DEPARTAMENTO DE INFORMATICA

AUDITORIA Y CONTROL DE CALIDAD

Profesores:

Limpia Concepción Ferreira Ortiz

Marco Antonio Leiva Fernández
Gloria Fretes
Damasco Alcides Sánchez Monjes
Flaminio Aranda Ibáñez
 DEPARTAMENTO DE INFORMATICA
AUDITORIA Y CONTROL DE CALIDAD

UNIDAD V
NORMAS DE AUDITORÍA
INFORMÁTICA
 UNIDAD V
Contenido
5 COBIT
5.1. Evolución del CobIT
5.2. Controles vs. Objetivos de control de TI
5.3. Objetivos del CobIT
5.4. Beneficios
5.5. Marco de control del CobIT
5.6. Principios del CobIT
5.7. Dominios del CobIT
5.8. Procesos del CobiT
5.9. Modelos de Madurez
Auditoría Informática - UNA
 Objetivos
 Conocer y analizar los lineamientos establecidos
en las normativas relativas a la aplicación de la
auditoría informática.
 Conocer los principios, reglas o procedimientos
que necesariamente debe aplicar un auditor para
realizar de manera eficaz sus labores de auditoría
 Conocer de manera particular que propone cada
Norma de Auditoria mencionada.

04/07/2020 AUDITORIA Y CONTROL DE CALIDAD 4

AUDITORIA Y CONTROL DE CALIDAD

UNIDAD VI

(Objetivos de Control para

Tecnología de Información y
Tecnologías relacionadas)
 Introducción
Los ejecutivos necesitan la certeza de que pueden
confiar en los sistemas de información y en la
información producida por los sistemas, y así
obtener un retorno positivo de las inversiones en TI.
 Los ejecutivos de negocios necesitan entender
mejor cómo dirigir y gestionar el uso de las TI en la
empresa y el estándar de mejores prácticas que se
espera de los proveedores de TI.
Necesitan de herramientas para dirigir y supervisar
todas las actividades relacionadas con las TI.

Auditoria Informática - U.N.A. 6

 COBIT: Concepto
⁻ COBIT es un marco de gobierno de las tecnologías de
información que proporciona una serie de herramientas
para que la gerencia pueda conectar los requerimientos
de control con los aspectos técnicos y los riesgos del
negocio
⁻ Ayuda en el desarrollo de políticas y buenas prácticas
para el control de las tecnologías en la organización
⁻ Ayuda a las organizaciones a incrementar su valor a
través de las tecnologías, y permite su alineamiento
con los objetivos del negocio
⁻ Información disponible en: www.isaca.org/cobit

Auditoria Informática - U.N.A. 7

 COBIT: Concepto
Es una guía de mejores prácticas presentada
como framework (marco de referencia), dirigida
al control y supervisión de tecnología de la
información (TI).
Mantenida por ISACA y el (IT Governance
Institute), tiene una serie de recursos que
pueden servir de modelo de referencia para la
gestión de TI, incluyendo un resumen ejecutivo,
un framework, objetivos de control, mapas de
auditoría, herramientas para su implementación y
principalmente, una guía de técnicas de gestión.
Auditoria Informática - U.N.A. 8
 COBIT: Concepto
COBIT es una herramienta de gobierno de TI,
se aplica a los sistemas de información de
toda la empresa, vinculando tecnología
informática y prácticas de control.
Esta basado en la filosofía de que los recursos
de TI necesitan ser administrados por un
conjunto de procesos naturalmente agrupados
para proveer la información pertinente y
confiable que requiere una organización para
lograr sus objetivos.

Auditoria Informática - U.N.A. 9

 COBIT
COBIT brinda un modelo genérico de procesos que
representan todos los procesos que normalmente se
encuentran en las funciones de TI, proporcionando un
modelo de referencia general y entendible para las
gerencias operacionales de TI y administrativa.
Para lograr los objetivos, los gerentes operacionales
deben implementar controles necesarios dentro de un
marco de control definido para todos los procesos TI.
Ya que los objetivos de control de TI de COBIT están
organizados por procesos de TI, el marco de trabajo
brinda vínculos claros entre los requerimientos de
gobierno de TI, los procesos y los controles de TI.

