desarrollo personal.
La Direccin acadmica debe evaluar constantemente el trabajo de los docentes y elevar los
informes a la direccin general.
Funciones Subfunsiones - Tareas:
1-Realizar el reclutamiento: lograr que todos los puestos estn cubiertos por personal
competente que cubran el perfil institucional por un costo razonable.

a)

b)

Buscar los postulantes (docentes y no docentes)

Anlisis de las necesidades del cargo
Desarrollo de especificaciones de trabajo
Anlisis de las fuentes de empleados potenciales
Atraccin de los posibles postulantes
Realizar el proceso de seleccin: Anlisis de la capacidad de los aspirantes para decidir
cual tiene mayores posibilidades.
Entrevistar los postulantes
Realizar talleres de Pruebas de inteligencia emocional.
Evaluacin de los postulantes en base a los resultados de los talleres.
Confeccin y entrega de los diferentes tipos de contratos de trabajo (contratos
temporales, a plazo fijo, contratos de prueba, pasantas, etc.)

c) Instruccin y entrega de materiales: Entrenamiento, informacin y entrega de

materiales necesarios a los empleados contratados (o nuevos) para que cumplan sus
obligaciones eficientemente.
Orientacin de los nuevos empleados mediante talleres de capacitacin y entrega de
documentacin con las normativas (reglas con las que se rige la institucin)
Seguimiento de la actuacin de los empleados (y empleados nuevos tambin).
Compra de materiales didcticos u otros servicios para entregar a los docentes y as los
mismos puedan dictar sus clases eficientemente.
d) Despidos: Terminacin legal de las relaciones con los empleados en la forma mas
beneficiosa para ellos y el colegio.
Realizacin de la entrevista de egreso
Anlisis de las bajas
e) Determinar los servicios sociales para los empleados.
Determinacin de servicio mdicos y otros para los empleados (y alumnos) que cubran
la seguridad e integridad fsica del personal dentro de la organizacin.
Prepara la documentacin para la gestin de obras sociales del personal.
2-Administrar sueldos y jornales: lograr que todos los empleados estn remunerados
adecuada, equitativamente y en tiempo.
a) Clasificar la posicin, responsabilidades y requerimientos de los empleados
Preparacin de las normativas institucionales donde estn las especificaciones de
trabajo
Revisin peridica y correccin de las normativas.
Fijar los valores monetarios de los puestos en forma justa y equitativa, respecto a otros
puestos en el colegio y a puestos similares en el mercado de trabajo.
Efectuar los pagos correspondientes a los sueldos mensuales (el pago y entrega de
recibos de sueldo se efecta en la propia institucin)
b) Control de Horarios: Fijacin de horas de trabajo y periodos de inasistencia con goce de
haberes o sin el, que sean justos tanto para el empleado como para el colegio.
Planificacin y administracin de polticas sobre horarios de trabajos o inasistencias.
Planificacin y administracin de planes de vacaciones.
3- Promocionar las Relaciones institucionales: Asegurar que las relaciones de trabajo entre la
direccin general y los empleados al igual que la satisfaccin en el trabajo y oportunidad de
progreso del personal, sean desarrollados y mantenidos siguiendo los mejores intereses del
colegio y de los empleados. Tambin su funcin es la de desarrollar proyectos de Relaciones
Institucionales con el medio externo (otras instituciones escolares, clubes, etc.)
a) Realizar negociaciones colectivas: Lograr concordancia con las organizaciones de
empleados reconocidas oficialmente y establecidas legalmente, de la manera que mejor
contemple los intereses de la escuela y los docentes.
Negociacin de convenios
Interpretacin y administracin de estos

b) Controlar la disciplina del personal

Fijar reglas de conducta y disposiciones mediante las normativas institucionales
Establecer y administrar las medidas disciplinarias con respecto a inasistencias
injustificadas.
c) Investigacin de Personal:
Investigacin de referencias de trabajos anteriores.
Confirmar las referencias y otras documentaciones a la administracin general.
Investigar y verificar la documentacin presentada por los empleados que luego
conformaran el legajo de los mismos (DNI, ttulos oficiales, registracin en la Junta de
clasificaciones, etc.)
5-Generar Informes
Confeccionar todos los informes mensuales, semestrales y anuales con las estadsticas,

resmenes, etc. de las gestiones administrativas del personal.

