GOBIERNO DE IT.

QU ES EN REALIDAD?

Por:
Armando V. Tauro,Ph.D.
Noviembre 16, 2013
 Contexto.
Tendencia regulatoria es global!.
Escndalos 2002 dan nfasis al tema gobierno
Enron, Worldcom, Tyco, ...
Reaccin: Sarbanes Oxley y otras regulaciones.
Del gobierno corporativo al gobierno IT
Principal objetivo: dar confianza a inversionistas!!
Han pagado primas hasta de 20% en inversiones por compaas con
gobierno transparente.

Latinoamrica:
Tmidos avances sobre regulaciones de gobierno
corporativo. Ms lentamente en IT.
 Impacto de IT en los negocios.

IT se ha convertido en Competencia Universal requerida:

Para crear productos y/o servicios de valor agregado.

Para negocios e interaccin con clientes y proveedores.

Para habilitar transacciones desmaterializadas.

Para hacer negocios globales a cualquier hora del da.

Para tener procesos continuos y cadenas de

aprovisionamiento optimizadas.
Inversiones en IT durante el nuevo milenio
 Cifras sobre el impacto de IT
...
Benchmark de Inversiones en IT (USA)

Nmero de compaas por

sector Financiero (12) Manufactura (10) Retail (5) Total (27)
Promedio Promedio Promedio Promedio
% de % de % de % de
Promedio 5 cambio Promedio 5 cambio Promedio 5 cambio Promedio 5 cambio
aos anual aos anual aos anual aos anual
Total Inversin en IT (US$M) 146 11,0% 62,1 4,4% 41,4 25,1% 98,3 11,7%
% IT sobre ingresos 7,0% -0,6% 1,7% -1,0% 1,0% 16,4% 4,1% 2,6%
% IT sobre Gastos 14,2% -0,4% 2,0% -0,2% 1,1% 16,4% 7,7% 3,0%
Leveraging The New Infrstructure. P Weill, M Broadbent
 Riesgos de IT.
Riesgo corporativo no es solo financiero.

Cuidado! As lo ven algunas Directivas.

El uso innovativo de IT conlleva nuevas formas de riesgo:

tecnolgico y de negocio (operacin).

Tecnologa y Seguridad de la Informacin son centrales.

Nuevos requerimientos y riesgos demandan de gerencias de

IT mayor efectividad y transparencia.
 Riesgos de IT.
Descalabros econmicos de empresas por:

Inadecuadas decisiones sobre inversiones, proyectos u

operaciones de IT.

Falta de alineamiento entre objetivos de reas IT y objetivos

del negocio (Alta Direccin).

Ausencia de participacin de Alta Direccin.

Delegacin de decisiones estratgicas por considerar IT

como un tema especializado.
 Problemtica: Conocimiento y
Control de desempeo IT.
Directivas concentradas solo en estrategias de negocio y riesgos
estratgicos.

Pocas analizan IT a pesar de las grandes inversiones y riesgos.

Ven IT separado de la operacin central del negocio.

Entender el impacto en riesgos y oportunidades requiere

ms conocimiento tcnico que otras disciplinas.

Ms complejo an como corporacin extendida (con

clientes, proveedores, socios de negocio).
 Cmo generar Gobernabilidad.
TOP-DOWN:
Alta Direccin consciente y conocedora del problema.
Impone mecanismos para extender su Gobierno Corporativo
a cubrir IT.

BOTTOM-UP:
Gerencia (o VP) de IT conciente de la necesidad.
Capacidad de alinear funcin y organizacin a los objetivos y
estrategias del negocio.
Establece medios de comunicacin sobre sus resultados y
el cumplimiento de sus objetivos.
 Qu es gobierno de IT?

Especificacin de esquemas de decisin y

responsabilidad para fomentar un
comportamiento deseable en el uso de IT.
IT Governance. Peter Weill and Jeanne w Ross.