Auditoria Informática - U.N.A. 10

 Control VS Objetivo de control de TI
Control se define como las políticas,
procedimientos, prácticas y estructuras
organizacionales diseñadas para brindar una
seguridad razonable que los objetivos de negocio
se alcanzarán, y los eventos no deseados serán
prevenidos o detectados y corregidos.
Un objetivo de control de TI es una declaración del
resultado o fin que se desea lograr al implantar
procedimientos de control en una actividad de TI
en particular.
Los objetivos de control de COBIT son los
requerimientos mínimos para un control efectivo de
cada proceso de IT.
Auditoria Informática - U.N.A. 11
 ISACA
ISACA (Information Systems Audit and
Control Association) es una asociación
internacional que apoya y patrocina el
desarrollo de metodologías y certificaciones
para la realización de actividades de auditoría
y control en sistemas de información.
Son los custodios del framework COBIT;
Son los creadores del IT GI (IT Governance
Institute);
Web Site: www.isaca.org
Auditoria Informática - U.N.A. 12
 ISACA
Desarrollaron cuatro certificaciones profesionales:
 CISA - Certified Information Systems Auditor,
certificación de auditores de sistemas de información.
 CISM - Certified Information Security Manager:
Certificación de gestores de seguridad.
 CGEIT - Certified in the Governance of Enterprise IT:
Certificación de gestores del gobierno empresarial TI.
 CRISC - Certified in Risk and Information Systems
Control: Certificación de gestores de control de riesgos
en sistemas de información.

Auditoria Informática - U.N.A. 13

 Marco de referencia Cobit
REQUERIMIENTOS
DE NEGOCIO

CRITERIOS DE
INFORMACIÓN
PROCESOS DE
TI • efectividad
• eficiencia
• confidencialidad
• integridad
RECURSOS DE TI • disponibilidad
• cumplimiento
• confiabilidad
• aplicaciones
• calidad
• Información
• instalación

?
• infraestructura
• personal

14
 COBIT
Para que TI tenga éxito en satisfacer los requerimientos
del negocio, la dirección debe implantar un sistema de
control interno o un marco de trabajo.
COBIT contribuye a estas necesidades de la siguiente
manera:
1. Identificando los principales recursos de TI a ser
utilizados
2. Organizando las actividades de TI en un modelo de
procesos generalmente aceptado
3. Estableciendo un vínculo con los requerimientos del
negocio
4. Definiendo los objetivos de control gerenciales a ser
considerados
Auditoria Informática - U.N.A. 15
 COBIT - OBJETIVOS
El objetivo principal de COBIT consiste en proporcionar
guía de alto nivel sobre controles internos con tal de:

Asegurar el buen gobierno de TI, protegiendo los

intereses de clientes, accionistas, empleados, etc.
Garantizar el cumplimiento normativo del sector al
que pertenezca la organización
Mejorar la eficacia y eficiencia de los procesos y las
actividades de TI de la organización
Garantizar la confidencialidad, integridad y
disponibilidad de la información

Auditoria Informática - U.N.A. 16

Los beneficios de implementar COBIT
Una visión entendible para la gerencia de lo que
hace TI
Optimizar los servicios y el costo de implantar
tecnología
Cumplimiento de los requerimientos para el
ambiente de control de TI
Apoyar el cumplimiento de las leyes, políticas
reglamentos, acuerdos contractuales, etc.
Gestión de nuevas tecnologías de información

