SEMANA 2 – EVALUACIÓN DE PROCESOS INFORMÁTICOS

EVALUACIÓN DE PROCESOS INFORMÁTICOS

SEMANA 2

Los Procesos Informáticos y la Auditoría

Informática. Parte II

IACC-2019
1
SEMANA 2 – EVALUACIÓN DE PROCESOS INFORMÁTICOS

1.

APRENDIZAJE ESPERADO
El estudiante será capaz de:

• Aplicar controles internos del modelo

Cobit a un caso planteado.

IACC-2019
2
SEMANA 2 – EVALUACIÓN DE PROCESOS INFORMÁTICOS

APRENDIZAJE ESPERADO................................................................................................................ 2
INTRODUCCIÓN ............................................................................................................................. 4
1. LOS PROCESOS INFORMÁTICOS Y LA AUDITORÍA INFORMÁTICA ............................................. 5
1.1. PROCESOS INTERNOS ................................................................................................... 5
1.1.1. CONTROL INTERNO. OBJETIVOS Y EJEMPLOS DE RIESGO Y CONTROLES ........................ 5
1.2. CONTROL SELF ASSESMENT. AUDITORÍA CONTINUA ........................................................ 6
1.3. EL MODELO COBIT: MISIÓN, ALCANCE, ESTÁNDARES Y NORMAS ..................................... 8
1.4. DEFINICIONES Y RELACIONES. EL CUBO DEL COBIT......................................................... 11
1.5. REQUERIMIENTOS DE NEGOCIO: CALIDAD, FINANCIERO Y SEGURIDAD .......................... 13
1.6. LOS DOMINIOS DE COBIT: PLANEAMIENTO Y ORGANIZACIÓN, ADQUISICIÓN E
IMPLANTACIÓN, SERVICIO Y SOPORTE Y MONITOREO .......................................................... 14
COMENTARIO FINAL .................................................................................................................... 20
REFERENCIAS ............................................................................................................................... 21

IACC-2019
3
SEMANA 2 – EVALUACIÓN DE PROCESOS INFORMÁTICOS

INTRODUCCIÓN
Anteriormente comenzamos a revisar los
contenidos fundamentales de la asignatura
Evaluación de Procesos Informáticos, con la
finalidad de que comprender los principios
básicos de la evaluación de dichos procesos
desde una perspectiva teórico-práctica, lo
cual permitirá entender la finalidad y
propósito del desarrollo de este tipo de
acciones al interior de diversas instituciones.
• Describa los objetivos del control
interno.
• Identifica los elementos del modelo
Cobit.
• Emplea controles internos del
modelo Cobit en un caso específico.

Los contenidos que a continuación se

estudiarán se enfocan en el modelo Cobit
que permite realizar los controles internos
dentro de una auditoría de sistemas
informáticos. El objetivo es que al finalizar:

IACC-2019
4
SEMANA 2 – EVALUACIÓN DE PROCESOS INFORMÁTICOS

1. LOS PROCESOS INFORMÁTICOS Y LA AUDITORÍA

INFORMÁTICA
1.1. PROCESOS INTERNOS
Toda organización tiene procesos internos de trabajo y producción, en mucho de los cuales
interviene la tecnología. En la actualidad la mayoría de los procesos que ejecutan las empresas
deben cumplir con un estándar, de tipo internacional, que dan cuenta de la calidad de estos; se
trata de una herramienta de productividad y certificación muy valorada.

Para alcanzar un estándar es necesario documentar los procesos y someterlos a control

permanente, tanto interno como externo, a través de auditorías. Veamos a continuación en qué
consiste el control interno.

1.1.1. CONTROL INTERNO. OBJETIVOS Y EJEMPLOS DE RIESGO Y

CONTROLES
El control interno de los procesos informáticos pretende determinar y valorar los métodos y el
desempeño en todas las áreas considerando aspectos económicos, de estructura organizativa,
políticas y los procedimientos. Obviamente que su objetivo supremo es contribuir con información
a la dirección de la empresa para que la administración sea óptima, descubriendo las deficiencias o
irregularidades y entregar posibles soluciones. Está a cargo de evaluar el cumplimiento de las
normas externas e internas de protección, así como los procedimientos y controles establecidos
para minimizar el riesgo, para luego entregar recomendaciones de mejora en la implementación
de acciones convenientes para que las operaciones se realicen con seguridad y eficiencia.

