TEMA 1

Gobierno Empresarial de TI
GETI - Gobierno Empresarial TI:
Es parte fundamental del gobierno corporativo. Esta la ejerce el consejo de administración, que supervisa la
definición e implementación de procesos, estructuras y mecanismos relacionados en la organización para
permitir a la empresa y al personal de TI desempeñar sus responsabilidades de soporte al
negocio/alineamiento de TI y la creación de valor de negocio derivado de las inversiones empresariales posibles
gracias a la I&T.

IT
Governance

Resource
Management
Responsabilidades del Gobierno de TI
8 Tareas
…Proveer soporte para facilitar el cumplimiento de las
estrategias y objetivos de la organización

1. Evaluar la efectividad de la estructura de gobierno de TI para asegurar el control

adecuado del Directorio sobre las decisiones, las instrucciones y el desempeño de
TI. (comités: Ejecutivo y de Tecnología)

2. Evaluar la estructura organizativa de Tl y la administración de los recursos humanos

para asegurar que éstos soporten las estrategias y objetivos de la organización

3. Evaluar la estrategia de TI y el proceso para su desarrollo, aprobación,

implementación y mantenimiento para asegurar que soporta las estrategias y
objetivos de la organización

4. Evaluar las políticas, los estándares, los procedimientos y los procesos de TI de la

organización para aprobarlos, implementarlos y mantenerlos, para asegurar que
éstos soporten la estrategia de TI y cumplan con los requerimientos regulatorios y
legales externos.
Pablo Pintado – MBA – PMP - CSM
Responsabilidades del Gobierno de TI
8 Tareas
…Proveer soporte para facilitar el cumplimiento de las
estrategias y objetivos de la organización

5. Evaluar la inversión de recursos de TI, el uso y las prácticas de asignación de

recursos para asegurar que están en conformidad con las estrategias y objetivos de
la organización

6. Evaluar las estrategias y políticas de contratación de TI y las prácticas de

administración de contratos para asegurar que soporten las estrategias y los
objetivos de la organización

7. Evaluar las prácticas de administración de riesgos, para asegurar que los riesgos
relacionados con TI de la organización sean debidamente administrados.

8. Evaluar las prácticas de monitoreo y aseguramiento, para cerciorarse que el

Directorio y la Alta Dirección reciban información suficiente y oportuna sobre el
desempeño de TI.

Pablo Pintado – MBA – PMP - CSM

Estrategias, Estándares y lineamientos
de la Dirección de TI
 Estrategias, Estándares y lineamientos de la
Dirección de TI

Información para obtener valor del uso de TI

Gerentes de negocio, Gerentes de TI, Proveedores de
aseguramiento, Gestión de riesgos, Entidades reguladoras
Socios de negocios, Proveedores de TI, Innovación TI

Obtención beneficios
Optimización Riesgos
Optimización de Recursos Objetivos de los 40 procesos
Marco de Gobernabilidad de TI

IT
Governance

Resource
Management

Pablo Pintado – MBA – PMP - CSM

COBIT 2019 - Evaluación de Capacidad Procesos
Capacidad de áreas: Nivel de madurez de todos los procesos del área que alcancen el nivel de capacidad específico.

Pablo Pintado – MBA – PMP - CSM

Arquitectura: puente entre estrategia de negocio y su
implementación
Estrategia Negocio Implementación
Administración Negocio Procesos del Negocio
Metas del Negocio Estructura Organizacional
Políticas de Negocio Infraestructura Tecnológica
Análisis de tendencias Aplicativos
Arquitectura Empresarial - implementación

Tendencias del Ambiente

Definir Definir Definir Definir

Visionando Refinar Refinar Refinar Refinar
Negocios EBA EIA ETA ESA
Negocio Información Tecnología Solución
Esfuerzos
Arq.
Organizac. D? D? D? D?
Documentación del Ambiente Actual Análisis
Gap
Estrategias
Transformación digital
Proyectos
Información Planeación Planeación
Tecnología Implementación Migración

Arquitectura Empresarial Gobernada y Evolutiva, con impacto en Organización

TEMA 2
AUDITORIA DE SISTEMAS - Conceptos

“El proceso de recolección y evaluación de evidencias

utilizadas para determinar cuando un sistema mantiene
la integridad de sus datos, salvaguarda sus activos,
ejecuta eficazmente con efectividad los objetivos
marcados por la Organización y consume los recursos
eficientemente"