Es parte integral del Gobierno corporativo y

cubre liderazgo, estructuras organizacionales y
procesos que garantizan el que la organizacin de
IT soporte y extienda las estrategias y objetivos
del negocio.
COBIT
 Gobierno Corporativo y de Activos Crticos
Gobierno Corporativo
Otros
Accionistas Accionistas
Junta
Directiva
Divulgacin
Monitoreo

Alta Direccin

Comportamiento
Estrategia
Deseable

Activos Crticos
Activos
Activos Activos Activos Informacin Activos de
Propiedad
Humanos Financieros Fsicos Activos IT Relaciones
Intelectual

Mecanismos Mecanismos
Gobierno Financiero Gobierno IT
(comits presupuestos)
(comits presupuestos)

Gobierno de activos crticos

Gobierno IT 2003 MIT Sloan School Center for information System Research.
 Gobierno de IT vs. Gerencia de IT.

Gobierno determina quien y como toma las decisiones.

Ej: quien tiene el poder de definicin sobre cuanto
invierte la empresa en IT y bajo qu reglas.
Gerencia ejecuta e implementa las decisiones.
Ej: ejecuta el proceso de adquisicin e implantacin.
Modelo de Gestin de TI
RECORDEMOS
Para muchas empresas, la informacin y la tecnologa que las
soportan representan sus ms valiosos activos, aunque con
frecuencia son poco entendidos. Las empresas exitosas
reconocen los beneficios de la tecnologa de informacin y la
utilizan para impulsar el valor de sus interesados
(stakeholders). Estas empresas tambin entienden y
administran los riesgos asociados, tales como el aumento en
requerimientos regulatorios, as como la dependencia crtica de
muchos procesos de negocio en TI.
RECORDEMOS
Estas empresas tambin entienden y administran los riesgos
asociados, tales como el aumento en requerimientos
regulatorios, as como la dependencia crtica de muchos
procesos de negocio en TI.
 RECORDEMOS

El Gobierno De TI es responsabilidad de los ejecutivos, del

consejo de directores y consta de liderazgo, estructuras y
procesos organizacionales que garantizan que la TI de la
empresa sostiene y extiende las estrategias y objetivos
organizacionales.
 RECORDEMOS

Ms an, el gobierno de TI integra e institucionaliza las buenas

prcticas para garantizar que la TI de la empresa sirve como
base a los objetivos del negocio. De esta manera, el gobierno
de TI facilita que la empresa aproveche al mximo su
informacin, maximizando as los beneficios, capitalizando las
oportunidades y ganando ventajas competitivas.
 RECORDEMOS
Para que la TI tenga xito en satisfacer los
requerimientos del negocio, la direccin debe implantar
un sistema de control interno o un marco de trabajo. El
marco de trabajo de control COBIT contribuye a estas
necesidades de la siguiente manera:
1. Estableciendo un vnculo con los requerimientos del
negocio
2. Organizando las actividades de TI en un modelo de
procesos generalmente aceptado
3. Identificando los principales recursos de TI a ser utilizados
4. Definiendo los objetivos de control gerenciales a ser
considerados
 Modelo COBIT
Mejores prcticas para Gestin de
Tecnologas Informticas
 CONCEPTO BSICOS
MODELO COBIT
(Control Objectives for
Information Systems and
related Technology)
Modelo para evaluar y/o auditar la
gestin y control de los de
Sistemas de Informacin y
Tecnologa relacionada (IT):

Es el resultado de una investigacin con expertos de varios paises,

desarrollada por la Information, Systems Audit and Control Association
ISACA.
Esta asociacin se ha constituido en el organismo normalizador y orientador
en el control y la auditora de los sistemas de Informacin y Tecnologa (IT).
El modelo CobIT ha sido aceptado y adoptado por organizaciones en el
mbito mundial.
CONCEPTO BSICOS
LEGISLADORES /
Modelo COBIT REGULADORES
Origen USUARIOS PRESTADORES
DE SERVICIOS
MARCO UNICO
REFERENCIA
PRACTICAS
SEGURIDAD

