Gobierno Corporativo

LOGO

LOGO

II-unidad: Contenido

Qu es gobierno corporativo
Practicas de monitoreo y aseguramiento para la JD y
la gerencia
Estrategia de sistemas de informacin
Polticas y procedimientos
Administracin del riesgo
tica
Plan de Contingencia

Gobierno Corporativo

LOGO

Qu

es?

El Gobierno Corporativo es el sistema por el cual las sociedades son dirigidas y

controladas. La estructura del Gobierno Corporativo especifica la distribucin de los
derechos y responsabilidades entre los diferentes participantes de la sociedad, tales
como el directorio, los gerentes, los accionistas y otros agentes econmicos que
mantengan algn inters en la empresa.
El Gobierno Corporativo tambin provee la estructura a travs de la cual se
establecen los objetivos de la empresa, los medios para alcanzar estos objetivos y la
forma de hacer un seguimiento a su desempeo.

LOGO

Qu es gobierno corporativo?

Son las Reglas y Procedimientos para tomar decisiones en los asuntos

corporativos.
Promocin de la justicia corporativa, la transparencia y la rendicin de
cuentas.
(J. Wolfensohn, President, World Bank)

LOGO

Qu es gobierno corporativo?

Gobierno Corporativo significa hacer todo de una forma ms adecuada, con el

objetivo de mejorar las relaciones entre la compaa y sus accionistas;
mejorar la calidad de los miembros de la Junta Directiva; animar a la
administracin a pensar a largo plazo; asegurar que la informacin financiera
es apropiada; asegurar que la gerencia es fiscalizada en el mejor inters de
los accionistas.
Vepa Kamesam,Governor, Reserve Bank of India

LOGO

Qu es gobierno corporativo?

El gobierno corporativo se define como un comportamiento

corporativo tico por parte de los directores u otros encargados del
gobierno, para la creacin y entrega de los beneficios para todas
las partes interesadas.
La distribucin de derechos y responsabilidades entre los
diferentes participantes en la corporacin tales como la junta, los
gerentes, los accionistas y otras partes interesadas, y explica las
reglas y procedimientos para tomar decisiones sobre los asuntos
corporativos
Manual de preparacin al examen CISA

LOGO

Gobierno Corporativo

Por qu es bueno?
El gobierno corporativo comprende diferentes aspectos regulatorios
y organizacionales que, en la medida que sean adecuadamente
implementados en una empresa, le permitir a sta atraer y retener
capital financiero y humano, funcionar en forma eficiente y, as,
crear valor econmico para la corporacin y sus accionistas.
Esto es importante porque, en un mbito cada vez ms global, las
empresas no slo compiten en los mercados de consumo o de
servicios sino que tambin compiten por inversin en los mercados
de capitales.

LOGO

Gobierno Corporativo

Qu es un Buen Gobierno Corporativo?

El buen gobierno corporativo es un concepto que est cobrando
cada vez ms importancia en el mbito local e internacional debido
a su reconocimiento como un valioso medio para alcanzar
mercados ms confiables y eficientes.
Un gobierno corporativo es bueno cuando protege los derechos de
todos sus accionistas y asegura un trato equitativo. Adems, cuenta
con mejores polticas de directorio, es transparente en la calidad de
la informacin de la empresa, cuenta con una estructura gerencial
definida y genera buenas relaciones con el entorno externo e
interno (incluyendo a empleados, proveedores, clientes y a la
comunidad).

LOGO

Practicas de monitoreo y aseguramiento para

la JD y la gerencia

El gobierno de TI es un trmino incluyente que abarca sistemas de

informacin, tecnologa y comunicacin; negocios, aspectos legales
y otros; y todas las partes interesadas, los directores, la alta
gerencia, los propietarios de los procesos, los proveedores de TI,
los usuarios y los auditores. El gobierno ayuda a asegurar el
alineamiento de TI con los objetivos de la empresa.

LOGO

Practicas de monitoreo y aseguramiento para

la JD y la gerencia

El gobierno corporativo efectivo concentra la pericia y experiencia

individual y de grupo en reas especificas, donde ellos puedan ser
ms efectivos. La Tecnologa de informacin, considerada por
mucho tiempo slo un habilitador de la estrategia de una
organizacin, es ahora considerada como parte integral de esa
estrategia.