Ron Weber.
Auditorías por su área de aplicación

• Auditoría financiera
• Auditoría administrativa
• Auditoría operacional
• Auditoría integral
• Auditoría gubernamental
• Auditoría de sistemas.
Auditorías especializadas en áreas
específicas

• Auditoría al área médica

• Auditoría al desarrollo obras-construcciones
• Auditoría fiscal
• Auditoría laboral
• Auditoría ambiental
• Auditoría de sistemas.
 Auditoría Integral

• Debido al constante crecimiento de las ramas en las que se podía utilizar la auditoría, y que cada
vez existía una mayor interrelación entre todas las operaciones y actividades de una empresa,
casi siempre vinculadas entre si pero con objetivos específicos distintos

• Es una revisión exhaustiva y global que realiza un equipo multidisciplinario de profesionales a

todas las actividades y operaciones

• Se evalúa su existencia, suficiencia, eficacia, eficiencia y el correcto desarrollo de sus

operaciones.
 Auditoría Informática

• Es la revisión técnica, especializada y exhaustiva, que se realiza a los sistemas computacionales,

software e información utilizados en una empresa

• Sean individuales, compartidos y/o de redes, así como a sus instalaciones, telecomunicaciones,
mobiliario, equipos periféricos y demás componentes

• El propósito fundamental es evaluar el uso adecuado de la información y la emisión oportuna de

sus resultados en la empresa.
 Auditoría a la gestión informática
• Se enfoca exclusivamente a la revisión de las funciones y
actividades de tipo administrativo que se realizan
dentro de un centro de cómputo, tales con la planeación,
organización, dirección y control

• Se realiza para verificar el cumplimiento de las funciones

y actividades asignadas a los funcionarios, empleados y
usuarios de las áreas sistematizadas

• Verificar el correcto desarrollo, instalación

mantenimiento y explotación de los sistemas.
 Auditoría de la seguridad de los sistemas
computacionales

• Es la revisión exhaustiva, técnica y especializada que se

realiza a todo lo relacionado con la seguridad de un
sistema de cómputo, sus áreas y personal, funciones y
acciones preventivas y correctivas que custodien los
equipos, bases de datos, redes, instalaciones, usuarios.
 Auditoría a los sistemas de redes

• Es la revisión exhaustiva, técnica y especializada a las

redes considerando:
• tipos de redes
• Arquitectura
• Topología
• Protocolos de comunicación
• Conexiones
• Accesos, privilegios
• Administración y demás aspectos que repercuten en
su instalación, administración, funcionamiento y
aprovechamiento.
 Auditoría integral informática

• Es la revisión de la administración del sistema, del

manejo y control de los sistemas operativos, lenguajes,
programas y paquetería de aplicación, administración y
control de los proyectos, la adquisición del hardware y
software, de la adecuada integración y uso de los
recursos informáticos, cumplimiento de las normas,
políticas, estándares y procedimientos que regulan la
actuación del sistema, personal, usuarios.
 Auditoría outsourcing

• Es la revisión exhaustiva, sistemática y especializada que

se realiza para evaluar la calidad en el servicio de
asesoría o procesamiento externo de información que
proporciona una empresa a otra

• Se revisa la confiabilidad, oportunidad, suficiencia y

asesoría por parte de los prestadores de servicios.
 Auditoría Forense
“el proceso de identificar, preservar, analizar y presentar evidencia digital en
una forma que sea aceptable en cualquier proceso legal”. Rodney McKemmish

Consideraciones para la evidencia en Forense:

Identificar. Identificar el tipo de información que está disponible y el mejor medio de recuperarla.
Guardar. Recuperar la información identificada y guardarla como evidencia. La práctica
generalmente incluye la creación de imágenes de medios originales en presencia de un tercero
independiente. El proceso debe documentarse la cadena de custodia.
Analizar. Extraer, procesar e interpretar la evidencia. La interpretación requiere profundos
conocimientos de cómo se integran las distintas partes. El análisis se debe realizar utilizando una
imagen del medio de almacenamiento, no el original.
Presentar . Presentar, como por ejemplo la gerencia, abogados, la corte, etc. La aceptación de la
evidencia depende de la forma en que se presente (debe ser convincente), las habilidades del
presentador, y la credibilidad del proceso utilizado para preservar y analizar la evidencia.