En el área informática el control interno está dirigido a eliminar o minimizar los principales riesgos:
confidencialidad, integridad y disponibilidad de la información.

IACC-2019
5
SEMANA 2 – EVALUACIÓN DE PROCESOS INFORMÁTICOS

Las funciones del control interno informático son:

• Apoyar y asesorar en diferentes niveles y en todas las áreas de la
empresa el cumplimiento efectivo de sus responsabilidades.
• Anticipar y solucionar los problemas informáticos potenciales futuros.
• Elaborar los manuales y documentación informativa con criterios
unificados y estandarizados que conforman la norma y determina los
controles que se realizan dentro de la empresa.
• Hacer seguimiento a las recomendaciones y medidas de mejora
planteadas para las diferentes tareas y procesos.

1.2. CONTROL SELF ASSESMENT. AUDITORÍA CONTINUA

Se trata de una técnica desarrollada en 1987 que es utilizada por muchas organizaciones para
asegurar la efectividad de la administración y los procesos de control frente a los riesgos. Dicho en
palabras simples es un proceso de autoevaluación que identifica los procesos de mayor riesgo
dentro de la organización y con ello permite a los auditores internos planificar de manera más
efectiva los procesos de control y monitoreo.

La principal diferencia del control self assesment, en relación con un mecanismo más tradicional
de control es que las pruebas y supervisiones son realizadas por personal cuyas responsabilidades
cotidianas están dentro de la unidad de negocios que se evalúa, lo que supone un mayor
conocimiento y compromiso con el proceso.

Algunos de los beneficios de contar con un sistema de autoevaluación es que establece

claramente las responsabilidades de control; reduce el riesgo asociado al proceso que se controla.
Este mecanismo es obligatorio, por ejemplo, este procedimiento es requisito para los sistemas de
TI y los procesos operativos del sector financiero, regulado por el Consejo de Examen de
Instituciones Financieras Federales (FFIEC, por su nombre en inglés), entidad par de la chilena
Comisión para el Mercado Financiero (CMF).

La autoevaluación cuenta con 3 pasos fundamentales:

IACC-2019
6
SEMANA 2 – EVALUACIÓN DE PROCESOS INFORMÁTICOS

•Documentar los procesos de control de la organización con el objetivo de

identificar formas adecuadas de medir o probar cada control.
Paso 1
•Elaborar los instrumentos y procedimientos para realizar el control del proceso.
Estos pueden ser de 2 tipos:
•Talleres que involucran a parte o todo el personal de la unidad de negocios que se
Paso 2 está probando;
•Encuestas o cuestionarios completados independientemente por el personal.

•Análisis de resultados y mapeo de las respuestas en un esquema que muestra las

áreas potenciales de vulnerabilidad. Este esquema se conoce como "mapa de
Paso 3 calor"

Figura 2. Pasos para una Autoevaluación

Fuente: Elaboración propia.

A nivel internacional este procedimiento tiene amplia aceptación y existe en la actualidad al

menos seis metodologías definidas para su aplicación.

• Auditoría interna del cuestionario de control interno (ICQ).

• Cuestionarios personalizados.
• Guías de control.
• Técnicas de entrevista.
• Talleres modelo de control.
• Talleres interactivos.

La primera de ellas es la más utilizada en ambientes de tecnología de la información, pues

proporciona una técnica rentable para determinar el estado de los controles de seguridad de la
información, identificar cualquier debilidad y, cuando es necesario, definir un plan de mejora. Fue
diseñada para las agencias federales de los Estados Unidos, pero actualmente es utilizada por
diversas organizaciones del sector privado a nivel mundial.

