AUDITORIA CON COBIT 2019

1
Universidad Nacional Mayor de San Marcos- Facultad de Ciencias Contables
AUDITORIA CON COBIT 2019

1. Introducción

La Auditoría de Sistemas de Información es un examen y validación del cumplimiento de los

controles y procedimientos utilizados para la confidencialidad, integridad y disponibilidad de los
sistemas de información.

Realizada por personal externo a la empresa, proporciona al negocio una evaluación independiente
y objetiva de los hechos que, en ocasiones es difícil de obtener cuando se está inmerso en la
operación y en presión de la problemática del día a día.

Determinar si los controles implementados son eficientes y suficientes, identificar las causas de los
problemas existentes en los sistemas de información y a su vez las áreas de oportunidad que puedan
encontrarse, determinando las acciones preventivas y correctivas necesarias para mantener a los
sistemas de informaciones confiables y disponibles.

Tiene por finalidad identificar causas y soluciones a problemas específicos de los sistemas de
información, que pueden estar afectando a la operación y a las estrategias del negocio. Por ejemplo:

• Cumplimiento de licencias de software (identificar software pirata, control de licencias).

• Incompatibilidad del hardware y software.
• Errores frecuentes de la aplicación (“caída”, resultados inexactos, lentitud).
• Bases de Datos con problemas de integridad.
• Bajo desempeño del hardware y software.
• Proyectos con retrasos o que “nunca terminan”.
• Insatisfacción de los usuarios para con los sistemas de información.
• Corrección frecuente a los programas de las aplicaciones.
• Fallas en el control de versiones.

2
Universidad Nacional Mayor de San Marcos- Facultad de Ciencias Contables
AUDITORIA CON COBIT 2019

CAPITULO I

1.1. Descripción De La Empresa

Ferreyros es la empresa líder en la comercialización de bienes de capital en el país y en la

provisión de servicios en este ámbito. Integrante de la corporación Ferreycorp, es distribuidora
de Caterpillar desde 1942, así como de otras prestigiosas marcas

- Misión

Proveer las soluciones que cada cliente requiere, facilitándole los bienes de capital y servicios
que necesita para crear valor en los mercados en los que actúa.

- Visión

Fortalecer nuestro liderazgo siendo reconocidos por nuestros clientes como la mejor opción, de
manera que podamos alcanzar las metas de crecimiento.

- HISTORIA

• Enrique Ferreyros Ayulo y un pequeño grupo de socios fundaron en 1922 la empresa Enrique
Ferreyros y Cía. Sociedad en Comandita, la cual se dedicó en sus primeros años de operación a
la comercialización de productos de consumo masivo.

• Veinte años más tarde, la empresa experimentó un giro trascendental, cuando tomó la
decisión de asumir la representación de Caterpillar Tractor Co. en el Perú. A partir de entonces,
la compañía incursionó en nuevos negocios y comenzó a redefinir su cartera de clientes,
marcando así el futuro desarrollo de toda la organización.

• Dos décadas después, en la década de los 60, otras líneas de máquinas y equipos como Massey
Ferguson le encomendaron su representación. Asimismo, fue en 1962 que la empresa concretó
su inscripción en la Bolsa de Valores de Lima, convirtiéndose en una compañía de accionariado
difundido.

• En 1981, la empresa se transformó en sociedad anónima, como parte de un proceso de

modernización a fin de reflejar la nueva estructura accionaria.

• Ello la llevó finalmente a convertirse, en 1998, en una sociedad anónima abierta bajo la
denominación de Ferreyros S.A.A.

Ferreyros S.A. cuenta con un equipo de personal técnico y una completa infraestructura de
talleres, oficinas, salas de capacitaciones, escuelas de operadores, distribuidos en una superficie
de 550,000 metros, ubicados en diferentes distritos del país como Surco y Callao.

3
Universidad Nacional Mayor de San Marcos- Facultad de Ciencias Contables
AUDITORIA CON COBIT 2019

Ferreyros S.A. tiene oficinas en Perú equipadas con sistemas de comunicación, y tiene
información que permite la emisión de cotizaciones, coordinación las compras de maquinarias
pesada a CATERPILLAR, venta de la mismas, transporte de materiales vía terrestre, hacia las
provincias. .