Diagnstico:
De acuerdo con el Dominio Planificacin y Organizacin y el Proceso Administracin de
Recursos Humanos, nosotros hemos desarrollado un anlisis, donde identificamos con que
normas esta cumpliendo la organizacin y con cuales no, a partir de all definiremos que es lo
que la escuela debera hacer para cumplir con las normas COBIT.
La organizacin ARCO IRIS SCHOOL, segn nuestro parecer y de acuerdo a lo relevado,
creemos que se ajusta bastante bien a las normas COBIT en cuanto al proceso en cuestin,
puesto que la misma cumple con las siguientes actividades o tareas del mismo:
Reclutamiento y Promocin personal, ya que la Direccin evala regularmente los procesos
necesarios para asegurar que las practicas de reclutamiento y promocin de personal tengan
excelentes resultados, considerando factores como la educacin del personal, la experiencia y
la responsabilidad.
Personal Calificado, puesto que se verifica que el personal que lleva tareas especificas este
capacitado y para ello se realizan Talleres Docentes.
Entrenamiento de Personal, ya que en cuanto ingresa el personal y durante su permanencia en
el establecimiento tiene a su disposicin toda la informacin que necesite, as como tambin la
permanente capacitacin. Aunque es importante destacar que no hay un manual de Funciones,
ni de Procedimientos, por lo cual los empleados pueden tener dudas con respecto a sus
funciones.
Evaluacin de Desempeo de los Empleados, ya que el establecimiento implementa un proceso
de evaluacin de desempeo de los empleados y asesora a los mismos sobre su desempeo o
conducta de manera apropiada. Aunque las evaluaciones de rendimiento no estn definidas
formalmente y por ende se puede llegar a tener problemas por la subjetividad de la persona que
esta evaluando el desempeo.
Cambios de puestos y Despidos, puesto que cuando se toman tales acciones se trata de que
sean oportunas y apropiadas, de tal manera que los controles internos y la seguridad no se
vean perjudicados por estos eventos.
s importante destacar que ARCO IRIS SCHOOL tienes dificultados en cuanto a:
Respaldo de Personal, puesto que no cuenta con suficiente personal de respaldo para
solucionar posibles ausencias. Tampoco el personal encargado de puestos delicados como ser
el Tesorero toma vacaciones interrumpidas con duracin suficiente como para probar la
habilidad de la organizacin para manejar casos de ausencia y detectar actividades
fraudulentas.
Procedimientos de Acreditacin de Personal, puesto que las investigaciones de seguridad
asociada a la contratacin no son llevadas a cabo.
Conclusiones:
Por lo tanto, podemos especificar que para que la escuela cumpla con las normas COBIT en
cuanto al proceso Administracin de Recursos Humanos deber:
Realizar manuales de funciones, de manera que estn definidos todos los puestos de
trabajo y sus correspondientes funciones.
Realizar manuales de Procedimientos, de manera que los empleados puedan identificar
cuales son las tareas que deben realizar de acuerdo a su puesto y funciones.
Establecer Procedimientos de Acreditacin, ya que de lo contrario se pueden tener
serios problemas por no haber realizado correctamente las investigaciones de
seguridad.
Proporcionar un entrenamiento cruzado de manera de tener personal de respaldo con
la finalidad de solucionar posibles ausencias, ya que la escuela no puede contar con
suficiente personal por su economa actual.
Definir y publicar formalmente las evaluaciones de rendimiento, de manera de aplicarlas
a la hora de hacer la evaluacin de desempeo para evitar problemas con el personal
docente y no docente.

8. Apndice I
COBIT como Producto, incluye:

Resumen Ejecutivo: es un documento dirigido a la alta gerencia presentando los antecedentes y