USUARIOS DE TI
Y CONTROL
ALTA GERENCIA

INVERSION CONTROL TI ACREDITACON CONTROL /SEGURIDAD

BALANCE RIESGO/CONTROL POR AUDITORES O TERCEROS
BASE BENCHMARKING CONFUSIN ESTANDARES

DESGASTE
OPINION V.S.
ALTA GCIA.
CONSULTORES EN
CONTROL/SEG.
TI

AUDITORES
CONCEPTO BSICOS
Proveer un marco nico reconocido a nivel mundial de las mejores
prcticas de control y seguridad de TI
Consolidar y armonizar estndares originados en diferentes pases
desarrollados.
Concientizar a la comunidad sobre importancia del control y la auditora
de TI.
Enlaza los objetivos y estrategias de los negocios con la estructura de
control de la TI, como factor crtico de xito
Aplica a todo tipo de organizaciones independiente de sus plataformas
de TI
Ratifica la importancia de la informacin, como uno de los recursos ms
valiosos de toda organizacin exitosa
 CONCEPTO BSICOS
ISACA - 95 paises 20.000
miembros
COBIT Investigacin: E.U-Europa-
Representatividad
Australia-Japn
Consolidacin y armonizacin 18
estndares
COSO : (Committe Of Sponsoring Org. of the Treadway Commission)
OECD : (Organizarion for Economic Cooperation and Development)
ISO 9003 : (International Standars Organization)
NIST : (National Institute of Standars and Technology)
DTI : (Departament of Trade and Industry of the U.K)
ITSEC : (Information Technology Security Evaluation Criteria - Europa)
TCSEC : (Trusted Computer Evaluacin Criteria - Orange Book- E.U)
IIA SAC : (Institute of Internal Auditors - Systems Auditability and Control)
IS : Auditing Standars Japn
 CONCEPTO BSICOS
Para satisfacer los objetivos del negocio la informacin debe cumplir
con criterios que COBIT extrae de los ms reconocidos modelos:

Calidad

Requerimientos de calidad Costo

(ISO 9000-3)
Entrega
 CONCEPTO BSICOS
Eficacia y eficiencia
Requerimientos fiduciarios Confiabilidad de la informacin
(informe COSO) Cumplimiento con leyes y
reglamentaciones

Requerimientos de seguridad Disponibilidad

(libro rojo, naranja, Integridad
ISO 17799 y otros) Confidencialidad
 REGLA DE ORO DEL COBIT

A fin, de proveer la informacin que la

organizacin requiere para lograr sus
objetivos, los recursos de TI deben ser
administrados por un conjunto de
procesos, agrupados de forma adecuada y
normalmente aceptada.
 POR QU COBIT?
La Tecnologa se ve como un costo,
no hay una terminologa comn con el
negocio, y se recorta el presupuesto
en la seguridad, ya que la falta de
difusion de normas y buenas prcticas
que ayuden a generar conciencia de
los riesgos mantiene la quimera del :
A mi no me va pasar..
POR QU COBIT?
Gobierno de Tecnologa de Informacin
El rol de la Direccin

La Direccin, a travs de su Gobierno

Corporativo debe garantizar la debida
diligencia por parte de todos los
individuos involucrados en la
administracin, uso, diseo, desarrollo,
mantenimiento u operacin de los
sistemas de informacin.
QUINES NECESITAN REGLAS DE JUEGO
DEFINIDAS?
Los Mandos Gerenciales para saber que deben
exigir, como medir los resultados y cuales son sus
responsabilidades en esos temas.

Balancear el riesgo y la inversin en control de un
ambiente a menudo impredecible

El Auditor para sustentar sus opiniones sobre los

riesgos y la adecuacin de la tecnologa a las
mejores prcticas. Ser asesores proactivos del
negocio
 ADEMS...

El rea usuaria para saber que puede pedir a

tecnologa y que se le va a exigir sobre el control de los
procesos del negocio.
Son los interesados en saber si los recursos de
Tecnologa de Informacin se utilizan adecuadamente y
les ayudan a alcanzar sus objetivos
El Gerente de Tecnologa para definir un acuerdo de
servicios y justificar su inversin
Los Organismos estatales de control, para saber que es
lo mnimo que pueden exigir.
 ORIENTACIN DE COBIT
Su orientacin hacia el negocio consiste en vincular objetivos
de negocio con objetivos de TI, facilitar mtricas y modelos
de madurez para medir su xito, e identificar las
responsabilidades asociadas del negocio y los propietarios
de los procesos de TI.