Ferreyros S.A. tiene como objetivos de la automatización el mejorar los tiempos de respuesta y
mantener una información integra.

En Ferreyros S.A. la unidad informática es un departamento que está ubicado bajo la Gerencia
General.

1.1.1. Organigrama

4
Universidad Nacional Mayor de San Marcos- Facultad de Ciencias Contables
AUDITORIA CON COBIT 2019

1.1.2. Diseño de la Red Ferreyros S.A.

5
Universidad Nacional Mayor de San Marcos- Facultad de Ciencias Contables
AUDITORIA CON COBIT 2019

1.2. Definición del Problema

El sistema informático y computacional es manejado totalmente desde Perú por el Jefe de

Tecnología y el equipo que maneja y tiene a su cargo, los daños que se dieran en las otras oficinas
se los arregla vía email, por VPN o si es un daño mayor se lo estudia y se toma la decisión

El problema que presentan los sistemas en la actualidad es la calidad de la información que los
reportes finales tienen, debido a que muchas veces presenta errores materiales en la toma de
decisiones por parte de la gerencia general.

El problema surge por el sistema DBS, el cual es un sistema propio de CATERPILLAR el cual es un
sistema obligatoria que usa toda la compañía por mandato de los socios de EEUU, ya que es una
sistema propio de la empresa.

Otro punto relevante está relacionado con el presupuesto que se asigna a la unidad informática se
lo hace de acuerdo a las necesidades planteadas por el Jefe de Tecnología y durante el año, si
existiera un daño de hardware, se invierte en este rubro, para lo que implica mejoramiento del
software no existe un plan realizado o presupuesto asignado.

Desde el punto de vista del nivel gerencial, los sistemas informáticos de Ferreyros S.A. se encuentran
funcionando de manera adecuada, pero hasta la fecha no se ha realizado ninguna auditoría que
pueda verificar e informar sobre el real y correcto funcionamiento de la unidad informática.

El Jefe de Tecnología observa que los sistemas informáticos funcionan bien pero siempre hay cosas
que se pueden mejorar y fallas que muchas veces no están a la vista, en lo que se refiere al desarrollo
de software la inexistencia de documentación le causa retraso en la corrección de errores.

Los usuarios de los sistemas informáticos de Ferreyros S.A. están seguros que en el departamento
de tecnología tienen un soporte siempre, pero los sistemas informáticos les causa algunos
problemas por la falta de capacitación.

6
Universidad Nacional Mayor de San Marcos- Facultad de Ciencias Contables
AUDITORIA CON COBIT 2019

EL ESTANDAR COBIT 2019 COMO METODOLOGIA

COBIT (Control Objetives Information Tecnologies - Objetivo de Control para

Tecnología de Información), constituye la tercera edición de los Objetivos de Control
cuyo editor principal fue el Instituto de Gobierno de TI, creando así una herramienta
de Gobierno de TI, que vincula la tecnología informática y prácticas de control,
además consolida estándares de fuentes globales confiables en un recurso esencial
para la administración (gerencia), los usuarios (profesionales de control) y los
auditores.
COBIT está basado en la filosofía de que los recursos de TI necesitan ser
administrados por un conjunto de procesos naturalmente agrupados para proveer
la información pertinente y confiable que requiere una organización para lograr sus
objetivos.
El organismo de Control y Auditoría, ISACA (Information Systems Audit And Control
Association) y el Comité Directivo de COBIT han definido la misión del estándar así:
“Investigar, desarrollar, publicar y promover un conjunto de objetivos de control en
tecnología de información con autoridad, actualizados, de carácter internacional y
aceptados generalmente para el uso cotidiano de gerentes de empresas y
auditores.”

ALCANCE

Orientado al negocio (Gerencia).

Alineado con estándares y regulaciones de hecho y de derecho.
Basado en normas revisadas crítica y analíticamente para ser aceptadas en las
tareas y actividades de TI.
Alineado con estándares de control y auditoría (COSO, IFAC, IIA, ISACA, AICPA).
Aplicable a las funciones de Servicios de Sistemas de Información de toda la
empresa.