IACC-2019
7
SEMANA 2 – EVALUACIÓN DE PROCESOS INFORMÁTICOS

1.3. EL MODELO COBIT: MISIÓN, ALCANCE, ESTÁNDARES Y

NORMAS
Cobit es la sigla de Control Objectives for Information Systems and Related Technology; dicho en
español: Objetivos de Control para Tecnología de Información y Tecnologías relacionadas. Se trata
de un modelo que responde al control self assesment, siendo especialmente diseñada para
evaluaciones enfocadas en tecnología de la información (TI).

La misión de Cobit es desarrollar, publicar y promover un conjunto internacional de objetivos de

control de tecnologías de la información para el uso diario por parte de gestores de negocio y
auditores en el área donde se utilice la tecnología, incluyendo los computadores personales y las
redes; por esta misma razón su alcance es muy amplio pero se centra principalmente en los tipos
de redes y conexiones; la información y programas transmitidos; el uso de cifrado; los tipos de
transacciones; los tipos de terminales y protecciones; la transferencia de archivos y controles
existentes; la internet e intranet.

• ¿Cuál es la función de un estándar de gestión como Cobit?

Ofrecer un conjunto de buenas prácticas a las organizaciones,

en los manejos de los sistemas de información de modo que
puedan asegurar la confidencialidad, integridad y
disponibilidad de la información.

Como estándar de gestión, Cobit es un conjunto de buenas prácticas orientadas a la ejecución de

los sistemas de información de las empresas, orientado a certificar gestión de la organización,
protegiendo los intereses de stakeholders; asegurar el cumplimiento normativo del sector al que
pertenezca la empresa; mejorar la eficacia y eficiencia de los procesos y actividades; y asegurar la
confidencialidad, integridad y disponibilidad de la información.

Fundamentalmente tiene tres componentes:

• De descripción de proceso, que proporciona un modelo de referencia de los procesos de

una organización y su propiedad.
• De objetivos de control, que aporta un conjunto de requisitos que se consideran
necesarios para un control efectivo de cada proceso de TI con la organización.

IACC-2019
8
SEMANA 2 – EVALUACIÓN DE PROCESOS INFORMÁTICOS

• De directrices de gestión, que entrega un mecanismo de evaluación que genera un modelo

de madurez que indica si la organización cumple con sus objetivos de control.

La premisa de este modelo es simple y pragmática: la gestión de los recursos de las Tecnologías de
la Información (TI) se realiza mediante un conjunto de procesos agrupados de forma natural, los
que proporcionan la información que la empresa necesita para alcanzar sus objetivos. A partir de
esta definición basal, Cobit se estructura o construye en 3 niveles: dominios, procesos y
actividades. Revisaremos las definiciones y relaciones que sustentan el modelo.

Cobit abarca controles específicos de tecnología de información desde una perspectiva de

negocios por medio de modelos de evaluación y monitoreo. El uso de sus recursos debe usarse
como guía para aplicar las mejores prácticas.

De acuerdo con lo indicado por Peña (2012), Cobit se basa en cinco principios básicos, que son los
siguientes:

1. Satisfacción de las necesidades de las partes interesadas. Las necesidades de las partes
interesadas deben ser transformadas en una estrategia accionable para la organización. Las metas
en cascada de Cobit traducen las metas corporativas de alto nivel en otras metas más manejables,
específicas, relacionadas con TI y mapeándolas con procesos y prácticas específicas.

2. Cobertura de toda la empresa. Las organizaciones deben de cambiar su visión, con el objetivo
de considerar el área de tecnologías de la información como un activo y no un costo. Los directivos
deben tomar la responsabilidad de gobernar y gestionar los activos relacionados con las
tecnologías de la información dentro de sus propias funciones.

3. Aplicación de un marco de referencia único e integrado. Hay muchos estándares y mejores

prácticas relacionadas con tecnologías de la información, cada uno de los cuales suministra
orientación con respecto a un subconjunto de actividades de tecnologías de la información. Cobit
se alinea con otros estándares y marcos relevantes a un nivel alto y, de este modo, puede servir
como el marco de referencia global para la gestión y el gobierno de tecnologías de la información
de la empresa.

