Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Metodología de
Control Interno e
Informe de
Auditoría
1. Metodologías de Control
Interno, Seguridad y Auditoría
Informática.
1.1. Introducción y Definiciones.
Estándar: 1. adj. Que sirve como tipo, modelo, norma, patrón o referencia.
1
De estas definiciones se aprende que cualquier proceso científico debe
estar sujeto a una disciplina de proceso, denominada ―metodología‖. La
metodología es una palabra compuesta por los vocablos griegos metà, que
significa ―más allá‖, odòs, que significa ―camino‖, y por logos que
significa ―estudio‖. Por lo que se refiere a los métodos de investigación
para lograr los objetivos de la ciencia.
2
1.2. Contramedidas.
La auditoría cumple un papel fundamental en la verificación de los riesgos
existentes y potenciales de los sistemas de información, la doctrina de la
gestión de estos riesgos constituye la seguridad informática. Es por esto
que el grado de seguridad es un objetivo a evaluar en las auditorías
informáticas, se deben verificar las medidas y acciones existentes para
proteger la integridad de la información de la organización. Estas
ac=vidades se denominan ―contramedidas‖ y están directamente
relacionadas con la calidad y la eficacia del sistema de información que la
auditoría se encarga de evaluar.
3
Figura 1. Factores que componen una contramedida. Fuente: Piattini – Del Peso
4
• La Organización: se refiere a las funciones, los procedimientos y los
planes diseñados para las personas que componen la organización.
El personal constituye el aspecto más importante de las
contramedidas, debido a que son ellos los que ejecutan las
actividades de los controles establecidos para la seguridad. Se
puede contar con los mejores diseños de seguridad, pero si los
mismos no son acatados y cumplidos, pierden totalmente su
sentido de existencia.
• Los Objetivos de Control: son los objetivos que deben cumplir los
controles de seguridad. El hecho de que los procedimientos sea
eficaces y realistas dependen en gran medida de la correcta
definición de estos objetivos.
5
1.3. Relación entra la Seguridad, la
Auditoría Interna y el Control Interno.
Dentro del departamento de sistemas (también denominado TI por
Tecnologías de la Información) existe la función de seguridad TI.
Dependiendo del tamaño de la organización esta función puede poseer su
propio departamento o estar dentro de las responsabilidades del gerente
de sistemas. Una tendencia es a forma un comité de seguridad formado
por el directorio de la entidad, los responsables del control interno y los
auditores internos. Estos integrantes poseen puntos de vista y
responsabilidades diferentes frente a la seguridad informática, así como
distintas funciones y métodos de trabajos.
6
Figura2.Organización interna de laseguridad informática. Fuente:Piattini– Del Peso.
7
1.4. Metodologías en la Evaluación de
Sistemas.
Podemos clasificar a las metodologías para la evaluación de los sistemas de
información en dos grandes categorías:
8
ser excesivo en relación con los beneficios que otorga para la empresa el
ente que se desea proteger.
• Evitarlos.
• Transferirlos.
• Reducirlos.
• Asumirlos.
9
1.5.2. Metodologías Cualitativas.
Estás metodologías están fundadas en el criterio y el raciocinio humano
para seleccionar la forma de trabajo en base a la experiencia profesional
acumulada. Se basan en métodos estadísticos y en lógica difusa, es decir en
lo relativo a la observación de las personas y en el juicio de experto. Estás
metodologías requieren menos recursos que las metodologías
cuantitativas pero necesitan de un profesional experimentado para
llevarlas a cabo.
10
En el caso de las metodologías para las auditorías internas, es el mismo
auditor interno quien debe diseñar y desarrollar la metodología a ser
utilizada. Esto es así debido a que esta persona es parte de la organización
a ser auditada y es necesaria su experiencia y conocimiento de la misma.
11
• Las Relaciones entre los Departamentos: se deben conocer las
relaciones jerárquicas y funcionales que puedan existir entre los
organismos de la organización, a fin de verificar el cumplimiento y
las falencias de tales relaciones.
12
Bases de Datos: la información que el auditor tiene que conocer incluye al
volumen, la antigüedad y la complejidad de las aplicaciones,
conjuntamente con la metodología de diseño de las aplicaciones, la
documentación del sistema y la complejidad de las bases de datos. Los
datos útiles de las bases de datos comprenden al tamaño, las
características, el tipo de relación, como también la cantidad de accesos y
frecuencia de actualización. Con estos datos el auditor puede obtener una
mejor comprensión de la carga informática del sistema.