7
Universidad Nacional Mayor de San Marcos- Facultad de Ciencias Contables
AUDITORIA CON COBIT 2019

Partes Interesadas internas y externas

COBIT 2019 es útil para diferentes miembros o entes dentro y fuera de una
organización, así:
La Gerencia: en lo referente a la toma de decisiones de inversión en TI y control,
para analizar el costo-beneficio del control en un ambiente de riesgos impredecibles.
Los Usuarios Finales: para contar con una garantía sobre la seguridad, calidad y el
control de los productos de TI internos y adquiridos.
Los Auditores internos y externos: para apoyar sus opiniones sobre los controles de
los proyectos de TI, su injerencia en la empresa y determinar el nivel de control
requerido.

Marco de Referencia
El Marco referencial COBIT se fundamenta en que el enfoque de control en TI se
lleva a cabo visualizando la información necesaria para dar soporte a los procesos
de negocio. La información es el resultado de la aplicación combinada de recursos
relacionados con la Tecnología de Información, que deben ser administrados por
procesos de TI. Para satisfacer los objetivos del negocio, la información necesita
concordar con ciertos criterios a los que COBIT hace referencia como
Requerimientos de Negocio para la información.

COBIT ha definido los siguientes Requerimientos del Negocio:

1. REQUERIMIENTOS DE CALIDAD: Calidad, Costo, Entrega de Servicio.

2. REQUERIMIENTOS FIDUCIARIOS: Efectividad y Eficiencia de Operaciones,
Confiabilidad de la Información, Cumplimiento de las Leyes y Regulaciones.
3. REQUERIMIENTOS DE SEGURIDAD: Confidencialidad, Integridad,
Disponibilidad.

NIVELES DEL MARCO REFERENCIAL

Se agrupan en Dominios, Objetivos y Actividades.

8
Universidad Nacional Mayor de San Marcos- Facultad de Ciencias Contables
AUDITORIA CON COBIT 2019

Son 40 Objetivos de Control de alto nivel, definidos para cada uno de los Objetivos
de Gobierno y Gestión de la I & T, agrupados en cinco dominios:

Evaluar, Dirigir y Monitorizar (EDM): En este dominio, el organismo de gobierno

evalúa las opciones estratégicas, direcciona a la alta gerencia con respecto a las
opciones estratégicas elegidas y monitoriza la consecución de la estrategia .

Alinear, Planificar y Organizar (APO): Aborda la organización general, estrategia

y actividades de apoyo para las I&T.

Construir, Adquirir e Implementar (BAI): Se encarga de la definición, adquisición

e implementación de soluciones de I&T y su integración en los procesos de negocio.

Entregar, Dar Servicio y Soporte (DSS): Aborda la ejecución operativa y el soporte

de los servicios de I&T, incluida la seguridad.

Supervisar, Evaluar y Valorar (MEA): Aborda la monitorización y la conformidad

de I&T con los objetivos de desempeño interno, los objetivos de control interno y
los requerimientos externos.

9
Universidad Nacional Mayor de San Marcos- Facultad de Ciencias Contables
AUDITORIA CON COBIT 2019

PUESTA EN MARCHA DEL PLAN DE AUDITORÍA

El desarrollo del plan de auditoría se enfocará en la elaboración del programa de

auditoría para cada uno de los procesos de cada objetivo de los dominios detallado
en el cual se determinará los factores de riesgo aplicados al objetivo en cuestión.
A partir de éste y tomando como base los Objetivos COBIT 2019 se desarrollará la
matriz de pruebas en la cual se definirán las pruebas específicas que han de ser
aplicadas para determinar el cumplimiento del objetivo de control detallado.