4. Habilitación de un enfoque holístico. El gobierno de tecnologías de la información de la

empresa requiere de un enfoque holístico que tome en cuenta muchos componentes, también
conocidos como habilitadores. Los habilitadores influyen en que algo vaya a funcionar o no. Cobit
incluye siete habilitadores para mejorar el gobierno de tecnologías de la información, como los
principios, las políticas y marcos, los procesos, la cultura, la información y la gente.

5. Separación de gobierno y gestión. El gobierno asegura que se evalúen las necesidades,

condiciones y opciones de las partes interesadas para determinar objetivos equilibrados y
acordados; se determine la dirección a través de la priorización y la toma de decisiones; y se

IACC-2019
9
SEMANA 2 – EVALUACIÓN DE PROCESOS INFORMÁTICOS

monitoree el desempeño y cumplimiento en relación con la dirección y los objetivos acordados. La

gerencia planifica, construye, ejecuta y monitorea actividades en alineación con la dirección
establecida por el órgano de gobierno para alcanzar los objetivos de la empresa.

De forma conjunta, estos cinco principios permiten que la empresa desarrolle un marco eficaz de
gobierno y gestión que optimiza la inversión en información y tecnología y su uso para beneficio
de las partes interesadas.

De acuerdo con lo indicado por Peña (2012), los lineamientos y estándares internacionales
conocidos como Cobit definen un marco de referencia que clasifica los procesos de las unidades
de tecnología de información de las organizaciones en cuatro dominios principales:

1. Planificación y organización: abarca las directrices, tácticas y forma en que la tecnología de

información ayuda al logro de la visión estratégica planeada, comunicada y administrada desde las
diferentes perspectivas del negocio y consecución de los objetivos estratégicos.

2. Adquisición e implantación: para ejecutar la estrategia de tecnologías de la información, las

soluciones deben ser identificadas, desarrolladas o adquiridas, además de implementadas e
integradas dentro del proceso de negocio. Este dominio cubre cambios o mantenimientos
realizados a sistemas existentes.

3. Soporte y servicios: abarca los servicios requeridos desde operaciones tradicionales hasta el
entrenamiento, tomando en cuenta la seguridad y aspectos de continuidad. Para la definición de
servicios se deben establecer los procesos de soporte necesarios.

4. Monitoreo: todos los procesos deben ser evaluados constantemente para verificar su calidad y
suficiencia en cuanto a los requerimientos de control.

IACC-2019
10
SEMANA 2 – EVALUACIÓN DE PROCESOS INFORMÁTICOS

1.4. DEFINICIONES Y RELACIONES. EL CUBO DEL COBIT

Como se dijo en el párrafo anterior, la estructura de Cobit tiene 3 niveles. A continuación, se

revisará la definición de cada uno.

Los DOMINIOS son agrupación de procesos que de

manera natural y por lo general corresponden a una
responsabilidad organizacional.

Los PROCESOS son el conjuntos o serie de actividades

unidas con delimitación o cortes de control.

Las ACTIVIDADES son las acciones requeridas para lograr

un resultado medible, es decir, que puedan ser
controladas y analizadas a lo largo del tiempo.

Figura 3. Estructura Cobit

Fuente: Elaboración propia.

Como se desprende del recuadro, existe una relación directa e inseparable entre los 3 niveles de la
estructura. Para la aplicación de Cobit en una organización es necesario agrupar las actividades en
procesos y los procesos en dominios. El modelo determina 4 grandes dominios y 34 objetivos de
control general, de las acciones que conforman todos los procesos.

IACC-2019
11
SEMANA 2 – EVALUACIÓN DE PROCESOS INFORMÁTICOS

El método considera además que la organización cuenta con recursos diversos requeridos para
que esos procesos ocurran y con ello se alcance el objetivo del negocio. Esos recursos son, entre
otros, personas, aplicaciones/softwares, infraestructura. Estos recursos son evaluados por este
procedimiento en función de:

• La efectividad, es decir el cumplimiento de objetivos.

• La eficiencia: la obtención de los objetivos con el máximo aprovechamiento de los
recursos.
• La confidencialidad.
• La integridad.
• La disponibilidad.
• El cumplimiento regulatorio.
• La fiabilidad.

Figura 3: Cubo del Cobit.