LOGO

Practicas de monitoreo y
aseguramiento para la JD y la gerencia

Los especialistas estn de acuerdo en que la concordancia estratgica

entre los objetivos de TI y los de la empresa son un factor crtico de
xito.
El gobierno de TI ayuda a alcanzar este factor critico de xito
desplegando de manera eficiente y efectiva informacin segura,
confiable y tecnologa aplicada.

LOGO

Practicas de monitoreo y
aseguramiento para la JD y la gerencia

Fundamentalmente al gobierno de TI le incumben dos aspectos:

que TI entregue valor al negocio y que los riesgos de TI sean
administrados.

Impulsado por
el alineamiento de
TI con el negocio

Impulsado por
la integracin de la
responsabilidad
en la empresa.

LOGO

Preguntas

El gobierno de TI asegura que una organizacin se alinee su

estrategia de TI con:
a.
b.
c.
d.

Los objetivos de la empresa

Los objetivos de TI
Los objetivos de auditoria
Los objetivos de control

LOGO

Mejores Practicas para el gobierno de

TI

El gobierno de TI es un conjunto de responsabilidades y practicas

usadas por la gerencia de una organizacin para proveer direccin
estratgica; de ese modo, asegurando que las metas sean
alcanzables, los riesgos sean debidamente considerados y los
recursos organizacionales sean debidamente utilizados.

LOGO

Rol de la auditoria en el gobierno

de TI

La manera de aplicar TI dentro de la empresa tendr un efecto

enorme sobre si la empresa lograr su misin, visin, o metas
estratgicas.
Por esta razn, una empresa necesita evaluar su gobierno de TI, ya
que se est volviendo una parte cada vez ms importante del
gobierno total de la empresa.
La auditoria tiene un rol significativo en una implementacin exitosa
del gobierno de TI dentro de una organizacin. Su posicin le
permite recomendar practicas lideres a la alta gerencia para
mejorar la calidad y efectividad de las iniciativas de gobierno de TI
implementadas.
La auditoria ayuda a asegurar el cumplimiento de las iniciativas de
gobierno de TI implementadas dentro de una organizacin.

LOGO

Rol de la auditoria en el gobierno

de TI

Reportar sobre el gobierno de TI implica auditar al ms alto nivel en

la organizacin, y puede cruzar los limites de divisin, de funciones
o departamentos. El auditor debe confirmar que los trminos de
referencia establezcan:
El alcance del trabajo, incluyendo una clara definicin de las
reas y aspectos funcionales que se cubrirn.
El nivel al que se entregara el informe, donde estn identificados
los temas de gobierno TI al mas alto nivel de la organizacin.
El derecho de acceso a la informacin para el auditor de SI.

LOGO

Rol de la auditoria en el gobierno

de TI

De acuerdo con el rol definido del auditor, se necesita evaluar los

siguientes aspectos relacionados con el gobierno de TI:
El alineamiento de la funcin de SI con la misin, la visin, los valores,
los objetivos y las estrategias de la organizacin.
El logro por parte de la funcin de SI de los objetivos de desempeo
establecidos por el negocio.
Los requerimientos legales, ambientales, de calidad de informacin y de
seguridad.
El entorno de control de la organizacin
Los riesgos inherentes dentro del entorno de SI

LOGO

Comit de estrategia de TI

La creacin de un comit de estrategia de TI es una mejor practica

de la industria. Sin embargo, el comit necesita ampliar su radio de
accin para incluir no solo asesoramiento sobre estrategia cuando
apoya a la JD en sus responsabilidades de gobierno de TI, sino
tambin concentrarse en el valor de TI, los riesgos y el desempeo.

LOGO

Comit de estrategia de TI

Mitiga la falta de comunicacin y entendimiento que se establece entre el

departamento de TI y el resto de la misma.
El comit de TI es el primer lugar de encuentro dentro de la empresa de
los informticos y sus usuarios.
Permite a los usuarios conocer las necesidades informticas del conjunto
de la organizacin y no solo las de su rea, participando en la fijacin de
prioridades.
Se evitan acusaciones de favoritismos entre un rea y la otra.
Se promueve la mejor utilizacin de los recursos informticos,
tradicionalmente escasos.
La direccin de informtica se ha de convertir en el principal impulsor de
la existencia de dicho comit.
Debera estar formado por pocas personas y presidido por el director
ms alto de la empresa.
El director de informtica debera actuar como secretario y las grandes
reas usuarias deberan estar representadas al nivel de sus directores
ms altos.
El director de auditoria interna debera ser miembro del comit de TI.