13
Con el plan desarrollado se pasa a la elaboración del programa de
actividades que compondrán la auditoría. Esta programación debe abarcar
a todas las actividades a ejecutarse en los procedimientos previamente
definidos, y brindar el orden y las prioridades de su realización.
• Fecha de la auditoría.
14
1.6.1.7. Paso 7: Carta de Presentación.
15
• Seguimiento de Acciones Correctivas: punto fundamental para que
se lleven a la práctica las sugerencias de corrección del auditor.
16
Entre algunas consideraciones a tener en cuenta con respecto al control, se
puede indicar que el control interno es solo un proceso, no un fin en sí
mismo. El control interno no es meramente documentación en los
manuales de políticas, sino que existe para el uso del personal en todos los
niveles de la organización. El control interno puede proveer sólo un
aseguramiento razonable, no un aseguramiento absoluto sobre una
entidad. En fin, el control interno se enfoca en el cumplimiento de
objetivos en una o más categoría separadas pero superpuestas.
17
También, la declaración que ―el control interno puede garantizar la
fiabilidad de la información financiera y el cumplimiento de las leyes y
regulaciones‖ no es totalmente garantida. No importa qué tan bien esté
concebido y operado un sistema de control interno, puedeproporcionar
garantía sólo razonable, no absoluta, a la gerencia y dirección relativa a la
consecución de los objetivos de la organización. La probabilidad de la
información del desempeño se vea afectada por las limitaciones inherentes
en todos los sistemas de control interno. Estas incluyen la realidad de que
los juicios en la toma de decisiones pueden ser defectuosos, y que los
desperfectos pueden ocurrir debido a simple error o equivocación.
Además, los controles pueden ser evitados con un arreglo entre dos o más
personas deshonestas, y los gerentes pueden poseer la capacidad de
anular el sistema. Otro factor limitante es que el diseño de un sistema de
control interno debe reflejar el hecho de que hay limitaciones de recursos,
y los beneficios de los controles deben ser considerados en relación con sus
costos.
18
En una organización más pequeña, la influencia del director ejecutivo, a
menudo un socio propietario, suele ser más directa. En cualquier caso, en
una estructura de responsabilidad en cascada, un gerente es efectivamente
un director ejecutivo de su esfera de responsabilidad. De particular
importancia son los responsables financieros y su personal, cuyas
actividades de control van a través, así como arriba y abajo, de las
operaciones y otras unidades de la empresa.
Otro enfoque puede incluir una revisión inicial de las políticas corporativas
y de negocios, así como los programas de auditoría interna. Cualquiera sea
su forma, esta evaluación inicial debe determinar dónde se necesite, y
cómo se debe proceder, con evaluaciones más profundas. También debe
asegurar que los procesos de monitoreo continuo están establecidos. El
tiempo que se dedique a evaluar el control interno representa una
inversión con un alto grado de retorno.
19
1.8.1.2. Consejo Directivo.
20
Algunas partes externas a la organización a menudo contribuyen a que esta
alcance sus objetivos. Los auditores externos, con su punto de vista
independiente y objetivo, asisten directamente con sus auditorías e
indirectamente al proveer información útil a la gerencia y a los directores,
para que estos puedan llevar a cabo sus responsabilidades. Otros que
proveen información útil a la organización, para efectuar controles
internos, son los legisladores y reguladores, clientes y otros negocios que
realizan transacciones con la organización, analistas financieros,
mediciones públicas y de la prensa. Sin embargo, estos componentes
externos no son responsables por el sistema de control interno de la
organización, y tampoco son parte del mismo.
21
Figura 2. Organización interna de la seguridad informática. Fuente: Piattini – Del Peso.
22
El control interno tiene diferentes significados para diferentes personas.
Esto causa confusión entre la comunidad comercial, legisladores,
reguladores y otros. Estas dificultades en la comunicación y expectativas
distintas generan problemas en las organizaciones. Los problemas se
complican cuando los términos están escritos en leyes, reglamentos o
normas, sin ser correctamente clarificados.
23
• Las leyes y reglamentaciones aplicables son cumplidas.
1.8.4.1. ISACA.
24
En la actualidad, ISACA cuenta con más de 86.000 miembros con
certificaciones ISACA en más de 160 países. Sus miembros son auditores de
sistemas, consultores, educadores, profesionales de seguridad de sistemas
entre otros similares en distintos niveles gerenciales de las organizaciones.