Fuente: Elaboración propia.

IACC-2019
12
SEMANA 2 – EVALUACIÓN DE PROCESOS INFORMÁTICOS

1.5. REQUERIMIENTOS DE NEGOCIO: CALIDAD, FINANCIERO Y

SEGURIDAD
Como se ha visto en los puntos anteriores, Cobit es un modelo que se basa en una revisión crítica y
analítica de las actividades, procesos y dominios de la tecnología de información (TI) y tecnologías
relacionadas. Para lograr su objetivo tiene una estructura basada en la integración y conciliación
de normas, reglamentaciones y procedimientos de evaluación como ISO, ISACA, COSO, SAC y SAS
en cuanto los requerimientos de calidad, financiamiento y seguridad.

Los requerimientos describen una conducta en cuanto al rendimiento, la estructura y

características que se exigen en un determinado procedimiento. Dicho de otra forma, es una
condición o circunstancia que debe existir para cumplir con un objetivo o lograr un resultado. En el
contexto de Cobit, se revisarán las implicancias de estos requerimientos.

Requerimientos de calidad Requerimientos Requerimiento de

• Confiabilidad
Se refiere a contar con la
información apropiada para la
toma de decisiones que estén
en línea con los estándares de
calidad definidos por la
organización.
• Costo
Vincular las metas de negocio
con las metas de TI,
brindando métricas y modelos
de madurez para medir sus
logros, e identificando las
responsabilidades asociadas
de los propietarios de los
procesos de negocio y de TI.
• Oportunidad
Que la información y
equipamientos estén en el
tiempo indicado, según lo
requieran los procesos del
negocio.
financieros
• Efectividad
Se refiere a la entrega
correcta, oportuna,
consistente y útil de la
información relevante para el
negocio.
• Eficiencia
Se refiere al óptimo
suministro de información, a
través de los recursos más
productivos y económicos.
• Confiabilidad
También se refiere a contar
con información apropiada,
en este caso en el contexto
financiero.
• Cumplimiento de leyes y
regulaciones.
Fuente: Elaboración propia.
seguridad
• Confidencialidad
Se refiere a la protección de la
información que, por motivos
estratégicos resulta sensible y
no puede ser divulgada sin
autorización.
• Integridad
Está relacionada con la
protección de la información,
velando por su validez.
• Disponibilidad.
Se refiere a que el acceso a la
información sea accesible
cuando los procesos del
negocio lo requieran.

IACC-2019
13
SEMANA 2 – EVALUACIÓN DE PROCESOS INFORMÁTICOS

• ¿Confidencialidad, integridad y disponibilidad son todos

requerimientos de seguridad idénticos?

1.6. LOS DOMINIOS DE COBIT: PLANEAMIENTO Y

ORGANIZACIÓN, ADQUISICIÓN E IMPLANTACIÓN, SERVICIO Y
SOPORTE Y MONITOREO
Los cuatro dominios son: planificación y organización; adquisición e implementación; entrega y
soporte; supervisión y evaluación. Como ya se comentó, en cada uno de estos dominios hay
procesos del negocio que requieren el establecimiento de objetivos de control y la
implementación de dichos controles. A continuación, se revisará en qué consiste cada dominio y
cuáles son los procesos que el método fija como estándar de control.

DOMINIO Planificación y organización (PO)

DEFINICIÓN
PROCESOS ESTABLECIDOS
EN EL MÉTODO COBIT
La dirección de la organización debe involucrarse en la definición de
la estrategia y tácticas a seguir en el ámbito de los sistemas de
información, de forma que sea posible proporcionar los servicios que
requieran las diferentes áreas de negocio, para la consecución de la
visión estratégica planteada.
PO1 Definir el plan estratégico de TI. El objetivo es lograr un
equilibrio óptimo entre las oportunidades de tecnología de
información y los requerimientos de TI de negocio, para asegurar sus
logros futuros.

PO2 Definir la arquitectura de la información. El objetivo es

satisfacer los requerimientos de negocio, a través de la mejor
organización posible de los sistemas de información, mediante un
modelo de información de negocio.