ENFOCADO EN EL NEGOCIO, ORIENTADO A

PROCESO, BASADO EN CONTROLES Y DIRIGIDO
POR MEDIDAS.
DEFINICIONES
Las Plticas, Procedimientos, Prcticas y
Estructuras Organizacionales, diseadas
para asegurar razonablemente el logro de los
objetivos del negocio y que los eventos
CONTROL
indeseables sern prevenidos o detectados o
corregidos.

Son declaraciones del resultado esperado o

Objetivos de del propsito a lograr mediante la
implementacin de los controles en una
Control de IT
actividad de IT especfica.
 PRINCIPIOS
Se refiere a la informacin que es relevante para el
Efectividad negocio y que debe ser entregada de manera
correcta, oportuna, consistente y usable.

Se refiere a la provisin de informacin a travs del

Eficiencia ptimo (ms productivo y econmico) uso de los
recursos.

Relativa a la proteccin de la informacin sensitiva de

Confidencialidad su revelacin no autorizada.

Se refiere a la exactitud y completitud de la

informacin, as como su validez, en concordancia
Integridad con los valores y expectativas del negocio.
 PRINCIPIOS
Se refiere a la que la informacin debe estar
disponible cuando es requerida por los procesos del
Disponibilidad negocio ahora y en el futuro. Involucra la salvaguarda
de los recursos y sus capacidades asociadas.

Se refiere a cumplir con aquellas leyes, regulaciones

y acuerdos contractuales, a los que estn sujetos los
Cumplimiento procesos del negocio.

Se refiere a la provisin de la informacin apropiada a

la alta gerencia, para operar la entidad y para ejercer
Confiabilidad sus responsabilidades finacieras y de cumplir con los
reportes de su gestin.
NECESIDAD DE RESPUESTA A LOS
RETOS DE TI
Los 7 retos:

Qu no se interrumpa el servicio
Qu aporte valor
Administrar los costos
Dominar la complejidad
Alineacin con el Negocio
Cumplimiento de Regulaciones
Seguridad.
BUEN GOBIERNO DE TI
Principios, participantes, mbito, ventajas

Los 4 principios:

Dirigir y controlar

Con responsabilidad

Con imputabilidad (Accountability)

Mediante actividades (Procesos)

NECESIDAD DE RESPUESTA A LOS RETOS DE
TI
Principios, participantes, mbito, ventajas

Los participantes (stakeholders):

Internos
Externos
 BUEN GOBIERNO DE TI
Principios, participantes, mbito, ventajas

Las 5 reas:

Alineacin estratgica
Aportacin de Valor
Gestin de Riesgos
Gestin de Recursos
Medidas de Rendimiento
 BUEN GOBIERNO DE TI
Principios, participantes, mbito, ventajas

Las 5 ventajas:

Confianza de la Alta Direccin

TI es co-responsable al negocio
Retorno de Inversin Superior
Servicios ms confiables
Mayor transparencia
MARCOS DE BUEN GOBIERNO Y DE TI

Las 5 caractersticas generales de un buen marco:

Enfocado al Negocio
Orientado a Procesos
Generalmente aceptado
Utilice un lenguaje comn
Cumpla con los requisitos regulatorios
 Propuesta de Solucin
Expectativas sobre COBIT (1)

Alta Gerencia:
Utilizar los procesos de COBIT para lograr un lenguaje comn
entre el negocio y TI y asignar responsabilidades claras

Gerencias Usuarias:
Utilizar los objetivos de control de COBIT para determinar las
necesidades que sern cubiertas por los Acuerdos de Niveles
de Servicio
Propuesta de Solucin
Expectativas sobre COBIT (2)

Auditora Interna:
Utilizar los objetivos de control de COBIT como un criterio para
evaluar y definir el alcance a revisar