la estructura bsica de COBIT Adems, describe de manera general los procesos, los recursos y
los criterios de informacin, los cuales conforman la Columna Vertebral de COBIT.
Marco de Referencia (Framework): Incluye la introduccin contenida en el resumen ejecutivo y
presenta las guas de navegacin para que los lectores se orienten en la exploracin del
material de COBIT haciendo una presentacin detallada de los 34 procesos contenidos en los
cuatro dominios.
Objetivos de Control: Integran en su contenido lo expuesto tanto en el resumen ejecutivo como
en el marco de referencia y presenta los objetivos de control detallados para cada uno de los 34
procesos.
En total se describen 302 objetivos de control detallados (de 3 a 30 objetivos por cada uno de los
procesos)
Guas de Auditoria: Se hace una presentacin del proceso de auditoria generalmente aceptado
(relevamiento de informacin, evaluacin de control, evaluacin de cumplimiento y evidenciacin
de los riesgos).
Este documento incluye guas detalladas para auditar cada uno de los 34 procesos teniendo en cuenta
los 302 objetivos de control detallados.
Guas de Administracin: Se enfoca de manera similar a los otros productos e integra los
principios del Balance Business Scorecard.
Para ayudar a determinar cuales son los adecuados niveles de seguridad y control integra los conceptos
de:
Modelo de madurez CMM (prcticas de Control)
Indicadores claves de Desempeo de los procesos de TI
Factores Crticos de xito a tener en cuenta para mantener bajo control los procesos de TI.
Guas Gerenciales: Incluidas en la Tercera Edicin, las mismas proveen modelos de madurez,
factores crticos de xito, indicadores claves de objetivos e indicadores claves de desempeo
para los 34 procesos de TI de COBIT. Estas guas proveen a la gerencia herramientas que
permiten la auto evaluacin y poder seleccionar opciones para implementacin de controles y
mejoras sobre la informacin y la tecnologa relacionada. Las guas fueron desarrolladas por un
panel de 40 expertos en seguridad y control, profesionales de administracin de TI y de
administracin de desempeo, analistas de la industria y acadmicos de todo el mundo.
Herramientas de implementacin: Muestra algunas de las lecciones aprendidas por aquellas
organizaciones que han aplicado COBIT e incluye una gua de implementacin con dos
herramientas: Diagnstico de conciencia Administrativa y Diagnstico de Control en TI
Como con cualquier investigacin amplia e innovadora, COBIT ser actualizado cada tres aos. Esto
asegurara que el modelo y la estructura permanezcan vigentes. La validacin tambin permite asegurar
que los 41 materiales de referencia primarios no hayan cambiado, y, si hubieran cambiado, reflejas eso
en el documento
9. Apndice II
Relaciones de Objetivo de Control, Dominios, Procesos y Objetivos de Control
PLANEACIN Y ORGANIZACIN
1.0 Definicin de un Plan Estratgico de
Tecnologa de Informacin
1.1 Tecnologa de Informacin como parte del
Plan de la Organizacin a corto y largo plazo
1.2 Plan a largo plazo de Tecnologa de
Informacin
1.3 Plan a largo plazo de Tecnologa de
Informacin - Enfoque y Estructura

4.15 Relaciones
5.0 Manejo de la Inversin en Tecnologa de
Informacin
5.1 Presupuesto Operativo Anual para la
Funcin de Servicio de informacin
5.2 Monitoreo de Costo - Beneficio
5.3 Justificacin de Costo - Beneficio
6.0 Comunicacin de la direccin y aspiraciones
de la gerencia