Auditoria Informática - U.N.A. 17

 COBIT - USUARIOS
La Gerencia: para apoyar sus decisiones de
inversión en TI y control sobre el rendimiento de
las mismas, analizar el costo beneficio del control.
Los Usuarios Finales: quienes obtienen una
garantía sobre la seguridad y el control de los
productos que adquieren interna y externamente.
Los Auditores: para soportar sus opiniones sobre
los controles de los proyectos de TI, su impacto
en la organización y determinar el control mínimo
requerido.
Los Responsables de TI: para identificar los
controles que requieren en sus áreas.
Auditoria Informática - U.N.A. 18
 COBIT HOY
- Compendio de mejores prácticas aceptadas
internacionalmente (ISO, ITIL, Val IT y Risk IT)
- Orientado al gerenciamiento de las tecnologías
- Complementado con herramientas y capacitación
- Gratuito
- Respaldado por una comunidad de expertos
- En evolución permanente
- Mantenido por una organización sin fines de lucro, con
reconocimiento internacional
- Mapeado con otros estándares
- Orientado a Procesos, sobre la base de Dominios de
Responsabilidad
Auditoria Informática - U.N.A. 19
 COBIT - ESTRUCTURA
- Se divide en tres niveles: Dominios, Procesos y Actividades

Cobit define que los

recursos de TI son
manejados por
procesos de TI para
lograr que las metas
de TI respondan a
los requerimientos
del negocio.

Auditoria Informática - U.N.A. 20

COBIT: Modelo de TI

Auditoria Informática - U.N.A. 21

 DOMINIOS DE COBIT

Planificación y Organización
Adquisición e implementación
Prestación y Soporte
Monitoreo y supervisión

Auditoria Informática - U.N.A. 22

 1. PLANEAR Y ORGANIZAR (PO)
Este dominio cubre las estrategias y las tácticas, y tiene que ver
con identificar la manera en que TI pueda contribuir de la
mejor manera al logro de los objetivos del negocio.
La realización de la visión estratégica requiere ser planeada,
comunicada y administrada desde diferentes perspectivas.
Se debe implementar una estructura organizacional y una
estructura tecnológica apropiada.
Este dominio cubre los siguientes cuestionamientos típicos de la
gerencia:
 ¿Están alineadas las estrategias de TI y del negocio?
 ¿La empresa está alcanzando un uso óptimo de sus recursos?
 ¿Entienden todas las personas dentro de la organización los
objetivos de TI?
 ¿Se entienden y administran los riesgos de TI?
 ¿Es apropiada la calidad de los sistemas de TI para las
necesidades del negocio?
Auditoria Informática - U.N.A. 23
 2. ADQUIRIR E IMPLEMENTAR
(AI)
 Para llevar a cabo la estrategia de TI, las soluciones de TI
necesitan ser identificadas, desarrolladas o adquiridas así
como la implementación e integración en los procesos del
negocio. Además, el cambio y el mantenimiento de los
sistemas existentes están cubierto por este dominio para
garantizar que las soluciones sigan satisfaciendo los objetivos
del negocio.
Este dominio, cubre los siguientes cuestionamientos de la
gerencia:
¿Los nuevos proyectos generan soluciones que satisfagan las
necesidades del negocio?
¿Los nuevos proyectos son entregados a tiempo y dentro del
presupuesto?
¿Trabajarán adecuadamente los nuevos sistemas una vez sean
implementados?
¿Los cambios afectarán las operaciones actuales del negocio?
Auditoria Informática - U.N.A. 24
 3.ENTREGAR Y DAR SOPORTE
(DS)
Este dominio cubre la entrega en sí de servicios requeridos,
lo que incluye la prestación del servicio, la administración de
la seguridad y de la continuidad, el soporte del servicio a los
usuarios, la administración de los datos y de las
instalaciones operacionales.
Por lo general aclara las siguientes preguntas de la gerencia:
¿Se están entregando los servicios de TI de acuerdo con las
prioridades del negocio?
¿Están optimizados los costos de TI?
¿Es capaz la fuerza de trabajo de utilizar los sistemas de TI
de manera productiva y segura?
¿Están implantadas de forma adecuada la confidencialidad, la
integridad y la disponibilidad?
Auditoria Informática - U.N.A. 25
4.MONITOREAR Y EVALUAR
(ME)
Todos los procesos de TI deben evaluarse de forma
regular en el tiempo en cuanto a su calidad y
cumplimiento de los requerimientos de control. Este
dominio abarca la administración del desempeño, el
monitoreo del control interno, el cumplimiento
regulatorio y la aplicación del gobierno.
Abarca las siguientes preguntas de la gerencia:
¿Se mide el desempeño de TI para detectar los problemas
antes de que sea demasiado tarde?
¿La Gerencia garantiza que los controles internos son
efectivos y eficientes?
¿Puede vincularse el desempeño de lo que TI ha realizado
con las metas del negocio
Auditoria Informática - U.N.A. 26
Dominio : Planificación y organización
PROCESOS DEL DOMINIO
PO 1 Definición de plan estratégico de TI
PO 2 Definir la Arquitectura de la Información
PO 3 Determinar la dirección tecnológica
PO 4 Definir la organización de TI y sus relaciones
PO 5 Administrar la inversión tecnológica
PO 6 Comunicación de la orientación administrativa
PO 7 Administración de RRHH
PO 8 Asegurar cumplimiento con requerimientos externos
PO 9 Evaluación de riesgos
PO 10 Administración de Proyectos
PO 11 Administración de Calidad
Auditoria Informática - U.N.A. 27
Planificación y organización - Procesos
• PO1 - Definición de un plan estratégico: planes estratégicos y
tácticos, alineación con las necesidades del negocio,
• P02 - Definición de la arquitectura de información: modelo de
arquitectura, diccionario de datos, clasificación de la
información, gestión de la integridad.
• P03 - Determinar las directrices tecnológicas: análisis de
tecnologías emergentes, monitorizar tendencias y regulaciones.
• P04 - Definición de procesos de IT, organización y relaciones:
análisis de los procesos, comités, estructura organizativa,
responsabilidades, propietarios de la información, supervisión,
segregación de funciones, políticas de contratación.
• P05 - Gestión de la inversión en tecnología: gestión financiera,
priorización de proyectos, presupuestos, gestión de los costes y
beneficios.