Existen 170 capítulos de ISACA establecidos en 60 países que proveen
educación, recursos, red de contactos y otros beneficios. Además, ISACA
Realiza eventos, conferencias y desarrolla estándares en IT Governance,
aseguramiento y seguridad para que sus miembros puedan aprender de las
experiencias de los demás e intercambiar puntos de vistas en diversos
temas e industrias. ISACA también publica la revista técnica ISACA Journal
dedicada al campo del control informático.
25
En 1996 ISACA organizó ISACF (InformationSystemAudit and Control
Foundation), una organización internacional sin ánimo de lucro para llevar
a cabo investigaciones y dar a conocer los nuevos avances en la materia de
control y gestión de las tecnologías de los sistemas de información, e
informar a los usuarios tecnológicos sobre la importancia del control
interno en todas las organizaciones. ISACF publicó la primera versión del
estándar COBIT en 1996, hoy mantenido por ITGI, han diseñado este
producto principalmente como una fuente de instrucción para los
profesionales dedicados a las actividades de control.
1.8.4.2. COSO.
26
1.8.4.3. ISO.
1.8.4.4. ITIL.
ITIL fue desarrollada en los años 1980 por la Central Computer and
Telecommunications Agency (CCTA) del gobierno británico y adoptada
ampliamente en los mediados de los 1990. Fue la base para normas y
estándares internacionales, como la ISO/IEC 20000 de la gestión de
servicios TI. ITIL proporciona un lenguaje común ampliamente aceptado
por la comunicad informática.
27
• Manager Certificate en Gestión de Servicios TI: orientado a
profesionales con profundos conocimientos en todas las áreas de la
gestión de la información, así como directores de
implementaciones ITIL.
1.8.5. IT Governance.
La palabra en inglés ―Governance‖ se traduce como ―Forma de
Gobierno‖, ―Gobernabilidad‖ o simplemente ―Gobierno‖, en esta lectura
se utilizará el término en inglés (así como ―Framework‖) por ser este el
más usado en la industria de los sistemas de información. El Gobierno de la
IT (IT Governance) es un framework cuyo fin es garantizar que las
decisiones tecnológicas se realizan apoyando los objetivos y las metas de
negocio de la organización. La responsabilidad del IT Governance es del
directorio y de los gerentes ejecutivos de las empresas, no se delega esta
responsabilidad a los responsables de las áreas de sistemas. El IT
Governance se deriva de Gobierno Corporativo (CorporateGovernance) y
se ocupa principalmente de la conexión entre el enfoque de negocios y la
gestión TI. Los principales objetivos del IT Governance son el
aseguramiento que las inversiones en TI generen valor de negocio y la
mitigación de los riesgos asociados con la TI.
Figura4.CorporativeGovernancevs.ITGovernance.
28
El ITGI define a la IT Governance como ―una estructura de relaciones y
procesos para dirigir y controlar la compañía, a fin de alcanzar las metas de
la organización al añadir valor, mientras se balancean los riesgos vs el
retorno en la TI y sus procesos.‖
29
1.8.5.1. Alineamiento del TI con los Requerimientos del Negocio.
30
implementar soluciones de TI, que sean más eficaces para la empresa en su
conjunto.
31
• Operaciones de la TI: Administrar, Gestionar y Operar
adecuadamente un sistema de información y todos sus
componentes:
o Procesos y procedimientos.
o Personas.
32
aplicación del marco de control y de los criterios de información ayudan a
asegurar que los riesgos sean identificados y que se les asigne un dueño.
ITIL ayuda a definir los riesgos operacionales e ISO 17799 define los riesgos
de seguridad.
33
Después de varios errores de auditoría significativos ocurridos durante la
década de 1980, COSO, formado para redefinir el control interno y los
criterios para determinar la eficacia de un sistema de control interno,
publicó el documento ―Internal Control - Integrated Framework‖ en 1992
que cambió la forma de mirar al control interno. También se conoce a este
documento como el ―Informe COSO‖ sobre control interno.
• FinancialExecutiveInstitute (FEI)
La idea fundamental del trabajo era definir un nuevo marco conceptual del
control interno, con capacidades de integrar las definiciones y conceptos
existentes hasta ese momento. Creando de esta manera un framework
común de trabajo para distintas organizaciones, sean estas del orden
privado, público, académicas, gubernamentales, de control externo o
interno.