1.4 Cambios al Plan a largo plazo de

6.1 Ambiente positivo de control de la
Tecnologa de Informacin
informacin
1.5 Planeacin a corto plazo para la funcin de 6.2 Responsabilidad de la Gerencia en cuanto
Servicios de Informacin
a Polticas
1.6 Evaluacin de sistemas existentes
6.3 Comunicacin de las Polticas de la
2.0 Definicin de la Arquitectura de Informacin Organizacin
2.1 Modelo de la Arquitectura de Informacin 6.4 Recursos para la implementacin de
2.2 Diccionario de Datos y Reglas de cinta de Polticas
datos de la corporacin
6.5 Mantenimiento de Polticas
2.3 Esquema de Clasificacin de Datos
6.6 Cumplimiento de Polticas, Procedimientos
2.4 Niveles de Seguridad
y Estndares
3.0 Determinacin de la direccin tecnolgica 6.7 Compromiso con la Calidad
3.1 Planeacin de la Infraestructura
6.8 Poltica sobre el Marco de Referencia para
Tecnolgica
la Seguridad y el Control Interno
3.2 Monitoreo de Tendencias y Regulaciones 6.9 Derechos de propiedad intelectual
Futuras
6.10 Polticas Especficas
3.3 Contingencias en la Infraestructura
6.11 Comunicacin de Conciencia de Seguridad
Tecnolgica
en TI
3.4 Planes de Adquisicin de Hardware y
7.0 Administracin de Recursos Humanos
Software
7.1 Reclutamiento y Promocin de Personal
3.5 Estndares de Tecnologa
7.2 Personal Calificado
4.0 Definicin de la Organizacin y de las
7.3 Entrenamiento de Personal
Relaciones de TI
7.4 Entrenamiento Cruzado o Respaldo de
4.1 Comit de planeacin o direccin de la
Personal
funcin de servicios de informacin
7.5 Procedimientos de Acreditacin de
4.2 Ubicacin de los servicios de informacin Personal
en la organizacin
7.6 Evaluacin de Desempeo de los
4.3 Revisin de Logros Organizacionales
Empleados
4.4 Funciones y Responsabilidades
7.7 Cambios de Puesto y Despidos
4.5 Responsabilidad del aseguramiento de
8.0 Aseguramiento del Cumplimiento de
calidad
Requerimientos Externos
4.6 Responsabilidad de la seguridad lgica y 8.1 Revisin de Requerimientos Externos
fsica
8.2 Prcticas y Procedimientos para el
4.7 Propiedad y Custodia
Cumplimiento de Requerimientos Externos
4.8 Propiedad de Datos y Sistemas
8.3 Cumplimiento de los Estndares de
4.9 Supervisin
Seguridad y Ergonoma
4.10 Segregacin de Funciones
8.4 Privacidad, Propiedad Intelectual y Flujo de
4.11 Asignacin de Personal para Tecnologa de Datos
Informacin
8.5 Comercio Electrnico
4.12 Descripcin de Puestos para el Personal 8.6 Cumplimiento con Contratos de Seguros
de la Funcin de TI
9.0 Evaluacin de Riesgos
4.13 Personal clave de TI
9.1 Evaluacin de Riesgos del Negocio
4.14 Procedimientos para personal por contrato 9.2 Enfoque de Evaluacin de Riesgos
9.3 Identificacin de Riesgos
9.4 Medicin de Riesgos
9.5 Plan de Accin contra Riesgos
9.6 Aceptacin de Riesgos
ADQUISICIN E IMPLEMENTACIN
10.0 Administracin de proyectos
1.0 Identificacin de Soluciones
10.1 Marco de Referencia para la
1.1 Definicin de Requerimientos de
Administracin de Proyectos
Informacin
10.2 Participacin del Departamento Usuario en 1.2 Formulacin de Acciones Alternativas
la Iniciacin de Proyectos
1.3 Formulacin de Estrategias de Adquisicin.
10.3 Miembros y Responsabilidades del Equipo 1.4 Requerimientos de Servicios de Terceros
del Proyecto
1.5 Estudio de Factibilidad Tecnolgica
10.4 Definicin del Proyecto
1.6 Estudio de Factibilidad Econmica
10.5 Aprobacin del Proyecto
1.7 Arquitectura de Informacin
10.6 Aprobacin de las Fases del Proyecto
1.8 Reporte de Anlisis de Riesgos
10.7 Plan Maestro del Proyecto
1.9 Controles de Seguridad Econmicos
10.8 Plan de Aseguramiento de la Calidad de 1.10 Diseo de Pistas de Auditora

Sistemas
10.9 Planeacin de Mtodos de Aseguramiento
10.10 Administracin Formal de Riesgos de
Proyectos
10.11 Plan de Prueba
10.12 Plan de Entrenamiento
10.13 Plan de Revisin Post Implementacin
11.0 Administracin de Calidad
11.1 Plan General de Calidad
11.2 Enfoque de Aseguramiento de Calidad
11.3 Planeacin del Aseguramiento de Calidad
11.4 Revisin de Aseguramiento de Calidad
sobre el Cumplimiento de Estndares y
Procedimientos de la Funcin de Servicios de
Informacin
11.5 Metodologa del Ciclo de Vida de
Desarrollo de Sistemas
11.6 Metodologa del Ciclo de Vida de
Desarrollo de Sistemas para Cambios Mayores
a la Tecnologa Actual
11.7 Actualizacin de la Metodologa del Ciclo
de Vida de Desarrollo de Sistemas
11.8 Coordinacin y Comunicacin
11.9 Marco de Referencia de Adquisicin y
Mantenimiento para la Infraestructura de
Tecnologa
11.10 Relaciones con Terceras Partes como
Implementadores
11.11 Estndares para la Documentacin de
Programas
11.12 Estndares para Pruebas de Programas
11.13 Estndares para Pruebas de Sistemas
11.14 Pruebas Piloto/En Paralelo
11.15 Documentacin de las Pruebas del
Sistema
11.16 Evaluacin del Aseguramiento de la
Calidad sobre el Cumplimiento de Estndar de
Desarrollo
11.17 Revisin del Aseguramiento de Calidad
sobre el Logro de los Objetivos de la Funcin
de Servicios de Informacin
11.18 Mtricas de Calidad
11.19 Reportes de Revisiones de
Aseguramiento de la Calidad