Auditoria Informática - U.N.A. 28

 Planificación y organización - Procesos
•P06 - Gestión de la comunicación: políticas y
procedimientos, concienciación de usuarios.
•P07 - Gestión de los recursos humanos de las tecnologías
de la información: contratación, competencias del personal,
roles, planes de formación, evaluación del desempeño de
los empleados.
•P08 - Gestión de la calidad: mejora continua, sistemas de
medición y monitorización de la calidad, estándares de
desarrollo y adquisición.
•P09 - Validación y gestión del riesgo de las tecnologías de la
información
•P10 - Gestión de proyectos: planificación, definición de
alcance, asignación de recursos, etc.
Auditoria Informática - U.N.A. 29
Dominio: Adquisición e implementación

PROCESOS DEL DOMINIO

AI 1 Identificar soluciones automatizadas
AI 2 Adquirir y mantener aplicaciones
AI 3 Adquirir y mantener infraestructura tecnológica
AI 4 Desarrollar y mantener procedimientos
AI 5 Instalar y acreditar nuevos sistemas
AI 6 Administrar cambios

Auditoria Informática - U.N.A. 30

 Adquisición e implementación - Procesos
•AI1 - Identificación de soluciones: análisis funcional y
técnico, análisis del riesgo, estudio de la viabilidad.
•AI2 - Adquisición y mantenimiento de aplicaciones:
Diseño, controles sobre la seguridad, desarrollo,
configuración, verificación de calidad, mantenimiento.
•AI3 - Adquisición y mantenimiento de la infraestructura
tecnológica: Plan de infraestructuras, controles de
protección y disponibilidad, mantenimiento.
•AI4 - Facilidad de uso: Formación a gerencia, usuarios,
operadores y personal de soporte.