34
Información y Comunicación y Supervisión y Seguimiento del Sistema de
Control. Estos componentes están interrelacionados y para ser efectivos
deben estar institucionalizados en la organización, es decir, ser parte de sus
procesos administrativos cotidianos. Otra característica de los
componentes del framework COSO es que los procesos no son secuenciales
ni están en un orden específico, sino que son multidireccionales,
repetitivos y permanentes, pudiendo un proceso ser afectado y afectar a
varios. Ellos forman lo que se conoce como un framework integrado para
responder a cambios en las condiciones del negocio.
Efectividad:
1. Ambiente de Control.
35
• La integridad y los valores éticos del personal
36
2. Evaluación de Riesgos.
37
los factores críticos para el éxito e informar de acciones correctivas
necesarias.
3. Actividades de Control.
Las actividades de control son las políticas y los procedimientos que ayudan
a garantizar que las directivas gerenciales sean llevadas a cabo. Estas
actividades también avalan las medidas necesarias para hacer frente a los
riesgos para la consecución de los objetivos de la organización. Las
actividades de control se producen en toda la organización, en todos los
niveles y en todas las funciones. Estas incluyen una amplia gama de
actividades tan diversas como aprobaciones, autorizaciones, verificaciones,
conciliaciones, revisiones de desempeño operativo, seguridad de los
activos y la segregación de funciones.
38
algunas pueden estar automatizadas, otras se realizan en forma manual,
pueden ser preventivas o correctivas, generales o específicas, globales o de
algún área en particular.
4. Información y Comunicación.
39
Asimismo, los sistemas de información, actuando como sistemas de
control, juegan una función muy importante para éxito de la organización,
al apoyar la implementación de las estrategias corporativas diseñadas por
la dirección. Esto es posible debido a que los sistemas de información se
encuentran integrados en las operaciones cotidianas de las empresas. Esta
integración posee distintos grados de complejidad, dependiendo de la
organización donde se apliquen.
40
actividades de monitoreo continuo, evaluaciones puntuales o una
combinación de ambas.
41
Hay una relación directa entre las tres categorías de objetivos (metas,
estados financieros y reglamentaciones), que son los que una entidad se
esfuerza por lograr, y los componentes, que representan lo que se necesita
para alcanzar los objetivos. Todos los componentes son relevantes para
cada categoría de objetivos. Al mirar a una categoría (por ejemplo, la
efectividad y la eficiencia de las operaciones) los cinco componentes deben
estar presentes y funcionando efectivamente para concluir que el control
interno de las operaciones es efectivo.
1.8.6.2. COBIT.
Las empresas que tienen éxito comprenden los riesgos y explotan los
beneficios de la TI encontrando formas de:
42
• Materia: Auditoría de Sistemas Profesor: Francisco Cardozo - 27 -
43
• Disponibilidad: la información debe estar siempre disponible
cuando sea requerida. También se refiere a la protección de los
recursos y las capacidades necesarias asociadas.
44
NiveldeMadurez Estado delEntorno de Control Establecimiento de
Interno ControlInterno
45
Existencontrolesy están LosprocesoscríticosdeTI se
documentados de forma adecuada. identificanconbaseenimpulsoresde
Se evalúa la valory de riesgo. Se realiza
efectividadoperativadeformaperiódica unanálisis
y existe un número promedio de detalladoparaidentificarrequisitosde
problemas.Sinembargo,elprocesode controlylacausaraízdelasbrechas,
3
evaluaciónno está documentado. asícomo para desarrollar
Definido
Aunquela gerencia puede manejarla oportunidadesdemejora. Además
mayoría delosproblemas de controlde de
forma predecible,algunas facilitartalleres,seusanherramientas
debilidadesde yserealizanentrevistasparaapoyar
controlpersistenylosimpactospueden elanálisisy garantizarquelosdueños
ser severos. Losempleadosestán delosprocesosdeTIsonrealmente
conscientesdesus responsabilidades losdueñose impulsan al proceso de
de control. evaluación y mejora.