1.11 Ergonoma
1.12 Seleccin de Software de Sistema
1.13 Control de Abastecimiento
1.14 Adquisicin de Productos de Software
1.15 Mantenimiento de Software de Terceras
Partes
1.16 Contratos de Programacin de
Aplicaciones
1.17 Aceptacin de Instalaciones
1.18 Aceptacin de Tecnologa
2.0 Adquisicin y Mantenimiento de Software de
Aplicacin
2.1 Mtodos de Diseo
2.2 Cambios Significativos a Sistemas Actuales
2.3 Aprobacin del Diseo
2.4 Definicin y Documentacin de
Requerimientos de Archivos
2.5 Especificaciones de Programas
2.6 Diseo para la Recopilacin de Datos
Fuente
2.7 Definicin y Documentacin de
Requerimientos de Entrada de Datos
2.8 Definicin de Interfases
2.9 Interfases Usuario-Mquina
2.10 Definicin y Documentacin de
Requerimientos de Procesamiento
2.11 Definicin y Documentacin de
Requerimientos de Salida de Datos
2.12 Controlabilidad
2.13 Disponibilidad como Factor Clave de
Diseo
2.14 Estipulacin de Integridad de TI en
programas de software de aplicaciones
2.15 Pruebas de Software de Aplicacin
2.16 Materiales de Consulta y Soporte para
Usuario
2.17 Reevaluacin del Diseo del Sistema
3.0 Adquisicin y Mantenimiento de Arquitectura
de Tecnologa
3.1 Evaluacin de Nuevo Hardware y Software
3.2 Mantenimiento Preventivo para Hardware
3.3 Seguridad del Software del Sistema
3.4 Instalacin del Software del Sistema
3.5 Mantenimiento del Software del Sistema
3.6 Controles para Cambios del Sofware del
Sistema
4.0 Desarrollo y Mantenimiento de
3.2 Plan de Disponibilidad
Procedimientos relacionados con Tecnologa de 3.3 Monitoreo y Reporte
Informacin
3.4 Herramientas de Modelado
4.1 Futuros Requerimientos y Niveles de
3.5 Manejo de Desempeo Proactivo
Servicios Operacionales
3.6 Pronstico de Carga de Trabajo
4.2 Manual de Procedimientos para Usuario
3.7 Administracin de Capacidad de Recursos
4.3 Manual de Operacin
3.8 Disponibilidad de Recursos
4.4 Material de Entrenamiento
3.9 Calendarizacin de recursos
5.0 Instalacin y Acreditacin de Sistemas
4.0 Aseguramiento de Servicio Continuo
5.1 Entrenamiento
4.1 Marco de Referencia de Continuidad de
5.2 Adecuacin del Desempeo del Software Tecnologa de Informacin
de Aplicacin
4.2 Estrategia y Filosofa de Continuidad de
5.3 Conversin
Tecnologa de Informacin

5.4 Pruebas de Cambios

5.5 Criterios y Desempeo de Pruebas en
Paralelo/Piloto
5.6 Prueba de Aceptacin Final
5.7 Pruebas y Acreditacin de Seguridad
5.8 Prueba Operacional
5.9 Promocin a Produccin 5.10 Evaluacin
de la Satisfaccin de los Requerimientos del
Usuario
5.11Revisin Gerencial Post - Implementacin
6.0 Administracin de Cambios
6.1 Inicio y Control de Requisiciones de
Cambio
6.2 Evaluacin del Impacto
6.3 Control de Cambios
6.4 Documentacin y Procedimientos
6.5 Mantenimiento Autorizado
6.6 Poltica de Liberacin de Software
6.7 Distribucin de Software