Auditoria Informática - U.N.A. 31

 Adquisición e implementación - Procesos
•AI5 - Obtención de recursos tecnológicos: control y
asignación los recursos disponibles, gestión de
contratos con proveedores, procedimientos de
selección de proveedores.
•AI6 - Gestión de cambios: Procedimientos de
solicitud/autorización de cambios, verificación del
impacto y priorización, cambios de emergencia,
seguimiento de los cambios, actualización de
documentos.
•AI7 - Instalación y acreditación de soluciones y
cambios: Formación, pruebas técnicas y de usuario,
conversiones de datos, test de aceptación por el
cliente, traspaso a producción.

Auditoria Informática - U.N.A. 32

Dominio:Prestación y soporte
DS 1 Definir y administrar niveles de servicio
DS 2 Administrar servicios tercerizados
DS 3 Administrar capacidad y rendimiento
DS 4 Asegurar servicio continuo
DS 5 Asegurar sistemas de seguridad
DS 6 Identificar y alocar costos
DS 7 Educar y entrenar usuarios
DS 8 Asistir y aconsejar a clientes
DS 9 Administrar la configuración
DS 10 Administrar problemas e incidentes
DS 11 Administrar datos
DS 12 Administrar infraestructura
DS 13 Administrar operaciones
Auditoria Informática - U.N.A. 33
 Prestación y soporte - Procesos

• DS1 - Definición y gestión de los niveles de

servicio: SLA con usuarios/clientes
• DS2 - Gestión de servicios de terceros: gestión
de las relaciones con proveedores, valoración
del riesgo (non-disclousure agreements NDA),
monitorización del servicio.
• DS3 - Gestión del rendimiento y la capacidad:
planes de capacidad, monitorización del
rendimiento, disponibilidad de recursos.
Auditoria Informática - U.N.A. 34
 Prestación y soporte - Procesos
•DS4 - Asegurar la continuidad del servicio: plan de
continuidad, recursos críticos, recuperación de
servicios, copias de seguridad.
•DS5 - Garantizar la seguridad de los sistemas:
gestión de identidades, gestión de usuarios,
monitorización y tests de seguridad, protecciones de
seguridad, prevención y corrección de software
malicioso, seguridad de la red, intercambio de datos
sensibles.
•DS6 - Identificar y asignar costes

Auditoria Informática - U.N.A. 35

 Prestación y soporte - Procesos
• DS7 - Formación a usuarios: identificar
necesidades, planes de formación.
• DS8 - Gestión de incidentes y Help Desk:
registro y escalado de incidencias, análisis
de tendencias.
• DS9 - Gestión de configuraciones: definición
de configuraciones base, análisis de
integridad de configuraciones.

Auditoria Informática - U.N.A. 36

 Prestación y soporte - Procesos
•DS10 - Gestión de problemas: identificación y
clasificación, seguimiento, integración con la gestión
de incidentes y configuraciones.
•DS11 - Gestión de los datos: acuerdos para la
retención y almacenaje de los datos, copias de
seguridad, pruebas de recuperación.
•DS12 - Gestión del entorno físico: acceso físico,
medidas de seguridad, medidas de protección
medioambientales.
•DS13 - Gestión de las operaciones: planificación de
tareas, mantenimiento preventivo.
Auditoria Informática - U.N.A. 37
Monitoreo o Supervisión - Procesos

M1 Monitorear los procesos

M2 Evaluar los controles internos
M3 Obtener seguridad independiente
M4 Proporcionar información para Auditoria Externa