La cadena de evidencia contiene esencialmente información respecto a:

Personas que han tenido acceso (cronológicamente) a la evidencia
Procedimientos que se siguieron para trabajar con la evidencia
Comprobación de que el análisis esté basado en copias que sean idénticas a la evidencia original

Es importante usar las mejores prácticas de la industria, herramientas probadas y la debida diligencia
para proveer garantía razonable de la calidad de la evidencia. Es importante demostrar integridad y
confiabilidad de la evidencia para que ésta sea aceptable para las autoridades.
Auditoría Forense

Metodología está constituida por las actividades siguientes:

1. Definición y reconocimiento del problema.
2. Recopilación de evidencias de fraude.
3. Evaluación de la evidencia recolectada.
4. Elaboración del informe final con los hallazgos.
5. Evaluación del riesgo forense.
6. Detección de fraude.
7. Evaluación del Sistema de Control Interno.
 Definición de Auditoría
• Auditoría es la revisión independiente que realiza un auditor
profesional, aplicando técnicas, métodos y procedimientos
especializados, a fin de evaluar el cumplimiento de las funciones,
actividades, tareas y procedimientos de una entidad administrativa,
así como dictaminar sobre el resultado de dicha evaluación

• Proceso sistemático por el cual una persona competente e independiente,

obtiene y evalúa objetivamente evidencia relativa a aseveraciones sobre
una entidad o evento económico, con el propósito de formarse una opinión
y reportar el grado en que la aseveración está acorde con un conjunto de
estándares identificados .
Auditoría de Sistemas

• La auditoría de sistemas es una disciplina encargada de

aplicar un conjunto de técnicas y procedimientos con el fin
de evaluar la seguridad, confiabilidad y eficiencia de los
sistemas de información. Adicionalmente se encarga de
evaluar la seguridad en los departamentos de sistemas, la
eficiencia de los procesos administrativos y la privacidad de
la información.
FUNCIONES
• Participar en las etapas de análisis y diseño de sistemas, con el fin de
evaluar y recomendar controles efectivos

• Valorar la calidad de la ejecución de las políticas administrativas del área

de sistemas

• Evaluar situaciones de fraude en los sistemas automatizados

• Preparar informes periódicos con destino a la gerencia

• Asesorar en la implantación de controles y procedimientos para el

desarrollo y mantenimiento de aplicaciones

• Revisar los costos en que se incurra en las diferentes etapas de

sistematización y hacer recomendaciones que permitan su disminución.
 FUNCIONES

• Verificar que la planeación del departamento de sistemas obedezca y responda a la planeación

global de la empresa

• Cerciorarse que las definiciones de sistematización nazcan y se desarrollen con base en un estudio
formal y serio de las necesidades de la empresa y como respuestas a ellas

• Hacer seguimiento y monitoreo del plan estratégico de sistemas aprobado para verificar su
cumplimiento

• Evaluar la justificación económica y de negocios de la adquisición de equipos y programas de

computador

• Evaluar el uso que se le dará a los recursos de computación de acuerdo con sus capacidades, para
evitar obsolescencia prematura o la ocurrencia de un lucro cesante.
FUNCIONES
• Evaluar los procedimientos operacionales y administrativos
seguidos en la adquisición, adaptación e instalación de recursos

• Verificar que se cuente con personal idóneo para trabajar en

sistemas y que su administración sea eficaz

• Evaluar la seguridad de las instalaciones, equipos y programas,

contra acceso indebido, actos mal intencionados y desastres físicos

• Evaluar los planes de respaldo para las instalaciones, equipos y

programas

• Evaluar el mantenimiento que se le da a los equipos e instalaciones.