46
Unprogramaorganizacionalderiesgoy Loscambiosenelnegociotomanen
controlproporcionalasolucióncontinua cuentaque tan críticos son los
y efectiva a problemas de control y procesosdeTI, ycubren cualquier
riesgo.El controlinternoyla necesidadde re-evaluarlacapacidad del
administraciónderiesgos seintegran a control de los procesos. Los dueños
lasprácticas empresariales, delosprocesos realizanauto-
apoyadas con una supervisión en evaluaciones deformaperiódicapara
tiempo real,y unarendición confirmar quelos controlesse
decuentas completa para la encuentran en el nivel correcto de
vigilancia de los controles, madurez para satisfacerlas
administración de riesgos, e necesidadesdelnegocio, ytomanen
5 implantación delcumplimiento. La cuenta losatributosde madurez para
Optimizado evaluacióndelcontrolescontinuay se encontrarmaneras de hacerquelos
basaenauto-evaluacionesy enanálisis controlesseanmás eficientesy efectivos.
debrechas y decausas raíz. Los La organizaciónevalúapor comparación
empleadosseinvolucran deformapro- conlasmejorasprácticas externasy
activa en las mejoras de control. buscaasesoríaexterna sobre la
efectividad de los controles
internos.Paraprocesoscríticos, se
realizan evaluacionesindependientes
para proporcionar seguridad de que
los controles se encuentran alnivel
deseado de madurez y funcionan
como fue planeado.
1.8.6.3. ITIL.
ITIL se basa en la definición de procesos de mejores prácticas para la gestión y el
mantenimiento de los servicios TI. ITIL propone mejores prácticas en lugar de un
framework de control completo. Se enfoca en los métodos y define un conjunto
de procesos fáciles de comprender.
47
A este grupo de procedimientos se lo conoce como ―mejores prácticas‖. Es un
conjunto consistente, comprensible y coherente, para la gestión de los servicios
TI, promoviendo un enfoque de calidad para el logro de la efectividad empresarial
y la eficiencia en el uso de los sistemas de información.
1. Gestión de la Configuración.
Configuration Management, CM por sus sigles en inglés, es la aplicación de una
base de datos (Configuration Management Database - CMDB) que contiene los
detalles de los elementos de la organización que se utilizan en la prestación y
gestión de sus servicios de TI. Esto es más que un ―registro de ac=vos", ya que
contienen información relacionada con el mantenimiento, el movimiento, y los
problemas experimentados con los elementos de configuración.
La CMDB también tiene una gama mucho más amplia de información acerca de
los elementos sobre los que depende los servicios TI de la organización. Esta gama
de información incluye al hardware, al software, a la documentación y al personal.
48
La Gestión de la Configuración y La Seguridad TI:
El CM está muy relacionada con la seguridad TI. Dado que sin la definición de
todos los elementos de configuración que se utilizan para proporcionar los
servicios TI a una organización, puede resultar muy difícil identificar cuáles
elementos son necesarios para ciertos servicios. El uso incorrecto del CM puede
resultar en ítems de configuración críticos robados, reemplazados o fuera de
lugar, afectando a la disponibilidad de los servicios dependientes de ellos.
También podría dar lugar a que, elementos no autorizados, se utilicen en la
prestación de los servicios TI.
2. Gestión de Cambios.
La Gestión de Cambios es la práctica que garantiza que todas las modificaciones a
los elementos de configuración se llevan a cabo de manera planificada y
autorizada. Esto incluye el asegurar que existe una razón de negocio detrás de
cada cambio, identificando a los ítems de configuración específicos y a los
servicios TI afectados por el cambio. También abarca a la planificación del cambio,
la prueba del cambio, y al plan de respaldo en caso de que la modificación resulte
en un estado inesperado del elemento de configuración.
49
4. Gestión de la Distribución.
Esta disciplina de la Gestión de Servicio IT es la administración de todos los
elementos de configuración de software dentro de la organización. Es responsable
de la gestión de desarrollo de software, instalación y soporte de los productos de
software de una organización.
50
El servicio de HelpDesk desempeña un papel importante en la prestación de
servicios TI. Es muy a menudo el primer contacto que los usuarios tienen en su
utilización de los servicios TI cuando algo no funciona como se espera. El HelpDesk
es un único punto de contacto para los usuarios finales que necesitan asistencia.
Sin este servicio, una organización sin duda podría enfrentar pérdidas debido a
ineficiencias.
Excepto para el Call Center, el servicio de HelpDesk suele realizar las siguientes
actividades: recibir todas las llamadas y correos electrónicos sobre incidentes,
registrar los incidentes; priorizarlos, clasificarlos y escalarlos; además intenta
solucionar los problemas en línea, mantener actualizado al usuario sobre en
estado de los incidentes, manejar las comunicaciones de otros procesos de ITIL;
informar a la gerencia, a los administradores de procesos y a clientes en el
rendimiento de ServiceDesk.