Gerente TI:
Utilizar los objetivos de control de COBIT para:
1. Estructurar los procesos
2. Establecer objetivos de los procesos
3. Medir el desempeo de los procesos / gestin
4. Generar polticas y procedimientos
 Fase 1
Levantamiento de procesos actuales

Recursos Procesos de Criterios

de TI trabajo de Informacin

Datos Planeacin y Efectividad

Sistemas de organizacin Eficiencia
Aplicacin
Adquisicin e Confidencialidad
Infraestructura
implantacin de Integridad
Tecnolgica
soluciones Disponibilidad
Instalaciones
Entrega de servicio y Cumplimiento
Fsicas
soporte Confiabilidad
Recursos
 Fase 1
Levantamiento de procesos actuales

Recursos Procesos de Criterios

de TI
Recursos trabajo de Informacin
de TI

Objetivos de Control

Factores Crticos de xito

Indicadores de Resultados

Indicadores de Desempeo
 EL MODELO DEL MARCO DE TRABAJO DE COBIT
nistracin, Control, Alineacin y Monitoreo de Cobit. El marco de trabajo COBIT,
OBJETIVOS DE NEGOCIO relaciona los requerimientos de
informacin y de gobierno a los
Drivers de Gobernabilidad
Criterios de objetivos de la funcin de servicio
Resultados de Negocio Informacin de TI. El modelo de procesos
COBIT permite que las
actividades de TI y los recursos
que los soportan sean
administrados y controlados
Infraestructura

basados en los objetivos de

Aplicaciones

Informacin

Recursos control de COBIT, y alineados y

de TI monitoreados usando las
Gente

mtricas KGI y KPI de COBIT

Indicadores clave
de Rendiemiento
Procesos
Procesos de TI
de TI
Indicadores clave
de Objetivos
Objetivos de Control de
Objetivos de TI
Alto Nivel
ALINEANDO CRITERIOS, PROCESOS, RECURSOS Y OBJETIVOS DE CONTROL
Criterios de Informacin

Dominios

Informacin
Infraestructura
Dominios

Aplicaciones
Personas
Procesos
Procesos

Actividades
Actividades
 CLASIFICACIN
Agrupamiento lgico de procesos, a menudo
se concibe como dominios de responsabilidad
dentro de una estructura y se relaciona con el
Dominios
ciclo de vida aplicable a los procesos de
Tecnologa de Informacin.
Una serie de actividades o tareas vinculadas
con cortes (de control) naturales.
Son necesarias para lograr un resultado
mensurable. Las actividades tienen un ciclo
Procesos de vida mientras que las tareas son discretas.

Actividades
o tareas
CobiT: enfoque e implementacin
Resumen Ejecutivo

Herramientas de
implementacin
Resumen Ejecutivo
Marco Referencial-Esquema Casos de Estudio
Objetivos de Alto Nivel Preguntas Frecuentes
Presentaciones Power Point
Guas de Implementacin
Diagnstico Conciencia Administrativa
Diagnstico Control de TI

Lineamientos Objetivos de Control Guas de Prcticas de

Gerenciales Detallados Auditora Control

Modelos de Factores Crticos Indicadores Indicadores

Madurez de Exito Clave de Clave de Logros
Rendimiento
 DOMINIOS DEL COBIT

Planeacin y Organizacin
Abarca aspectos estratgicos y tcticos
Se vincula con la identificacin de la forma en que la
tecnologa de informacin puede contribuir ms
adecuadamente con el logro de los objetivos del
negocio.
Incluye las actividades de planificar, comunicar y
administrar la realizacin de la visin estratgica desde
distintas perspectivas.
 DOMINIO
Planificacin y Organizacin
Proceso: PO1 Definicin de un plan estratgico de TI