FUNCIONES
• Determinar si existe y es adecuada la metodología de diseño, desarrollo y
mantenimiento de aplicaciones

• Velar porque se cumplan las normas y políticas administrativas establecidas

para el diseño y desarrollo de aplicaciones

• Velar porque se establezcan controles y se den dentro del sistema las pistas
de auditoría necesarias

• Velar porque el diseño de sistemas se haga dentro de un marco de eficiencia,

economía y efectividad

• Hacer evaluación del software adquirido para los computadores, con el fin
de evitar el uso no autorizado de programas que puedan implicar litigios y
sanciones, así como contaminación por virus de computadores.
FUNCIONES
• Evaluar los controles que garanticen un procesamiento de datos
oportuno, exacto y completo

• Velar porque haya una adecuada integración de los sistemas y

aplicaciones dentro de la compañía

• Procurar que haya facilidad de ajuste, cambio y mantenimiento en

los programas.
OBJETIVOS
• Evaluar las normas y estándares existentes al interior del departamento de
tecnología (Gobierno IT)

• Revisar los contratos o convenios de compra y prestación de servicios

existentes y la vigencia de garantías

• Verificar la existencia de seguros, si están vigentes y los riesgos que amparan

• Cerciorarse de la metodología empleada en el desarrollo de los sistemas y las

técnicas usadas para ello

• Establecer los procedimientos empleados para probar los sistemas en la fase

de desarrollo
OBJETIVOS
• Verificar los procedimientos empleados para hacer mantenimiento al software
operativo

• Confirmar la existencia de documentación en los diferentes procedimientos y

aplicaciones existentes en el departamento de sistemas y en el resto de
dependencias de la empresa

• Evaluar las medidas de seguridad física y lógica existentes en el área de sistemas

• Verificar si existen copias de respaldo de los programas de aplicación, sistemas

operacionales, utilitarios y demás información de la empresa

• Evaluar las medidas de seguridad diseñadas para garantizar la seguridad de la

información
OBJETIVOS
• Confrontar la existencia de procedimientos y controles en la operación del
computador

• Corroborar los inventarios de equipos, elementos de oficina y demás

recursos asignados a sistemas

• Evaluar la efectividad de los procedimientos existentes para recuperaciones

en caso de desastres

• Evaluar la eficiencia de los controles implementados en la captura de

información

• Inspeccionar los controles existentes para la salida de información

OBJETIVOS

• Probar la seguridad y eficiencia de las tele-comunicaciones.

• Conocer que políticas de atención a usuarios se han implementado.

• Conocer los resultados de las auditorías anteriores y establecer si han

tenido en cuenta las recomendaciones hechas.

• Probar la seguridad y eficiencia de las tele-comunicaciones.

TEMA 3
Gobierno Empresarial TI - COBIT

Preguntas y Respuestas ….

Pablo Pintado – MBA – PMP - CSM

GETI: Gobierno Empresarial TI
GETI - Gobierno Empresarial TI:
Es parte fundamental del gobierno corporativo. Esta la ejerce el consejo de administración, que supervisa la
definición e implementación de procesos, estructuras y mecanismos relacionados en la organización para
permitir a la empresa y al personal de TI desempeñar sus responsabilidades de soporte al
negocio/alineamiento de TI y la creación de valor de negocio derivado de las inversiones empresariales posibles
gracias a la I&T.

IT
Governance

Resource
Management
Dimensiones Gobierno Empresarial TI

Pablo Pintado – MBA – PMP - CSM

 COBIT
• COBIT es un marco para el gobierno y la gestión de las tecnologías de la información de la empresa,
dirigido a toda la empresa. I&T empresarial es toda la tecnología y procesamiento de la información que la
empresa utiliza para lograr sus objetivos, independiente de dónde ocurra dentro de la empresa.
• Define los componentes para crear y sostener un sistema de gobierno: procesos, estructuras organizativas,
políticas y procedimientos, flujos de información, cultura y comportamientos, habilidades e infraestructura.
• Define 11 factores de diseño para crear un sistema de gobierno más adecuado.

• El Gobierno: es responsabilidad del consejo de dirección bajo el liderazgo del presidente. Asegura que
las necesidades, condiciones y opciones de las partes interesadas se evalúan para determinar objetivos
empresariales equilibrados y acordados.
• Priorización y la toma de decisiones.
• Monitorea el desempeño y el cumplimiento de los objetivos acordados.

• La Gestión (Gerencia): Planifica, construye, ejecuta y monitorea actividades alineado con la Dirección de
gobierno para alcanzar los objetivos de la empresa.
• La gerencia es responsabilidad de la dirección ejecutiva bajo el liderazgo del director general
ejecutivo (CEO).