IACC-2019
14
SEMANA 2 – EVALUACIÓN DE PROCESOS INFORMÁTICOS

PO3 Determinar la dirección tecnológica. El objetivo es hacer rendir

al máximo la tecnología disponible o emergente, satisfaciendo los
requerimientos de negocio, a través de un plan de infraestructura
tecnológica.

PO4 Definir procesos, organización y relaciones de TI. EL objetivo es

prestar de la mejor forma posible los servicios de TI, mediante una
organización conveniente en número y habilidades, con tareas y
responsabilidades definidas y comunicadas.

PO5 Administrar la inversión en TI. El objetivo es lograr la

satisfacción de los requerimientos de negocio, asegurando el
financiamiento y el control de desembolsos de recursos financieros.

PO6 Comunicar las aspiraciones y la dirección de la gerencia. El

objetivo es asegurar que los usuarios conozcan y comprendan las
aspiraciones de la gerencia, mediante políticas establecidas y
transmitidas a la comunidad.

PO7 Administrar recursos humanos de TI. El objetivo es aumentar y

rentabilizar las contribuciones del personal a los procesos de TI, para
satisfacer los requerimientos de negocio. Esto se logra a través de
técnicas sólidas para administración de personal.

PO8 Asegurar el cumplimiento con los requerimientos externos. El

objetivo es acatar las obligaciones legales, regulatorias y
contractuales a las que está llamada la empresa, para lo cual deben
ser identificados y analizados los requerimientos externos y las
medidas internas para darles cumplimiento.

PO9 Evaluación de riesgos. El objetivo es garantizar el logro de los

objetivos de TI y responder a las amenazas a las que está expuesta la
provisión del servicio de tecnologías de la información.

PO10 Administración de proyectos. El objetivo es definir las

prioridades para la entrega de servicios oportunos y de acuerdo con
el presupuesto de inversión previamente definido.

PO11 Administración de calidad. El objetivo es satisfacer los

requerimientos del cliente, para lo cual es necesario contar con una
planeación, implementación y mantenimiento de estándares y
sistemas de administración de calidad, por parte de la organización.

IACC-2019
15
SEMANA 2 – EVALUACIÓN DE PROCESOS INFORMÁTICOS

Este dominio se refiere a la identificación de la forma en que la TI puede contribuir de la mejor

manera al logro de los objetivos de negocio. Requiere el establecimiento de una organización e
infraestructura tecnológica apropiadas al logro de los objetivos organizacionales.

DOMINIO Adquisición e implementación (AI)

DEFINICIÓN
PROCESOS ESTABLECIDOS
EN EL MÉTODO COBIT
Las adquisiciones de software y el desarrollo de herramientas a
medida y su posterior mantenimiento debe estar alineado con las
necesidades del negocio.
AI1 Identificar soluciones automatizadas. El objetivo es garantizar el
mejor enfoque para cumplir con los requerimientos del usuario, lo
que se logra a través del análisis de las oportunidades alternativas
comparadas contra los requerimientos de los usuarios.

AI2 Adquirir y mantener el software aplicativo. El objetivo es

entregar funciones automatizadas que soporten efectivamente al
negocio, mediante declaraciones específicas sobre requerimientos
funcionales y operacionales y una implementación estructurada con
entregables claros.

AI3 Adquirir y mantener la infraestructura tecnológica. El objetivo

es suministrar plataformas apropiadas para soportar las aplicaciones
del negocio.

AI4 Facilitar la operación y el uso. El objetivo es garantizar el uso

apropiado de las aplicaciones y de las soluciones tecnológicas
establecidas. Para lograrlo es necesario contar con manuales de
procedimientos de operaciones para usuarios, requerimientos de
servicio y material de entrenamiento.

AI5 Adquirir recursos de TI. El objetivo es comprobar que la solución

TI sea adecuada para el propósito deseado.

AI6 Administrar cambios. El objetivo es mermar la probabilidad de

interrupciones, alteraciones no autorizadas y errores, a través de un
sistema de análisis, implementación y seguimiento de todos los
cambios requeridos y llevados a cabo a la infraestructura de TI
vigente.