4.3 Contenido del Plan de Continuidad de

Tecnologa de Informacin
4.4 Minimizacin de requerimientos de
Continuidad de Tecnologa de Informacin
4.5 Mantenimiento del Plan de Continuidad de
Tecnologa de Informacin
4.6 Pruebas del Plan de Continuidad de
Tecnologa de Informacin
4.7 Capacitacin sobre el Plan de Continuidad
de Tecnologa de Informacin
4.8 Distribucin del Plan de Continuidad de
Tecnologa de Informacin
4.9 Procedimientos de Respaldo de
Procesamiento para Departamentos Usuarios
4.10 Recursos crticos de Tecnologa de
Informacin
4.11 Centro de Cmputo y Hardware de
respaldo
4.12 Procedimientos de Refinamiento del Plan
de Continuidad de TI
ENTREGA DE SERVICIOS Y SOPORTE
5.0 Garantizar la Seguridad de Sistemas
1.0 Definicin de Niveles de Servicio
5.1 Administrar Medidas de Seguridad
1.1 Marco de Referencia para el Convenio de 5.2 Identificacin, Autenticacin y Acceso
Nivel de Servicio
5.3 Seguridad de Acceso a Datos en Lnea
1.2 Aspectos sobre los Acuerdos de Nivel de 5.4 Administracin de Cuentas de Usuario
Servicio
5.5 Revisin Gerencial de Cuentas de Usuario
1.3 Procedimientos de Ejecucin
5.6 Control de Usuarios sobre Cuentas de
1.4 Monitoreo y Reporte
Usuario
1.5 Revisin de Convenios y Contratos de
5.7 Vigilancia de Seguridad
Nivel de Servicio
5.8 Clasificacin de Datos
1.6 Elementos sujetos a Cargo
5.9 Administracin Centralizada de
1.7 Programa de Mejoramiento del Servicio
Identificacin y Derechos de Acceso
2.0 Administracin de Servicios prestados por 5.10 Reportes de Violacin y de Actividades de
Terceros
Seguridad
2.1 Interfases con Proveedores
5.11 Manejo de Incidentes
2.2 Relaciones de Dueos
5.12 Re-acreditacin
2.3 Contratos con Terceros
5.13 Confianza en Contrapartes
2.4 Calificaciones de terceros
5.14 Autorizacin de Transacciones
2.5 Contratos con Outsourcing
5.15 No Rechazo
2.6 Continuidad de Servicios
5.16 Sendero Seguro
2.7 Relaciones de Seguridad
5.17 Proteccin de funciones de seguridad
2.8 Monitoreo
5.18 Administracin de Llave Criptogrfica
3.0 Administracin de Desempeo y Capacidad 5.19 Prevencin, Deteccin y Correccin de
3.1 Requerimientos de Disponibilidad y
Software Malicioso
Desempeo
5.20 Arquitecturas de FireWalls y conexin a
redes pblicas
5.21 Proteccin de Valores Electrnicos
6.0 Identificacin y Asignacin de Costos
ser Desechada
6.1 Elementos Sujetos a Cargo
11.19 Administracin de Almacenamiento
6.2 Procedimientos de Costeo
11.20 Perodos de Retencin y Trminos de
6.3 Procedimientos de Cargo y Facturacin a Almacenamiento
Usuarios
11.21 Sistema de Administracin de la Librera
7.0 Educacin y Entrenamiento de Usuarios
de Medios
7.1 Identificacin de Necesidades de
11.22 Responsabilidades de la Administracin
Entrenamiento
de la Librera de Medios
7.2 Organizacin de Entrenamiento
de proveedores externos de servicios
7.3 Entrenamiento sobre Principios y
11.23 Respaldo y Restauracin
Conciencia de Seguridad
11.24 Funciones de Respaldo
8.0 Apoyo y Asistencia a los Clientes de
11.25 Almacenamiento de Respaldo