10
Universidad Nacional Mayor de San Marcos- Facultad de Ciencias Contables
PROGRAMA DE AUDITORÍA APO13

Dominio: Alinear, Planificar y Organizar:

APO13 Gestionar la Seguridad
Descripción: Definir, operar y monitorizar un sistema de gestión de seguridad de la información.
Propósito: Mantener el impacto y la ocurrencia de incidentes de seguridad de la información dentro de los niveles de apetito de riesgo de la empresa.
Proceso:
Práctica de Gestión: APO13.02
Definir y gestionar un plan de tratamiento de riesgos de seguridad de la información y privacidad.
Mantener un plan de seguridad de la información que describa cómo se debe manejar el riesgo de seguridad de la información y cómo se
debe alinear con la estrategia y la arquitectura de la empresa. Asegurar que las recomendaciones para implementar mejoras a la seguridad
se basen en casos de negocio aprobados, implementados como una parte integral del desarrollo de servicios y soluciones, y que operen
como una parte integral de la operación del negocio.
Actividades de Gestión Factores de Riesgo
1. Formular y mantener un plan de tratamiento de riesgos de seguridad de la
información alineado con objetivos estratégicos y la arquitectura empresarial.
Asegurar que el plan identifique las prácticas de gestión y las soluciones de
seguridad apropiadas y óptimas, con los recursos, responsabilidades y No establecer y mantener un SGSI que proporcione un enfoque
prioridades asociados para la gestión de los riesgos de seguridad de la estándar, formal y continuo de la gestión de seguridad de
información identificados. información, permitiendo asegurar que los procesos
2. Mantener, como parte de la arquitectura de la empresa, un inventario de tecnológicos y empresariales estén alineados con los
los componentes de la solución establecida para gestionar los riesgos requerimientos del negocio y la gestión de seguridad de la
relacionados con la seguridad. empresa.
3. Desarrollar propuestas para implementar el plan de tratamiento de riesgos
de seguridad, apoyadas por casos de negocio apropiados que incluyan
No existen procedimientos definidos, como políticas,
consideraciones de financiación y asignación de roles y responsabilidades.
4. Proporcionar aportes para el diseño y desarrollo de prácticas y soluciones para el manejo de acciones en caso de problemas de
de gestión, seleccionadas en el plan de tratamiento de riesgos de seguridad seguridad.
de la información.
5. Implementar programas de formación y concienciación sobre seguridad Falta de planes de contingencia específicos para el
de la información y privacidad. manejo de incidentes de seguridad.
6. Integrar la planificación, diseño, implementación y monitorización de
procedimientos de seguridad de la información y privacidad y otros controles
capaces de permitir la prevención, detección rápida de eventos de seguridad
y la respuesta a incidentes de seguridad.
AUDITORIA CON COBIT 2019

Ref. Cobit 5 Risk

Universidad Nacional Mayor de San Marcos-

Facultad de Ciencias Contables
1
AUDITORIA CON COBIT 2019

Universidad Nacional Mayor de San Marcos-

Facultad de Ciencias Contables
2
AUDITORIA CON COBIT 2019

Ref. Cobit 5 Risk

Universidad Nacional Mayor de San Marcos-

Facultad de Ciencias Contables
3
AUDITORIA CON COBIT 2019

MATRIZ DE PRUEBAS

Dominio: Alinear, Planificar y Organizar:

APO13 Gestionar la Seguridad

OBJETIVO DE LA PRACTICA DETALLADA REVISION A TRAVES DE: DESCRIPCION DE LA

PRUEBA

APO13.02 Implementar y gestionar un Evaluación de la práctica:

plan de tratamiento del riesgo de la Obtención documentaría de la existencia de políticas que Revisión documentaria de
seguridad de la información. determinen los roles y responsabilidades para todo el las políticas contra riesgos.
personal dentro de la organización con respecto a
La Gerencia deberá asignar formalmente sistemas de información, control interno y seguridad. Evaluación de los
la responsabilidad de la seguridad lógica y cuestionarios.
física de los activos de información de la Entrega de cuestionarios sobre la práctica.
organización a un Gerente de seguridad Evaluación de los perfiles de
de la información, quien reportará a la alta Documentación de los perfiles de riesgos. riesgos.
gerencia.
Un perfil de riesgo es una descripción de los riesgos globales
Como mínimo, la responsabilidad de la (identificados) a los que la organización está expuesta. Un perfil Entrevista al Gerente de TI.
Gerencia de seguridad deberá de riesgo consiste en:
establecerse a todos los niveles de la Registro de riesgos
- Escenarios de riesgo
Verificación que el personal
organización para manejar los problemas - Análisis de riesgos de seguridad revisa los
generales de seguridad en la Plan de acción de riesgos sistemas operativos y los
organización. Eventos de pérdidas (histórico y actual) sistemas de aplicación
Factores de riesgo esenciales.
En caso necesario, deberán asignarse Hallazgos en evaluaciones independientes
responsabilidades gerenciales de Cobit 5 Risk. Pág. 159.
seguridad adicionales a niveles
específicos con el fin de resolver los
problemas de seguridad relacionados con
ellos.