Proceso: PO2 Definicin de la arquitectura de la informacin

Proceso: PO3 Determinacin de la direccin tecnolgica

Proceso: PO4 Definicin de la organizacin y el relacionamiento en TI

Proceso: PO5 Administracin de la inversin en TI

Proceso: PO6 Comunicacin de los objetivos y directivas de la gerencia

Proceso: PO7 Administracin de los recursos humanos

Proceso: PO8 Aseguramiento del cumplimiento de los requerimientos externos

Proceso: PO9 Evaluacin de riesgos

Proceso: PO10 Administracin de proyectos

Proceso: PO11 Administracin de la calidad

 DOMINIOS DEL COBIT
Adquisicin e Implementacin

Identificacin, desarrollo o adquisicin de

soluciones de Ti
Implantacin e integracin en el proceso de
negocio.
Cambios y mantenimiento de los sistemas
existentes para garantizar la natural continuidad del
ciclo de vida para estos sistemas.
 DOMINIO
Adquisicin e Implementacin
Proceso: AI12 Identificacin de soluciones

Proceso: AI13 Adquisicin y mantenimiento de software de aplicacin

Proceso: AI14 Adquisicin y mantenimiento de la infraestructura tecnolgica

Proceso: AI15 Desarrollo y mantenimiento de procedimientos de TI

Proceso: AI16 Instalacin y certificacin de sistemas

Proceso: AI17 Administracin de cambios

 DOMINIOS DEL COBIT

Entrega y Soporte

Prestacin efectiva de los servicios

requeridos, que comprenden desde las
operaciones tradicionales sobre
aspectos de seguridad y continuidad
hasta la capacitacin.
Procesos de soporte necesarios.
Procesamiento real de los datos por los
sistemas de aplicacin.
 DOMINIO
Entrega y Soporte

Proceso: DS18 Definicin de los niveles del servicio

Proceso: DS19 Administracin de los servicios prestados terceros

Proceso: DS20 Administracin de la capacidad y del desempeo del sistema

Proceso: DS21 Aseguramiento de la continuidad del servicio

Proceso: DS22 Establecimiento de pautas para la seguridad de los sistemas

Proceso: DS23 Identificacin e imputacin de costos

 DOMINIO
Entrega y Soporte
Proceso: DS24 Educacin y capacitacin de los usuarios

Proceso: DS25 Asistencia y asesoramiento a los clientes de TI

Proceso: DS26 Administracin de la configuracin

Proceso: DS27 Administracin de problemas e incidentes

Proceso: DS28 Administracin de datos

Proceso: DS29 Administracin de instalaciones

Proceso: DS30 Administracin de las operaciones

DOMINIOS DE COBIT
Monitoreo

Evaluar regularmente todos los procesos de TI

para determinar su calidad y el cumplimiento de
los requerimientos de control.
Seguimiento de la gerencia sobre los procesos de
control de la organizacin
Garanta independiente provista por la auditoria
interna y externa u obtenida de fuentes
alternativas.
 DOMINIO
Monitoreo
Proceso: ME31 Monitoreo de los procesos

Proceso: ME32 Evaluacin de la adecuacin del control interno

Proceso: ME33 Obtencin de aseguramiento independiente

Proceso: ME34 Provisin de auditoria independiente

 PROCESOS

CONFIDENCIALIDAD
COBIT DOMINIO AI:

DISPONIBILIDAD

APLICACIONES
CONFIABILIDAD

TECNOCLOGA
CUMPLIMIENTO

FACILIDADES
EFECTIVIDAD
Navegacin Adquisicin e

INTEGRIDAD

PERSONAS
EFICIENCIA
(Matriz) Implementacin

DATOS
Identificar soluciones
AI1 de IT P S
Adquirir y mantener
AI2 software aplicativo P P S S S
Adquirir y mantener
AI3 arquitectura tecnolgica P P S
Desarrollar y mantener
AI4 Procedimientos de IT P P S S S
Instalar y acreditar
AI5 sistemas P S S
AI6 Administrar los cambios P P P P S
CRITERIOS RECURSOS
 DEFINICIN DE PROCESOS DE TI
PO1: Definir el Plan estratgico de IT
La funcin de servicios de informacin debera asegurar que hay planes a corto y largo
plazo para administrar y orientar todos los recursos de IT de la organizacin. Estos
planes deben ser actualizados de manera correcta y oportuna para adecuarlos a los
cambios de las condiciones de la IT. La evaluacin de los sistemas existentes debe
realizarse antes de desarrollar o modificar el plan estratgico de IT. As mismo, la
funcin de administracin de los servicios de informacin debe asegurar que el plan
estratgico de IT es consistente con los objetivos del negocio, y los planes a corto y
largo plazo de la organizacin.
OBJETIVOS DE CONTROL DE TI - DETALLADOS
DOMINIO PO: Planeacin y Organizacin