Auditoria Informática - U.N.A. 38

COBIT: Modelo de TI

Auditoria Informática - U.N.A. 39

 DESCRIPCIÓN DEL PROCESO
Ejemplo
Adquisición e implementación
 AI4 Facilitar la Operación y el Uso
El conocimiento sobre los nuevos sistemas debe estar
disponible. Este proceso requiere la generación de
documentación y manuales para usuarios y para TI, y
proporciona entrenamiento para garantizar el uso y la
operación correcta de las aplicaciones y la
infraestructura que satisface el requerimiento del
negocio de TI, para garantizar la satisfacción de los
usuarios finales mediante ofrecimientos de servicios y
niveles de servicio, y de forma transparente integrar las
soluciones de aplicación y tecnología dentro de los
procesos del negocio
Auditoria Informática - U.N.A. 40
 AI4 Facilitar la Operación y el Uso
Enfocándose en
 Proporcionar efectivos manuales de operación de sistemas y
materiales de entrenamientos para transferir el conocimiento
necesario para la operación y el uso exitosos del sistema.
Se logra con
 El desarrollo y la disponibilidad de documentación para transferir el
conocimiento
 Comunicación y entrenamiento a usuarios y a la gerencia del
negocio, al personal de apoyo y al personal de operación
Y se mide con
 El número de aplicaciones en que los procedimientos de TI se
integran en forma transparente dentro de los procesos de negocio
 El número de aplicaciones que cuentan con un adecuado
entrenamiento de apoyo al usuario y a la operación
 El porcentaje de dueños de procesos de negocios satisfechos con el
entrenamiento de uso de aplicaciones y los materiales de apoyo
Auditoria Informática - U.N.A. 41
 Modelos de Madurez
Específicamente COBIT provee Modelos de
Madurez para el control sobre los procesos
de TI, de tal forma que la administración
pueda ubicarse en el punto donde la
organización está hoy, donde está en relación
con los “mejores de su clase” en su industria y
con los estándares internacionales; y así
mismo determinar a donde quiere llegar.

Auditoria Informática - U.N.A. 42

 Modelos de Madurez
 Modelos de Madurez para controlar los procesos TI:
consisten en el desarrollo de un método de puntaje que una
organización puede puntuar, desde un no existente a un
optimizado, los puntos son de 0 a 5.
 Derivada del Software Engineering Institute que definió para
medir la capacidad de desarrollo del Software (CMM).
 Se desarrolló para cada uno de los 34 objetivos de procesos de
Cobit para que la administración pueda mapear:
El estado actual de la organización – es decir donde la
organización está hoy día.
El estado actual de (los mejores en su clase) la industria –
comparación
El estado actual de los estándares internacionales – comparación
adicional
Y la estrategia de la organización para mejorar – es decir, donde la
organización desea estar.
q Auditoria Informática - U.N.A. 43
 Modelos de Madurez
No I n ic ia l R e p e tib le D e fin id o A d m in is O p tim iz a d o
e x is te -tr a d o
1 2 3 4 5