Universidad Nacional Mayor de San Marcos-

Facultad de Ciencias Contables
4
 Dominio: Construir, adquirir e Implementar
BAI01 Gestionar los Programas
Descripción: Gestionar todos los programas del portafolio de inversión, de conformidad con la estrategia de la empresa y de forma coordinada, según un
enfoque de gestión de programas estándar. Iniciar, planificar, controlar y ejecutar programas, y monitorizar el valor esperado del programa.
Propósito: Obtener el valor de negocio deseado y reducir el riesgo de retrasos, costes y erosión de valor inesperados. Para ello, mejorar las
comunicaciones y la participación del negocio y usuarios finales, garantizar el valor y la calidad de los entregables del programa y realizar un seguimiento de
los proyectos dentro de los programas, y maximizar la contribución del programa al portafolio de inversiones.
Proceso:
Práctica de Gestión: BAI01.01
Mantener un enfoque estándar en la gestión de programas.
Mantener un enfoque estándar para la gestión de programas que permita la revisión del gobierno y la gestión, la toma de decisiones y las actividades de
gestión de la entrega. Estas actividades deben centrarse de consistentemente en el valor y los objetivos de la empresa (es decir, los requisitos, riesgo,
costos, calendario y objetivos de calidad).
Actividades de Gestión Factores de Riesgo
1. Mantener y hacer cumplir una estrategia estándar de gestión de programas,
alineada con el entorno específico de la empresa y con buenas prácticas, basadas
en procesos definidos y al uso apropiado de la tecnología. Asegurar que la estrategia
cubra todo el ciclo de vida y las disciplinas a seguir, incluida la gestión del alcance
de recursos, riesgo, costo, calidad, tiempo, comunicación, participación de las partes No mantener un enfoque estándar para la gestión de programas y
interesadas, adquisiciones, control de cambio, integración y obtención de beneficios. proyectos que permita actividades de toma de decisiones y de gestión de
la entrega concentrándose en la realización del valor y en los objetivos
2. Establecer una oficina de programas o una oficina de gestión de proyectos (PMO) (requisitos, riesgos, costos, horario, calidad) para el negocio con la
que mantenga una estrategia estándar para la gestión de programas y proyectos en gobernanza de manera coherente y con la revisión por parte de la
toda la organización. La PMO respalda todos los programas y proyectos mediante la dirección.
creación y el mantenimiento de plantillas de documentación de proyectos requeridos, Cobit 5 Risk Pág. 220.
formación y mejores prácticas para los gestores de programa/proyecto, seguimiento
de las métricas sobre el uso de las mejores prácticas para la gestión de proyectos,
etc. En algunos casos, la PMO podría también informar del progreso del
programa/proyecto a la alta dirección y/o las partes interesadas, ayudar a priorizar
proyectos y asegurar que todos los proyectos respaldan los objetivos globales de
negocio de la empresa.

3. Evaluar las lecciones aprendidas con base en el uso de la estrategia de gestión

de programas y actualizar la estrategia, según sea necesario.
AUDITORIA CON COBIT 2019