PROCESO: PO1: Definir el Plan Estratgico de

TI
Y tiene en
consideracin:
Objetivos de Control - Detallados
1 2 3 4 5
La TI como Enfoque y Cambios Plan corto
parte de los Plan a estructura al Plan a plazo de
planes a largo del Plan a largo la funcin
corto/largo plazo de largo plazo de plazo de
plazo de la la TI la TI de la TI servicios
empresa de TI

Evaluacin objetivos de control detallados

PRODUCTOS DE COBIT
INTERRELACIN DE LOS COMPONENTES DE COBIT
Negocio

Requerimientos Informacin

Procesos de TI

Objetivos
de Control

Implementado
con
Para resultados

Metas de Guas de Practicas

las Actividades Auditora de Control

Indicadores Indicadores
Modelo de
Clave de Clave de
Desempeo Metas
Madurez
 CONTROLES GENERALES

Desarrollo de soluciones
Controles Generales Administracin de Cambios
sobre procesos de
TI
Seguridad
Operacin del Computador

Integridad (completitud)
Controles sobre Precisin
procesos de negocio Validez
que utilizan TI Autorizacin
Segregacin de Funciones
 CONTROLES DE APLICACIN - ORIGEN
Preparacin de Datos (AC1)
Autorizacin de documentos fuente (AC2)
Recoleccin de datos fuente (AC3)
Manejo de errores en documentos fuente (AC4)
Retencin de documentos fuente (AC5)

Autorizacin Ingreso de Salida de

de Datos Datos Procesamiento Datos
de Datos
ORIGEN INPUT OUTPUT

ENTORNO CON TERCEROS

Los procedimientos de manejo de errores durante la generacin de los Los procedimientos garantizan que todos los documentos fuente
datos aseguran de forma razonable la deteccin, el reporte y la autorizados son completos y precisos, debidamente justificados y
correccin de errores e irregularidades. transmitidos de manera oportuna para su captura.

Preparacin de Datos (AC1)

Autorizacin de documentos fuente (AC2)
Recoleccin de datos fuente (AC3)
Manejo de errores en documentos fuente (AC4)
Retencin de documentos fuente (AC5)

El personal autorizado, actuando dentro de su autoridad, prepara los
documentos fuente de forma adecuada y existe una segregacin de
funciones apropiada con respecto a la generacin y aprobacin de
los documentos fuente.
Existen procedimientos para garantizar que los documentos fuente
originales son retenidos o pueden ser reproducidos por la
organizacin durante un lapso adecuado de tiempo para facilitar el
acceso o reconstruccin de datos as como para satisfacer los
requerimientos legales.

Los departamentos usuarios implementan y dan seguimiento a los

procedimientos de preparacin de datos. En este contexto, el diseo
de los formatos de entrada asegura que los errores y las omisiones
se minimicen. Los procedimientos de manejo de errores durante la
generacin de los datos aseguran de forma razonable que los
errores y las irregularidades son detectadas, reportadas y corregidas
 CONTROLES DE APLICACIN -
INPUT

Autorizacin Ingreso de Salida de

de Datos Datos Procesamiento Datos
de Datos
ORIGEN INPUT OUTPUT

ENTORNO CON TERCEROS

Los datos de transacciones, ingresados para ser procesados
Existen y se siguen procedimientos para la correccin y re-captura
(generados por personas, por sistemas o entradas de interfases)
de datos que fueron ingresados de manera incorrecta.
estn sujetos a una variedad de controles para verificar su precisin,
integridad y validez. Los procedimientos tambin garantizan que los
datos de entrada son validados y editados tan cerca del punto de
origen como sea posible.

