PROYECTO “UMGAS22011-A”

Características Generales del aplicativo a realizar:

• Debe incluir un enfoque de proyecto que guiara al usuario a través de los distintos
pasos del proceso de evaluación.
• Permitirá definir diferentes niveles de acceso para cada propietario o usuario
asignándole un login y una contraseña, posibilitando un acceso selectivo para cada
uno de los 34 procesos de COBIT.
• Deberá genera automáticamente un ranking de los proceso de acuerdo al resultado
obtenido con las plantillas de evaluación de auditoría.
• Permitirá la administración de la ponderación interna que puede utilizar el software
para cada objetivo de control, a efectos de personalizarlos respecto de las
peculiaridades de cada organización bajo medición. Como resultado del
procedimiento de ponderación, se puede obtener un valor cuantitativo para cada
proceso.
• Permitirá evaluar grandes corporaciones con recursos de TI distribuidos en
diferentes ubicaciones a través de la creación de varios centros de análisis, con la
posibilidad de consolidar los resultados en forma global o local.
• Permite una revisión periódica de la evolución de las decisiones efectuadas por la
Dirección a través de graficas de comparación de los diagnósticos de los diferentes
periodos evaluados.
DESCRIPCIO& GE&ERAL DEL APLICATIVO
La elaboración del aplicativo cumplirá con las siguientes
necesidades:
ASEGURAMIE&TO DE LA I&FORMACIO&

El aseguramiento de la información es la base sobre la que se construye la toma de

decisiones de una organización. Sin aseguramiento, las empresas no tienen certidumbre de
que la información sobre la que sustentan sus decisiones de misión crítica es confiable,
segura y está disponible cuando se la necesita.

Definimos Aseguramiento de la Información como la utilización de información y de

diferentes actividades operativas con el fin de proteger la información, los sistemas de
información y las redes, de forma de preservar la disponibilidad, la integridad, la
confidencialidad, la autenticación y el no repudio, ante el riesgo de impacto de amenazas
locales, o remotas a través de comunicaciones e Internet.

COBIT - AUTOEVALUACIO& DE CO&TROLES

Es una técnica gerencial que asegura a todos aquellos con intereses en el negocio, que el
sistema de control interno del mismo es confiable.

También asegura que los empleados son concientes de los riesgos del negocio, y que llevan
adelante revisiones proactivas periódicas de los controles.

COBIT - GUIAS DE AUDITORIA

Dan una estructura simple para auditar los controles en TI.

Son genéricas y estructuradas a alto nivel.

Permiten la revisión de Procesos contra los Objetivos de Control en TI.

SE AUDITA ME&DIA&TE LOS SIGUIE&TES PASOS

1. Obtener un entendimiento de los requerimientos del negocio, los riesgos relacionados, y

las medidas de control relevantes.

2. Evaluar la conveniencia de los controles establecidos.

3. Evaluar el cumplimiento al probar si los controles establecidos están funcionando como se

espera, de manera consistente y continua.

4. Justificar el riesgo de que los objetivos de control no se estén cumpliendo mediante el uso
de técnicas analíticas y/o consultando fuentes alternativas.
GUIA GE&ERICA DE AUDITORIA

Obtener entendimiento

Los pasos de auditoría a realizar para documentar las actividades subyacentes a los
objetivos de control, así como también identificar las medidas/procedimientos de control
establecidas.

Entrevistar al personal administrativo y de staff indicado para lograr la comprensión de:

 Los requerimientos del negocio y los riesgos asociados.

 La estructura organizacional.

 Los roles y responsabilidades.

 Las medidas de control establecidas.

 La actividad de reporte a la administración (estatus, desempeño, acciones).

Documentar los recursos de TI relacionados con el proceso que se ven especialmente

afectados por el proceso bajo revisión. Confirmar el entendimiento del proceso bajo
revisión, los Indicadores Clave de Desempeño (KPI) del proceso, las implicaciones de
control, por ejemplo, mediante un seguimiento paso a paso del proceso.

Evaluación de los controles

Los pasos de auditoría a realizar en la evaluación de la eficacia de las medidas de control

establecidas o el grado en el que se logra el objetivo de control. Básicamente, decidir qué se
va a probar, si se va a probar y cómo se va a probar.

Evaluar la conveniencia de las medidas de control para el proceso bajo revisión mediante la
consideración de los criterios identificados y las prácticas estándares de la industria, los
Factores Críticos de Éxito (CSF) de las medidas de control y la aplicación del juicio
profesional de auditor.

 Existen procesos documentados.

 Existen resultados apropiados.

 La responsabilidad y es clara y eficaz.

 Existen controles compensatorios en donde es necesario.

Concluir el grado en el que se cumple el objetivo de control.

Valoración del cumplimiento

Los pasos de auditoría a realizar para asegurar que las medidas de control establecidas estén
funcionando como es debido, de manera consistente y continua, y concluir sobre la
conveniencia de ambiente de control.

Obtener evidencia directa o indirecta de puntos/períodos seleccionados para asegurarse que

se ha cumplido con los procedimientos durante el período de revisión, utilizando evidencia
tanto directa como indirecta.

Realizar una revisión de la suficiencia de los resultados del proceso.

Determinar el nivel de pruebas justificantes y trabajo adicional necesarios para asegurar que
el proceso de TI es adecuado.

Justificar el riesgo

Los pasos de auditoría a realizar para justificar el riesgo de que no se cumpla el objetivo de
control mediante el uso de técnicas analíticas y/o consultas a fuentes alternativas.

Documentar las debilidades del control y las amenazas y vulnerabilidades resultantes.

Identificar y documentar el impacto real y potencial; por ejemplo, mediante el análisis de

causa-raíz.

Brindar información comparativa; por ejemplo, mediante puntos de referencia.

REQUERIMIENTOS GRAFICOS DE USUARIO
Para los procesos definidos por COBIT, se identifica la importancia, el desempeño, si ha sido
auditado, como se procesa y quien es el responsable.

El programa debe incluir los Objetivos de Control de COBIT y preguntas de seguridad de

plataformas especificas.
Se presentan los resultados en puntajes. De este modo se pueden determinar valores meta.

La línea roja indica el resultado obtenido. Cuanto mas próxima al centro, los riesgos se encuentran
menos cubiertos por controles.
Permite crear proyectos de auditoría
auditoría, asignar recursos
rsos y gestionarlos. El objetivo es determinar si
los controles del proceso ofrecen aseguramiento.

Se identifica el alineamiento entre los Objetivos de TI y los Objetivos de Negocio.

Se identifica como los recursos de TI contribuyen efectivamente al logro de los objetivos.

Se genera un Mapa de Calor a partir de los recursos de TI y los criterios de información requeridos.
Se registra cuando el Administrador o Supervisor crea un proyecto y lo asigna a los auditores. Se
establece también cuando se está en desacuerdo con una observación.

El programa guía en las diversas fases (entrevistas, etc ). Permite registrar tareas, adjuntar
evidencias y registrar observaciones.
Los auditores cuentan con Guías de Auditoria que constituyen una base de conocimiento que
mejora la calidad de la auditoria.

Se identifica quien la ejecuto, el tiempo invertido, comentarios, etc.

Las observaciones se definen en un formato que incluye determinar los criterios contra los que se
evalúa, las consecuencias, etc.

Reporte del programa de auditoría por proyecto.

Informe sobre el grado de fortaleza de los controles auditados.

Identificación de Hallazgos, opinión del auditado, seguimiento, etc.