MATRIZ DE PRUEBAS

Dominio: Construir, adquirir e Implementar

BAI01 Gestionar los Programas

OBJETIVO DE LA PRACTICA DETALLADA REVISION A TRAVES DE: DESCRIPCION DE LA PRUEBA

BAI01.01 Mantener un enfoque estándar en
la gestión de programas Evaluación de la práctica:
Establecer un marco de trabajo continuo de
gestión de programas para la administración Recopilación documentaria de marcos de trabajo y enfoques de Revisión de la documentación
de todos los proyectos de i&T establecidos. El programas y de proyectos para la I & T.
marco de trabajo debe garantizar la correcta Recopilación de de directrices de la gestión de los programas.
Entrevista al Gerente de TI.
asignación de prioridades y la coordinación de Recopilación de la planeación de proyectos para todos los proyectos
todos los proyectos. El marco de trabajo debe incluidos en el portafolio de proyectos
incluir un plan maestro, asignación de Evaluar el beneficio.
recursos, definición de entregables,
aprobación de los usuarios, un enfoque de
entrega por fases, aseguramiento de la
calidad, un plan formal de pruebas, revisión de
pruebas y post-implantación después de la
instalación para garantizar la administración de
los riesgos del proyecto y la entrega de valor
para el negocio. Este enfoque reduce el riesgo
de costos inesperados y de cancelación de
proyectos, mejora la comunicación y el
involucramiento del negocio y de los usuarios
finales, asegura el valor y la calidad de los
entregables de los proyectos, y maximiza la
contribución a los programas de inversión
facilitados por TI. COBIT 4.1 Pág. 67.

1
Universidad Nacional Mayor de San Marcos- Facultad de Ciencias Contables
AUDITORIA CON COBIT 2019

Dominio: Entregar, dar Servicio y Soporte

DSS04 Gestionar la Continuidad
Descripción: Establecer y mantener un plan que permita a las organizaciones empresariales y a TI responder a los incidentes y adaptarse
rápidamente a las interrupciones. Esto permitirá la operación continua de los procesos críticos de negocio y de los servicios de I&T necesarios,
y mantener la disponibilidad de recursos, activos e información en un nivel aceptable para la empresa.
Propósito: Adaptarse rápidamente, continuar con las operaciones del negocio y mantener la disponibilidad de los recursos y la información a
un nivel aceptable para la empresa en caso de una interrupción significativa (p.ej., amenazas, oportunidades, demandas).
Proceso:
Práctica de Gestión: DSS04.01
Definir la política de continuidad del negocio, sus objetivos y alcance.
Definir la política y alcance de la continuidad del negocio, alineado con los objetivos de la empresa y de las partes interesadas, para mejorar la
estabilidad del negocio.
Actividades de Gestión Factores de Riesgo
1. Identificar procesos de negocio y actividades de servicio interno y Pérdidas económicas para empresa.
externalizados que son críticos para las operaciones empresariales o Pérdida reputacional.
necesarios para satisfacer las obligaciones legales y/o contractuales. Demora en la recuperación o pérdida de los servicios de
2. Identificar partes interesadas clave y los roles y responsabilidades para red.
definir y acordar la política y el alcance de continuidad.
3. Definir y documentar los objetivos de política mínimos acordados y el
Pérdida o daño de información crítica.
alcance de la estabilidad del negocio. Plan de continuidad no actualizado, incompleto o ………..
4. Identificar procesos de negocio de soporte esenciales y servicios de I&T Plan de contingencia no actualizado e incompleto.
relacionados.