Tecnologa de Informacin
11.26 Archivo
8.1 Bur de Ayuda
11.27 Proteccin de Mensajes Sensitivos
8.2 Registro de Preguntas del Usuario
11.28 Autenticacin e Integridad
8.3 Escalamiento de Preguntas del Cliente
11.29 Integridad de Transacciones Electrnicas
8.4 Monitoreo de Atencin a Clientes
11.30 Integridad Continua de Datos
8.5 Anlisis y Reporte de Tendencias
Almacenados
9.0 Administracin de la Configuracin
12.0 Administracin de Instalaciones
9.1 Registro de la Configuracin
12.1 Seguridad Fsica
9.2 Base de la Configuracin
12.2 Discrecin de las Instalaciones de
9.3 Registro de Estatus
Tecnologa de Informacin
9.4 Control de la Configuracin
12.3 Escolta de Visitantes
9.5 Software no Autorizado
12.4 Salud y Seguridad del Personal
9.6 Almacenamiento de Software
12.5 Proteccin contra Factores Ambientales
10.0 Administracin de Problemas e Incidentes 12.6 Suministro Ininterrumpido de Energa
10.1 Sistema de Administracin de Problemas 13.0 Administracin de Operaciones
10.2 Escalamiento de Problemas
13.1 Manual de procedimientos de Operacin e
10.3 Seguimiento de Problemas y Pistas de
Instrucciones
Auditora
13.2 Documentacin del Proceso de Inicio y de
11.0 Administracin de Datos
Otras Operaciones
11.1 Procedimientos de Preparacin de Datos 13.3 Calendarizacin de Trabajos
11.2 Procedimientos de Autorizacin de
13.4 Salidas de la Calendarizacin de Trabajos
Documentos Fuente
Estndar
11.3 Recopilacin de Datos de Documentos
13.5 Continuidad de Procesamiento
Fuente
13.6 Bitcoras de Operacin
11.4 Manejo de Errores de Documentos Fuente 13.7 Operaciones Remotas
11.5 Retencin de Documentos Fuente
11.6 Procedimientos de Autorizacin de Entrada MONITOREO
de Datos
1.0 Monitoreo del Proceso
11.7 Chequeos de Exactitud, Suficiencia y
1.1 Recoleccin de Datos de Monitoreo
Autorizacin
1.2 Evaluacin de Desempeo
11.8 Manejo de Errores en la Entrada de Datos 1.3 Evaluacin de la Satisfaccin de Clientes
11.9 Integridad de Procesamiento de Datos
1.4 Reportes Gerenciales
11.10 Validacin y Edicin de Procesamiento de 2.0 Evaluar lo adecuado del Control Interno
Datos
2.1 Monitoreo de Control Interno
11.11 Manejo de Error en el Procesamiento de 2.2 Operacin oportuna del Control Interno
Datos
2.3 Reporte sobre el Nivel de Control Interno
11.12 Manejo y Retencin de Salida de Datos 2.4 Seguridad de operacin y aseguramiento
11.13 Distribucin de Salida de Datos
de Control Interno
11.14 Balanceo y Conciliacin de Datos de
3.0 Obtencin de Aseguramiento Independiente
Salida
3.1 Certificacin / Acreditacin Independiente
11.15 Revisin de Salida de Datos y Manejo de de Control y Seguridad de los servicios de TI
Errores
3.2 Certificacin / Acreditacin Independiente
11.16 Provisiones de Seguridad para Reportes de Control y Seguridad de proveedores
de Salida
externos de servicios
11.17 Proteccin de Informacin Sensible
3.3 Evaluacin Independiente de la Efectividad
durante transmisin y transporte
11.18 Proteccin de Informacin Crtica a
de los Servicios de TI
3.4 Evaluacin Independiente de la Efectividad
de proveedores externos de servicios
3.5 Aseguramiento Independiente del
Cumplimiento de leyes y requerimientos
regulatorios y compromisos contractuales
3.6 Aseguramiento Independiente del
Cumplimiento de leyes y requerimientos
regulatorios y compromisos contractuales
3.7 Competencia de la Funcin de
Aseguramiento Independiente
3.8 Participacin Proactiva de Auditora

4.0 Proveer Auditora Independiente

4.1 Estatutos de Auditora
4.2 Independencia
4.3 tica y Estndares Profesionales
4.4 Competencia
4.5 Planeacin
4.6 Desempeo del Trabajo de Auditora
4.7 Reporte
4.8 Actividades de Seguimiento

Trabajo enviado por:

Ivana Soledad Rojas Crsico
ivanasrojas@hotmail.com
Estudiante del 5to. Ao de la Carrera Ingeniera en Sistemas, Universidad Tecnolgica Nacional
(Regional Crdoba)
Tema: Auditora de Sistemas de Informacin