Pablo Pintado – MBA – PMP - CSM

COBIT 2019 - Factores de diseño

Pablo Pintado – MBA – PMP - CSM

COBIT 2019 - Componentes
COBIT 2019 - Procesos 40 procesos:
5 dominios:
- Gobierno → EDM (5)
- Administración →
APO(14), BAI(11),
DSS(06), MEA(04)
 COBIT 2019 – Cascada de metas

Información para obtener valor del uso de TI

Gerentes de negocio, Gerentes de TI, Proveedores de
aseguramiento, Gestión de riesgos, Entidades reguladoras
Socios de negocios, Proveedores de TI, Innovación TI

Obtención beneficios
Optimización Riesgos
Optimización de Recursos Objetivos de los 40 procesos
COBIT 2019 - Evaluación de Capacidad Procesos
Capacidad de procesos

Pablo Pintado – MBA – PMP - CSM

COBIT 2019 - Evaluación de Capacidad Procesos
Capacidad de áreas: Nivel de madurez de todos los procesos del área que alcancen el nivel de capacidad específico.

Pablo Pintado – MBA – PMP - CSM

COBIT 2019 - Evaluación de Capacidad Procesos
Heredado de Cobit 5

Paso 1

Paso 2
Criterios evaluación
específicos de cada
proceso
(practica de
gobierno)

Paso 3
Criterios
Paso 4 evaluación
genéricos para
todos los
procesos

Paso 5
COBIT 2019 - Implementación
TEMA 4
 Auditoría de IT
Definición de Auditoría de IT

Proceso de recolección y evaluación de evidencia para determinar si los

Sistemas de Información y los recursos relacionados:
- Cumplen con gobierno IT
- salvaguardan adecuadamente los activos,
- mantienen la integridad de los datos y del sistema,
- proveen información relevante y confiable,
- alcanzan efectivamente los objetivos organizacionales,
- consumen los recursos eficientemente, y
- cuentan con controles internos que provean una seguridad razonable
de los objetivos operacionales y de control serán satisfechos y que los
eventos no deseados serán prevenidos o detectados y corregidos de
manera oportuna.
 Dimensiones del Trabajo del Auditor Informático I/II
Revisión de Gobierno IT
- Determinar el cumplimiento de marco de gobierno, maximiza beneficio,
manejo optimo de riesgos y recursos, y transparencia hacia las partes
interesadas
Revisión de Controles de las Aplicaciones
• Determinar que los sistemas producen la información a tiempo, exacta y
completa
Revisión de Integridad de Datos
• Consistencia y exactitud
Revisión de Calidad de Desarrollo
• Determinar la adherencia a los estándares de Calidad de desarrollo
aceptados
Revisión de Controles Generales de los Procedimientos Operacionales
• Determinar que las aplicaciones se procesan en un entorno controlado
 Dimensiones del Trabajo del Auditor Informático II/II
Revisión de Seguridad
• Asegurar la protección adecuada de los programas, de los datos y
de la instalación de procesamiento de datos
Revisión Software de los Sistemas
• Determinar el cumplimiento con las políticas de la organización
Revisión de Mantenimiento
• Determinar que los sistemas se han modificado de acuerdo con las
políticas de la organización
Revisión de Adquisición
• Determinar que los recursos de la organización se están utilizando de
forma económica
Revisión de la Gestión de Recursos del Procesamiento de Datos
• Determinar su adecuación en el cumplimiento de los objetivos
organizativos
Gestión de Auditoría Informática
• Utilizar de forma efectiva los recursos disponibles de la función de la
auditoría informática.
Ejecución de una Auditoría
Procedimientos generales de auditoría

• Entendimiento del área u objeto a auditar

• Valoración de riesgos y plan general de auditoría
• Planeación detallada de la auditoría
• Revisión preliminar del área u objeto a auditar
• Evaluación del área u objeto a auditar
• Pruebas de cumplimiento (verificar el sistema de control interno)
• Pruebas sustantivas (probar inexistencia de errores)
• Reporte (comunicación de resultados)
• Seguimiento
Fases de la Auditoría Informática

Fase I: Conocimiento del Sistema

Fase II: Análisis de transacciones y recursos
Fase III: Análisis de riesgos y amenazas
Fase IV: Análisis de controles
Fase V: Evaluación de Controles
Fase VI: El Informe de auditoría
Fase VII: Seguimiento de las Recomendaciones