LOGO

Evolucin de COBIT
Gobierno de TI
Cobit 4
Administracin
2005

Cobit 3
Control
Cobit 2
Auditoria
Cobit 1
1996

1998

2000

COBIT da soporte al gobierno

De TI al brindar un marco de
Trabajo que garantiza:
Alineacin estratgica
Entrega de valor
Administracin de recursos
Administracin de riegos
Medicin del desempeo

LOGO

El gobierno de TI es responsabilidad de la junta directiva y de la

gerencia ejecutiva. Las practicas clave del gobierno de TI son: el
comit de estrategias de TI, la administracin de riesgos y el
balanced scorecard de TI (BSC)

LOGO

Balance Scorecard de TI

El BSC, es una tcnica evaluativa que puede aplicarse al proceso

de gobierno de TI para evaluar las funciones y los procesos de TI.
El BSC de TI, va ms all de la evaluacin financiera tradicional,
complementadola con medidas que conciernen a la satisfaccin del
cliente (Usuario), procesos internos (operativos) y la capacidad de
innovar. Estas medidas adicionales impulsan a la organizacin
hacia el uso ptimo de TI, el cual est alineado con las metas
estratgicas de la organizacin.

LOGO

Balance Scorecard de TI

Para aplicarlo a TI, se usa una estructura de tres capas para tratar las cuatro
perspectivas:
Misin, por ejemplo:
Convertirse en el proveedor preferido de SI.
Entregar aplicaciones y servicios de TI eficientes y efectivos.
Obtener una contribucin razonable de las inversiones en TI para el
negocio
Desarrollar oportunidades que respondan a los futuros desafos.
Estrategias, por ejemplo:
Desarrollar aplicaciones y operaciones superiores
Desarrollar alianzas con los usuarios y mejores servicios para los
clientes
Proveer valor de negocio a los proyectos de TI
Proveer nuevas capacidades de negocio
Entrenar y educar al personal de TI y promover la excelencia.
Proveer soporte para la investigacin y el desarrollo.

LOGO

Balance Scorecard de TI

Medidas, por ejemplo:

Proveer un conjunto balanceado de medidas para guiar las
decisiones de TI orientadas a negocios.

BSC es uno de los medios ms efectivos para ayudar al comit de

estrategia de TI y a la gerencia a lograr el alineamiento de TI y el
negocio. Los objetivos son establecer un vehiculo para la informacin
gerencial a la junta, estimular el consenso entre los interesados clave
sobre los objetivos estratgicos de TI, demostrar la efectividad y el
valor agregado de TI, y comunicar el desempeo, los riesgos y las
capacidades de TI.

Definir Objetivos

LOGO

Objetivos de negocio Objetivos de TI

Objetivos de
Procesos

Objetivos de
Actividad

Medicin de logro

Es medido por

Es medido por

Nmero de
incidentes que
efecten la imagen
pblica

Nmero de
incidentes que
efecten la
imagen
pblica

Es medido por

Numero de
violaciones de
acceso

Es medido por
La frecuencia
de la revisin
de los tipos
de eventos
de seguridad
que son
monitoreados

KGI mtrica de negocios KPI

KGI mtricas de TI KPI
KPI mtricas de procesos KGI
Directriz de desempeo

Mejorar y realinear

Detectar
Asegurar de que
y resolver
Comprender
Mantener la
los servicios de TI los accesos e los requerimientos
reputacin
pueden resistir y
informacin
De seguridad,
de la empresa
recuperarse de los no autorizados,
Vulnerabilidades
y el liderazgo
ataques
aplicaciones
y amenazas
e infraestructura

LOGO

Estrategia de sistemas de
informacin

Planeacin estratgica
Desde el punto de vista de sistemas de informacin, se
relaciona con la direccin a largo plazo que una organizacin
quiere seguir para apalancar con TI la mejora de sus procesos
de negocio. Bajo la responsabilidad de la alta gerencia, los
factores a considerar incluyen:
Identificar soluciones de TI eficientes en costos a fin de
enfrentar problemas y oportunidades para la organizacin y
desarrollar planes de accin para identificar y adquirir los
recursos que se necesitan.