Procedimientos de autorizacin de captura de datos (AC6)

Verificacin de precisin, integridad y autorizacin (AC7)
Manejo de errores en la entrada de datos (AC8)

Los procedimientos aseguran que solo el personal autorizado

capture los datos de entrada.
 CONTROLES DE APLICACIN - PROCESAMIENTO
Integridad en el procesamiento de datos (AC9)
Validacin y edicin del procesamiento de datos (AC10)
Manejo de errores en el procesamiento de datos (AC11)

Autorizacin Ingreso de Salida de

de Datos Datos Procesamiento Datos
de Datos
ORIGEN INPUT OUTPUT

ENTORNO CON TERCEROS

 Los procedimientos garantizan que la validacin, la
autenticacin y la edicin del procesamiento de datos se
realizan tan cerca como sea posible del punto de generacin.
Los individuos aprueban decisiones vitales que se basan en
sistemas de inteligencia artificial.
Los procedimientos de manejo de errores en el procesamiento
de datos permiten que las transacciones errneas sean
identificadas sin ser procesadas y sin una indebida
interrupcin del procesamiento de otras transacciones vlidas.

Los procedimientos para el procesamiento de datos aseguran

que la separacin de funciones se mantiene y que el trabajo
realizado de forma rutinaria se verifica. Los procedimientos
garantizan que existen controles de actualizacin adecuados,
tales como totales de control de corrida-a-corrida, y controles
de actualizacin de archivos maestros

Procedimientos de autorizacin de captura de datos

(AC6)
Verificacin de precisin, integridad y autorizacin
(AC7)
Manejo de errores en la entrada de datos (AC8)
 CONTROLES DE APLICACIN - OUTPUT
Manejo y retencin de salidas (AC12)
Distribucin de Salidas (AC13)
Cuadre y conciliacin de salidas (AC14)
Revisin de Salidas y Manejo de errores (AC13)
Provisin de seguridad para reportes de salida (AC14)

Autorizacin Ingreso de Salida de

de Datos Datos Procesamiento Datos
de Datos
ORIGEN INPUT OUTPUT

ENTORNO CON TERCEROS

 Existen procedimientos para garantizar que se mantiene la
seguridad de los reportes de salida, tanto para aquellos que
esperan ser distribuidos como para aquellos que ya estn
entregados a los usuarios.

Manejo y retencin de salidas (AC12)

Los procedimientos garantizan que tanto el proveedor como
los usuarios relevantes revisan la precisin de los reportes de
salida. Tambin existen procedimientos para la identificacin
y el manejo de errores contenidos en las salidas.
Distribucin de Salidas (AC13)
Cuadre y conciliacin de salidas (AC14)
Revisin de Salidas y Manejo de errores (AC13)
Provisin de seguridad para reportes de salida
(AC14)

Las salidas cuadran rutinariamente con los totales de control

relevantes. Las pistas de auditora facilitan el rastreo del
procesamiento de las transacciones y la conciliacin de datos
alterados.

Los procedimientos para la distribucin de las salidas de TI se

definen, se comunican y se les da seguimiento.

El manejo y la retencin de salidas provenientes de

aplicaciones de TI siguen procedimientos definidos y tienen
en cuenta los requerimientos de privacidad y de seguridad.
CONTROLES DE APLICACIN ENTORNO CON TERCEROS

Autorizacin Ingreso de Salida de

de Datos Datos Procesamiento Datos
de Datos
ORIGEN INPUT OUTPUT

ENTORNO CON TERCEROS

Autenticidad e Integridad (AC15)

Proteccin de informacin sensitiva durante su
transmisin y transporte (AC16)
 Se proporciona una proteccin adecuada contra
accesos no autorizados, modificaciones y envos
incorrectos de informacin sensitiva
durante la transmisin y el transporte.

Autenticidad e Integridad (AC15)

Proteccin de informacin sensitiva durante su
transmisin y transporte (AC16)

Se verifica de forma apropiada la autenticidad e integridad

de la informacin generada fuera de la organizacin, ya sea
que haya sido recibida por telfono, por correo de voz,
como documento en papel, fax o correo electrnico, antes
de que se tomen medidas potencialmente crticas.