El Software de ServiceDesk:
51
1. Gestión de Nivel de Servicio.
Es la gestión principal de los servicios TI y se asegura que los servicios TI se
presten de acuerdo a las características convenidas de cómo y cuándo debían ser
entregados. El gerente de nivel de servicio depende de todas las demás áreas de
entrega de servicios, brindando el apoyo necesario que garantice que los servicios
acordados se proporcionan de una manera eficaz, segura, eficiente y rentable.
Hay una serie de procesos de negocio que forman parte de la Gestión de Nivel de
Servicio. Estos son:
2. Gestión de la Capacidad.
La Gestión de la Capacidad es la disciplina que garantiza que la infraestructura TI
se suministre en el momento justo, en el volumen correcto y al precio adecuado;
asegurando que la TI se utilice de la manera más eficiente posible.
52
Estos son los datos de entrada necesarios para los procesos de la Gestión de
Capacidad:
• Tamaño de la aplicación.
• Previsión de la demanda.
3. La Gestión de la Continuidad.
Gestión de la Continuidad / Recuperación de Desastres / Continuidad del negocio
53
• Realización de un análisis de riesgos para cada uno de los servicios TI, a fin
de identificar los activos, las amenazas, las vulnerabilidades y las
contramedidas para cada servicio.
4. Gestión de la Disponibilidad.
Gestión de la Disponibilidad es la práctica de identificar los niveles de
disponibilidad de servicios TI para su uso en las revisiones de nivel de servicio con
los clientes.
Para medir la disponibilidad del servicio, las siguientes áreas se suelen incluir en el
SLA:
54
La seguridad TI es una parte integral de la Gestión de la Disponibilidad, siendo su
objetivo principal el garantizar que la infraestructura de TI siga estando disponible
para la prestación de servicios TI.
5. La Gestión Financiera de la TI
La Gestión Financiera de la TI es la disciplina de garantizar que la infraestructura TI
se obtiene a un precio eficiente (que no significa necesariamente barato), y
calcular el coste de la prestación de los servicios TI a fin de que la organización
pueda administrar sus inversiones en esta área. Estos costos pueden ser
recuperados con los clientes del servicio.
• Equipamiento.
• Software.
• Alojamiento.
55
1.8.6.4. ISO/IEC 17799:20000.
Las partes esenciales del estándar ISO 17799 para las Tecnologías de Información -
Código de Prácticas para la Gestión de la Seguridad de la Información fueron
desarrolladas y publicadas por el Instituto Británico de Estándares.
La primera edición del estándar fue publicada en el año 2000, la cual fue
actualizada en Junio del 2005. Se puede clasificar al estándar como las mejores
prácticas actuales en el área de los sistemas de administración de seguridad
informática. El BS 7799 original se revisó en Septiembre de 2002.
Los principios de la guía son los puntos iniciales para implementar la seguridad
informática. Se fundamentan tanto en los requerimientos legales como en las
mejores prácticas aceptadas por la industria.
• Escalamiento de problemas.
56
Cuando se implementa un sistema de administración de seguridad informática, se
deben considerar ciertos factores críticos para el éxito:
57
Sin embargo, la adopción de mejores prácticas tiene que ser apropiado para la
organización, integrado con otros métodos y prácticas que se estén utilizando y
consistente con la gestión de riesgos y el framework de control. Los estándares y
mejores prácticas no son una panacea y su efectividad depende de cómo hayan
sido implementados y actualizados. Ellos son más útiles cuando se aplican como
un conjunto de principios y como un punto de origen para alinear los
procedimientos existentes.
Alineamiento:
58
• Definir requerimientos para los servicios y definiciones para los proyectos,
tanto internamente como para los proveedores externos, por ejemplo al:
o Compromisos contractuales.
o Licencias y certificaciones.
Establecimiento de Prioridades:
Planificación:
Una vez llegado a este punto, la gerencia puede iniciar y poner en acción un plan
de implementación. Los siguientes pasos son sugerencias brindadas por los
estándares para ayudar a que el plan de implementación genere resultados
positivos:
59
1. Diseñar un framework de la organización (idealmente como una parte de las
iniciativas de IT Governance) con responsabilidades y objetivos claros y con la
participación de todas las partes interesadas en llevar adelante la
implementación.
60
• Si existe la infraestructura que podrá facilitar y mantener la creación y
comunicación de información de negocio vital.
61
Bibliografía
i COBIT. Estándar del IT GovernanceInstitute. Version 4.1 2007.
62