LOGO

Estrategia de sistemas de informacin

Planeacin estratgica
Para desarrollar planes estratgicos, generalmente de tres a
cinco aos de duracin, las organizaciones deben asegurarse
de que los mismos estn plenamente acorde, y son consistentes
con todas las metas y objetivos de la organizacin.
Una planeacin estratgica efectiva de TI involucra tener en
consideracin l demanda de TI de la organizacin y la
capacidad de proveer TI.

LOGO

Estrategia de sistemas de informacin

Planeacin estratgica
Es importante que el proceso de planificacin estratgica
abarque no solo la entrega de nuevos sistemas y tecnologa,
sino que considere los retornos que se logran de la inversin en
TI existente.

En muchas organizaciones el gasto en los

sistemas, infraestructura y el soporte, representa
el 85% o ms del gasto total anual de TI.

LOGO

Estrategia de sistemas de informacin

El auditor de SI debe prestar total atencin a la importancia de la

planeacin estratgica de TI, considerando las practicas de control
gerencial. Adems, que los planes estratgicos de TI estn en
sincronizacin con toda la estrategia de negocio.

LOGO

Estrategia de sistemas de informacin

Un auditor de TI debe enfocarse en:

La importancia del proceso de planeacin estratgica o en el
marco de planeacion.
Prestar particular atencin a la necesidad de notar los
requerimientos de convertir los planes operativos o tcticos de
TI desde el negocio y las estrategias de TI, contenidos de
planes, requerimientos para actualizar y comunicar planes, y
requerimientos de monitoreo y evaluacin.

LOGO

Pregunta

Cul de lo siguiente estara incluido en un plan estratgico del

negocio?
a.
b.
c.
d.

Especificaciones para compras planeadas de hardware

Anlisis de los objetivos futuros del negocio
Fechas objetivo para los proyectos de desarrollo
Objetivos presupuestarios anuales para el departamento de SI

Pregunta

LOGO

Cul de lo siguiente describe MEJOR un proceso de

planeacion estratgica del departamento de TI?
a.
b.

c.
d.

El departamento de TI tendr o bien planes de corto alcance o de

largo alcance dependiendo de los planes y objetivos mas amplios
de la organizacin.
El plan estratgico del departamento de TI debe estar orientado al
tiempo y al proyecto, pero no tan detallado como para resolver y
ayudar a que determinadas prioridades satisfagan las necesidades
del negocio.
La planeacion de largo alcance para el departamento de TI debe
reconocer las metas organizacionales, los adelantos tecnolgicos y
los requerimientos regulatorios.
La planeacion de corto alcance para el departamento de TI no
necesita estar integrada en los planes de corto alcance de la
organizacin ya que los adelantos tecnolgicos impulsaran los
planes del departamento de TI mucho mas rpido que los planes
organizacionales.

LOGO

Polticas y Procedimientos

Reflejan la gua y orientacin de la gerencia para desarrollar controles

sobre los sistemas de informacin y recursos relacionados.

Las polticas son documentos de alto nivel. Ellas representan la

filosofa corporativa de una organizacin y el pensamiento
estratgico de la alta gerencia y de los dueos de los procesos de
negocio. La polticas deben ser claras y concisas para que sean
efectivas.
La administracin debe crear un ambiente de control positivo,
asumiendo la responsabilidad de formular, desarrollar, documentar,
promulgar y controlar las polticas que abarcan las metas y las
directrices generales.

LOGO

Polticas

La gerencia debe emprender las acciones necesarias para asegurar que los
empleados afectados por una poltica especifica reciban una explicacin
completa de la poltica y entiendan cual es su propsito. Adems, las polticas
pueden tambin aplicarse a terceros y a outsourcers, quienes necesitaran
estar vinculados para seguir las polticas.
Las polticas de menor nivel deben ser consistentes con las polticas a nivel
corporativo.
La administracin debe revisar todas las polticas peridicamente.
Los auditores deben alcanzar un entendimiento de las polticas como parte del
proceso de auditoria y comprobar si estas se cumplen.
Los controles de SI deben de fluir de las polticas, y los auditores de SI deben
usar las polticas como un punto de referencia para evaluar el cumplimiento.