AI7 Instalar y acreditar soluciones y cambios. El objetivo es

administrar la liberación y distribución de software de acuerdo con
los procedimientos formales, asegurando aprobación, empaque,
pruebas de regresión, entrega; estableciendo medidas de control
específicas para asegurar la integridad y forma oportuna.

IACC-2019
16
SEMANA 2 – EVALUACIÓN DE PROCESOS INFORMÁTICOS

Este dominio cubre los cambios y el mantenimiento realizados a los sistemas existentes, así como
la implementación e integración de nuevas opciones que mejoren el o los procesos del negocio.

DOMINIO Entrega y soporte (DS)

DEFINICIÓN
PROCESOS ESTABLECIDOS
EN EL MÉTODO COBIT
La entrega y soporte de servicios se encuentran constituidos por
diversos procesos orientados a asegurar la eficacia y eficiencia de los
sistemas de información.
DS1 Definir y administrar niveles de servicio. El objetivo es crear
convenios de niveles de servicio que formalicen los criterios de
desempeño contra los cuales se medirá la cantidad y la calidad del
servicio.

DS2 Administrar servicios de terceros. El objetivo es garantizar que

las tareas y responsabilidades de las terceras partes están
claramente definidas, se cumplen y satisfacen los requerimientos, a
través de medidas de control dirigidas a la revisión y monitoreo de
contratos y procedimientos existentes, en cuanto a su efectividad y
suficiencia, con respecto a las políticas de la organización

DS3 Administrar desempeño y capacidad. El objetivo es controlar

manejo de cargas de trabajo, tamaño de aplicaciones, manejo y
demanda de recursos para asegurar que la capacidad apropiada está
disponible y que se hace el mejor uso de ella, para alcanzar el
desempeño deseado.

DS4 Garantizar la continuidad del servicio. El objetivo es mantener

el servicio disponible de acuerdo con los requerimientos y continuar
su provisión en caso de interrupciones, para lo cual debe existir un
plan de continuidad probado y funcional, alineado con el plan de
continuidad del negocio y con los requerimientos de negocio.

DS5 Garantizar la seguridad de los sistemas. El objetivo es proteger

la información contra uso no autorizados, divulgación, modificación,
daño o pérdida, mediante controles de acceso lógico para usuarios
autorizados.

DS6 Identificar y asignar costos. El objetivo es velar por un

conocimiento correcto de los costos atribuibles a los servicios de TI,
para ello es necesario un sistema de contabilidad de costos que
asegure que éstos se registran, calculan y asignan a los niveles
requeridos.

DS7 Educar y entrenar a los usuarios. El objetivo es asegurar que los

usuarios estén haciendo un uso efectivo de la tecnología y estén
conscientes de los riesgos y responsabilidades involucrados. Es

IACC-2019
17
SEMANA 2 – EVALUACIÓN DE PROCESOS INFORMÁTICOS

necesario contar e implementar un plan completo de entrenamiento

y desarrollo.

DS8 Administrar la mesa de servicio y los incidentes. El objetivo es

asegurar que cualquier problema experimentado por los usuarios
sea atendido apropiadamente.

DS9 Administrar la configuración. El objetivo es mantener un

registro actualizando de todos los componentes de TI, prevenir
alteraciones no autorizadas, verificar la existencia física y
proporcionar una base para el correcto manejo de cambios;
realizando controles que identifican y registran todos los activos de
TI, su localización física y un programa regular de verificación que
confirme su existencia.

DS10 Administrar los problemas. El objetivo es garantizar que los

problemas e incidentes se resuelvan y sus causas se investigan para
prevenir que vuelvan a ocurrir. El sistema de administración de
incidentes debe realizar un seguimiento de las causas a partir de un
incidente dado.

DS11 Administrar los datos. El objetivo es velar que los datos

permanezcan completos, precisos y válidos durante su entrada,
actualización, salida y almacenamiento. Esto requiere una
combinación efectiva de controles generales y de aplicación sobre
las operaciones de TI que asegurar la integridad, autenticidad y
confidencialidad.