2
Universidad Nacional Mayor de San Marcos- Facultad de Ciencias Contables
AUDITORIA CON COBIT 2019

Dominio: Entregar, dar Servicio y Soporte

DSS04 Gestionar la Continuidad

OBJETIVO DE LA PRACTICA DETALLADA REVISION A TRAVES DE: DESCRIPCION DE LA

PRUEBA

DSS04.01 Definir la política de continuidad del negocio, Evaluación de la práctica Entrevista al Gerente de TI.
sus objetivos y alcance
Establecer y mantener un plan para permitir al Recopilación documental de los planes de contingencia Revisión de los Planes de
negocio y a TI responder a incidentes e interrupciones de TI. Contingencia existentes.
de servicio para la operación continua de los procesos Recopilación documental del entrenamiento y pruebas de
críticos para el negocio y los servicios TI requeridos y los planes de contingencia de TI
Revisión documental del plan de
Recopilación documental del plan de continuidad del
mantener la disponibilidad de la información a un nivel continuidad del negocio.
negocio.
aceptable para la empresa.
Asegurar el mínimo impacto al negocio en caso de una
interrupción de servicios de TI. Cobit 4.1
La Gerencia de TI deberá asegurar que se desarrolle
un plan escrito conteniendo:
- Guías sobre la utilización del Plan de Continuidad;
- Procedimientos de emergencia para asegurar la
integridad de todo el personal afectado;
- Procedimientos de respuesta definidos para regresar
al negocio al estado en que se encontraba antes del
incidente o desastre;
- Procedimientos para salvaguardar y reconstruir las
instalaciones;
- Procedimientos de coordinación con las autoridades
públicas;
- Procedimientos de comunicación con los socios y
demás interesados: empleados, clientes clave,
proveedores críticos, accionistas y gerencia; e
- Información crítica sobre grupos de continuidad,
personal afectado, clientes, proveedores, autoridades
públicas y medios de comunicación.

3
Universidad Nacional Mayor de San Marcos- Facultad de Ciencias Contables
AUDITORIA CON COBIT 2019

Dominio: Monitorizar, Evaluar y Valorar

MEA03 Supervisar, Evaluar y Valorar con los requerimientos externos
Descripción: Evaluar si los procesos de I&T y los procesos de negocio apoyados por I&T cumplen con las leyes, regulaciones y
requisitos contractuales. Asegurar que los requisitos se han identificado y cumplido; integrar el cumplimiento de TI con el cumplimiento
general de la empresa.
Propósito: Asegurarse de que la empresa cumpla con todos los requisitos externos aplicables.
Evaluar el cumplimiento de requisitos regulatorios y contractuales tanto en los procesos de TI como en los procesos de
negocio dependientes de las tecnologías de la información. Obtener garantías de que se han identificado, se cumple con los
requisitos y se ha integrado el cumplimiento de TI en el cumplimiento de la empresa general.
Proceso:
Práctica de Gestión: MEA03.01
Supervisar de forma continua los cambios en las leyes y regulaciones locales e internacionales, así como otros requisitos externos e
identificar las obligaciones para el cumplimiento desde una perspectiva de I&T.
Actividades de Gestión Factores de Riesgo
1. Asignar la responsabilidad de identificar y supervisar los cambios en los Pérdidas económicas para empresa.
requisitos legales, regulatorios y otros requisitos contractuales externos, ……………………………………….
relevantes para el uso de recursos de TI y el procesamiento de la información Mala reputación
dentro de las operaciones empresariales y de TI. Fiscalización por entes reguladores
2. Identificar y evaluar todos los posibles requisitos de cumplimiento y su
impacto en las actividades de I&T, en áreas como flujo de datos, privacidad,
Auditorías internas y externas
controles internos, informes financieros, regulaciones específicas de la
industria, propiedad intelectual, salud y seguridad en el trabajo.
3. Evaluar el impacto de los requisitos legales y regulatorios relacionados con
I&T sobre contratos con terceros relacionados con las operaciones de TI,
proveedores de servicio y otros socios comerciales de negocios.
4. Definir las consecuencias del incumplimiento.
5. Obtener asesoría independiente cuando corresponda, sobre los cambios en
la legislación, regulaciones y estándares vigentes.
6. Mantener un registro actualizado de todos los requisitos legales, regulatorios
y contractuales; de su impacto y las acciones requeridas.
7. Mantener un registro global, armonizado e integrado, de los requisitos de
cumplimiento externo para la empresa.