0 N o e x is te -- N o s e a p lic a a d m in is tr a c ió n a l
E s ta d o A c tu a l d e la E m p r e s a p roceso
E s tá n d a r I n te r n a c io n a l 1 I n ic ia l -- P r o c e s o H a d -H o c y d e s o r g a n iz a d o
2 R e p e tib le -- P r o c e s o s ig u e u n p a tr ó n r e g u la r
M e jo r P r á c tic a d e la 3 D e fin id o -- P r o c e s o D o c u m e n ta d o y
I n d u s tr ia c o m u n ic a d o
4 A d m in is tr a d o --P r o c e s o m o n ito r e a d o y m é d id o
E s tr a te g ía d e la E m p r e s a 5 O p tim iz a d o -- M e jo r e s P r á c tic a s s o n s e g u id a s y
Auditoria Informática - U.N.A.
a u to m a tiz a d a s 44
 Modelos de Madurez
 0 No existente. Carencia completa de cualquier proceso reconocible.
La empresa no ha reconocido siquiera que existe un problema a
resolver.
 1 Inicial. Existe evidencia que la empresa ha reconocido que los
problemas existen y requieren ser resueltos. Sin embargo; no existen
procesos estándar, en su lugar existen enfoques ad hoc que tienden a
ser aplicados de forma individual o caso por caso. El enfoque general
hacia la administración es desorganizado.
 2 Repetible. Se han desarrollado los procesos hasta el punto en que se
siguen procedimientos similares en diferentes áreas que realizan la
misma tarea. No hay entrenamiento o comunicación formal de los
procedimientos estándar, y se deja la responsabilidad al individuo. Existe
un alto grado de confianza en el conocimiento de los individuos y, por lo
tanto, los errores son muy probables.
 3 Definido. Los procedimientos se han estandarizado y documentado, y
se han difundido a través de entrenamiento. Sin embargo, se deja que
el individuo decida utilizar estos procesos, y es poco probable que se
detecten desviaciones. Los procedimientos en sí no son sofisticados pero
formalizan las prácticas existentes.
Auditoria Informática - U.N.A. 45
 Modelos de Madurez
 4 Administrado. Es posible monitorear y medir el
cumplimiento de los procedimientos y tomar medidas
cuando los procesos no estén trabajando de forma efectiva.
Los procesos están bajo constante mejora y proporcionan
buenas prácticas. Se usa la automatización y herramientas
de una manera limitada o fragmentada.
 5 Optimizado. Los procesos se han refinado hasta un nivel
de mejor práctica, se basan en los resultados de mejoras
continuas y en un modelo de madurez con otras empresas.
TI se usa de forma integrada para automatizar el flujo de
trabajo, brindando herramientas para mejorar la calidad y la
efectividad, haciendo que la empresa se adapte de manera
rápida.

Auditoria Informática - U.N.A. 46

 COBIT

 Algunas consideraciones de como

utilizar el manual de COBIT

Auditoria Informática - U.N.A. 47

 Matriz RACI
 Matriz de asignación de responsabilidad, o RACI, son así
denominadas por las cuatro letras con las que se codifica el tipo de
relación que tiene cada agente con un proceso:
 R: Responsible / Responsable. El encargo de hacer la actividad
 A: Accountable / Persona a cargo. Es responsable de que la tarea
esté hecha. No es lo mismo que la R, ya que no tiene porqué ser
quien realiza la tarea, puede delegarlo en otros. Sin embargo, si es
quien debe asegurarse de que la tarea sea haga y bien.
 C: Consulted / Consultar. Son las personas con las que hay
consultar datos o decisiones con respecto a la actividad o proceso
que se define.
 I: Informed / Informar. A estas personas se las informa de las
decisiones que se toman, resultados que se producen, estados del
servicio, grados de ejecución…
Auditoria Informática - U.N.A. 48
Matriz RACI - ejemplo

Auditoria Informática - U.N.A. 49

 Metas y Metricas
 Una meta de TI se logra mediante un proceso o la
interacción de varios procesos. Por lo tanto, las metas de
TI ayudan a definir las diferentes metas de proceso. A su
vez, cada meta de proceso requiere varias actividades,
estableciendo así las metas de actividad.
 Las métricas son medidas de resultado de la función de
TI, proceso de TI o meta de la actividad que miden, como
un indicador de desempeño que impulsa las metas de
más alto nivel del negocio, función de TI o proceso de TI.
La siguiente figura proporciona un ejemplo de las relaciones
de las metas de negocio, TI, procesos, actividades y
métricas.

Auditoria Informática - U.N.A. 50

Ejemplo de metas y metricas

Auditoria Informática - U.N.A. 51

Metas y metricas

Auditoria Informática - U.N.A. 52

Pag. 34 del manual de Cobit
Como utilizar el marco de referencia..

Auditoria Informática - U.N.A. 53

 Bibliografía
Isaca (2010). Cobit 4.1. Marco de Trabajo,
Objetivos de Control, Directrices Gerenciales,
Modelos de Madurez

04/07/2020 AUDITORIA Y CONTROL DE CALIDAD 54

AUDITORIA Y CONTROL DE CALIDAD

MUCHAS GRACIAS