DS12 Administrar el ambiente físico. El objetivo es facilitar un

ambiente físico conveniente que proteja al equipo y al personal de TI
contra peligros naturales y/o fallas humanas, definiendo
procedimientos para el control de acceso del personal a las
instalaciones y la seguridad física de las personas.

DS13 Administrar las operaciones. El objetivo es garantizar que las

funciones de soporte de TI se ejecuten regularmente y de manera
ordenada. Para ello se debe establecer un calendario de actividades
de revisión y documentar los procedimientos para todas las
operaciones de tecnología de información, para garantizar su
eficiencia y cumplimiento.

IACC-2019
18
SEMANA 2 – EVALUACIÓN DE PROCESOS INFORMÁTICOS

Este dominio abarca tanto las operaciones tradicionales como la seguridad los aspectos de
continuidad, el procesamiento de los datos o controles de aplicación y el entrenamiento de los
usuarios.

DOMINIO Supervisión y evaluación

DEFINICIÓN Los sistemas deben estar alineados con la estratégica del negocio; se
debe verificar las desviaciones en base a los acuerdos del nivel de
servicio y validar el cumplimiento regulatorio; siempre con una visión
objetiva de la situación.
PROCESOS ESTABLECIDOS ME1 Monitorear y evaluar el desempeño de TI. El objetivo es
EN EL MÉTODO COBIT asegurar que se logran los objetivos establecidos para los procesos
de TI.

ME2 Monitorear y evaluar el control interno. El objetivo es verificar

el logro de los objetivos de control interno establecidos para los
procesos de TI. Esto implica realizar actividades administrativas y de
supervisión, comparaciones, reconciliaciones y otras acciones
rutinarias.

ME3 Garantizar cumplimiento regulatorio. El objetivo es velar por el

cumplimiento de las leyes, regulaciones y requerimientos
contractuales.

ME4 Proporcionar gobierno de TI. El objetivo es contar con un

marco de trabajo de administración efectivo, con estructuras,
procesos, liderazgo, roles y responsabilidades organizacionales.

IACC-2019
19
SEMANA 2 – EVALUACIÓN DE PROCESOS INFORMÁTICOS

COMENTARIO FINAL
Hemos revisado en teoría uno de los métodos de control y evaluación de los procesos informáticos
más utilizados a nivel internacional en el área de TI, el modelo Cobit. Una de las razones por las
cuales éste es uno de los procedimientos más utilizados es porque, si bien se trata de un marco
general, su flexibilidad y versatilidad permiten adaptarlo a cualquier tipo y tamaño de empresa. El
método es un estándar no obligatorio aun pero muy recomendado en los ámbitos financieros
dada la posibilidad de implementación gradual y progresiva acorde con los recursos disponibles y
acompañado en la estrategia empresarial.

Entre las ventajas de utilizar Cobit se destacan la protección de la información, el uso de las
mejores prácticas para el monitoreo y gestión de las actividades y procesos de TI, alineándolas a
los objetivos estratégicos de la organización; la atribución de roles y responsabilidades que dan un
marco de referencia a la administración de TI; la revisión permanente de los procesos.

Sin duda que la principal desventaja de implementar Cobit es el necesario esfuerzo de la

organización, para adoptar los estándares y el cambio cultural en las personas que requiere el uso
de este método. Es por esta razón que nos interesa que dentro de tu proceso formativo seas capaz
de aplicar controles internos según este modelo, para lo cual te invito a realizar la tarea de la
semana.

IACC-2019
20
SEMANA 2 – EVALUACIÓN DE PROCESOS INFORMÁTICOS

REFERENCIAS
Peña, J. (2012). Cobit 5. Evento Técnico 3 de mayo de 2012. Recuperado de:

http://www.isaca.org/chapters7/Monterrey/Events/Documents/20120305%20CobiT%205

.pdf.

PARA REFERENCIAR ESTE DOCUMENTO, CONSIDERE:

IACC (2020). Los procesos informáticos y la auditoría informática. Parte II.

Evaluación de Procesos Informáticos. Semana 2.

IACC-2019
21
SEMANA 2 – EVALUACIÓN DE PROCESOS INFORMÁTICOS

IACC-2019
22