4
Universidad Nacional Mayor de San Marcos- Facultad de Ciencias Contables
AUDITORIA CON COBIT 2019

Dominio: Monitorizar, Evaluar y Valorar

MEA03 — Gestionar el cumplimiento de los requisitos externos

OBJETIVO DE LA PRACTICA DETALLADA REVISION A TRAVES DE: DESCRIPCION DE LA PRUEBA

MEA03.01 Identificar los requisitos externos de Evaluación de la práctica Entrevista al Gerente de TI.
cumplimiento.
Identificar y valorar la totalidad de
Identificar y supervisar, de manera continuada, Recopilación documental de leyes locales e los posibles requisitos de
cambios en las legislaciones y regulaciones internacionales, regulaciones, y otros requerimientos cumplimiento y su impacto sobre
tanto locales como internacionales, así como externos que se deben de cumplir para incorporar en las las actividades de TI en ámbitos
otros requisitos externos de obligado políticas, procedimientos y metodologías de I&T de la como los flujos de datos, la
cumplimiento en el área de TI. organización. privacidad, los controles internos,
los informes financieros, la
regulación sectorial, la propiedad
intelectual y la seguridad de la
información.
Valorar el impacto de los
requisitos legales y regulatorios
relacionados con TI sobre los
contractos con terceros que
afecten a las operaciones de I&T,
los proveedores de servicio y los
socios de negocio.
Verificar la existencia de un
inventario actualizado de los
requisitos legales, regulatorios y
contractuales aplicables, su
impacto y las acciones necesarias.

5
Universidad Nacional Mayor de San Marcos- Facultad de Ciencias Contables
AUDITORIA CON COBIT 2019

6
Universidad Nacional Mayor de San Marcos- Facultad de Ciencias Contables
AUDITORIA CON COBIT 2019

7
Universidad Nacional Mayor de San Marcos- Facultad de Ciencias Contables
AUDITORIA CON COBIT 2019

8
Universidad Nacional Mayor de San Marcos- Facultad de Ciencias Contables
GARANTIZAR LA SEGURIDAD EN LOS SISTEMAS

Guías de Auditoría:

Considerando si:

• Se cuenta con un plan de seguridad estratégico que proporcione una dirección y control
centralizados sobre la seguridad de los sistemas de información, así como requerimientos de
seguridad de usuario, como soporte.

• Se cuenta con perfiles de seguridad de usuario que representen “los menos accesos requeridos”
y que muestren revisiones regulares a los perfiles por parte de la administración

• El entrenamiento de los empleados incluye un conocimiento y conciencia sobre seguridad, las

responsabilidades de los propietarios y los requerimientos de protección contra virus.
• El número de sesiones concurrentes correspondientes al mismo usuario están limitadas.

• El acceso a los datos de seguridad así como la administración de la seguridad, datos de

transacciones sensitivas, passwords y llaves criptográficas se limita a la base de la “necesidad
de conocer”.

• Se utilizan rutas confiables para transmitir información sensitiva no

encriptada.

• Las medidas de control detectivo y preventivo han sido establecidas por la administración
para prevenir y detectar virus de computador.

Probando que:
• TI cumple con los estándares de seguridad relacionados con:
o Autenticación y acceso.
o Administración de perfiles de usuario y clasificación de la seguridad de datos.
o Reportes y revisión gerencial de las violaciones e incidentes de seguridad.
o Estándares de administración de llaves criptográficas.
o Detección, resolución y comunicación sobre virus.
o Clasificación y propiedad de datos.

• Existen procedimientos para la requisición, establecimiento y mantenimiento del acceso de

usuarios al sistema.
 Evaluación de la tecnología de la información Ferreyros S.A

• Los parámetros de seguridad del sistema operativo tienen como base estándares locales/del
proveedor.

• Las prácticas de administración de seguridad de la red son comunicadas, comprendidas e

impuestas.

• Existen llaves secretas para la transmisión.

• Los procedimientos para la protección contra software malicioso incluyen:
o Todo el software adquirido por la organización se revisa contra los virus antes de su
instalación y uso.
o Existe una política por escrito sobre descargue de archivos, aceptación y uso de
software, freeware y shareware y esta política está vigente.

o El software para aplicaciones altamente sensibles está protegido por MAC (Messsage
Authentication Code- Código de Autentificación de Mensajes) o firma digital, y se
utilizan mecanismos, fallas de verificación para evitar el uso del software.

o Los usuarios tienen instrucciones para la detección y reportes de virus, como el

desempeño lento o crecimiento misterioso de archivos.
o Existe una política y un procedimiento vigente para la verificación de disquetes
obtenidos por fuera del programa de compra normal de la organización.

1
Universidad Nacional Mayor de San Marcos- Facultad de Ciencias Contables
 Evaluación de la tecnología de la información Ferreyros S.A

Técnicas de Auditoría

2
Universidad Nacional Mayor de San Marcos- Facultad de Ciencias Contables