LOGO

Polticas

El costo de un control nunca debe exceder el beneficio que se

espera obtener.
La poltica debe ser aprobada por la alta gerencia. Debe ser
documentada y comunicada a todos los empleados y proveedores
de servicio, segn sea pertinente.

LOGO

Documento de poltica de seguridad

El documento de poltica debe contener:

Una definicin de seguridad de informacin, sus objetivos generales
y su alcance, y la importancia de la seguridad como un mecanismo
que permite que se comparta la informacin.
Una declaracin de la intencin de la gerencia, soportando las
metas y los principios de la seguridad de informacin en lnea con la
estrategia y los objetivos del negocio.
Un marco para fijar los objetivos de control y los controles,
incluyendo la estructura de la evaluacin del riesgo y la
administracin del riesgo.

LOGO

Documento de poltica de seguridad

El documento de poltica debe contener:

Una breve explicacin de las polticas de seguridad, los
principios, los estndares y los requisitos de cumplimiento de
particular importancia para la organizacin, incluyendo:
Cumplimiento de los requisitos legislativos, regulatorios y
contractuales
Requisitos de educacin entrenamiento y conciencia de la
seguridad.
Administracin de la continuidad de negocio.
Consecuencias de las violaciones de la poltica de seguridad
de informacin

LOGO

Documento de poltica de seguridad

El documento de poltica debe contener:

Una definicin de las responsabilidades generales y especificas
para la gerencia de seguridad de informacin, incluyendo
reportar incidentes de seguridad de informacin.
Referencias a la documentacin que puede soportar la poltica,
polticas y procedimientos mas detallados de seguridad para
sistemas de informacin o reglas de seguridad especificas que
deben ser cumplidos por los usuarios.

LOGO

Revisin de la poltica de seguridad

La poltica debe ser revisada a intervalos planeados o si ocurrieran

cambios significativos, para asegurar que siga siendo apropiada,
adecuada y efectiva.
El mantenimiento de la poltica de seguridad debe tomar en cuenta
los resultados de estas revisiones.

LOGO

Procedimientos

Son documentos detallados. Deben derivarse de la poltica madre e

implementar el espritu de la aseveracin de la poltica. Los
procedimientos deben ser escritos en una forma clara y concisa, de
modo que sean comprendidos fcil y correctamente por todos los
que se deben regir por ellos.
Los procedimientos documentan procesos de negocio y los
controles integrados en los mismos. Los procedimientos son
formulados por la gerencia media como una traduccin efectiva de
las polticas.

LOGO

Procedimientos

Los auditores revisan los procedimientos para identificar, evaluar y

despus de ello probar los controles sobre los procesos del
negocio.
Un procedimiento que no es conocido completamente por el
personal que lo tiene que usar, es esencialmente inefectivo.
El revisor debe mantener su independencia en todo momento y no
debe ser influenciado por nadie del grupo que est siendo
inspeccionado.

LOGO

Administracin de riesgo

La administracin del riesgo es el proceso de identificar las

debilidades y las amenazas para los recursos de informacin
utilizados por una organizacin para lograr los objetivos del
negocio, y decidir que contramedidas tomar, si hubiera alguna, para
reducir el nivel de riesgo hasta un nivel aceptable basado en el
valor del recurso de informacin para la organizacin.
La administracin efectiva de riesgo comienza con un claro
entendimiento del apetito de riesgos de la organizacin.
La administracin de riesgos abarca identificar, analizar, evaluar,
tratar, monitorear y comunicar el impacto del riesgo sobre los
procesos de TI.

LOGO

Administracin de riesgo

Dependiendo del tipo de riesgo y su importancia para el negocio, la

administracin y la junta pueden optar por:
Evitar, por ejemplo, donde sea factible, escoger no implementar
ciertas actividades o procesos que incurriran en un riesgo
mayor.
Mitigar, por ejemplo, definir e implementar controles para
proteger la infraestructura de TI
Transferir, por ejemplo, compartir el riesgo con socios, o
transferirlo a cobertura del seguro
Aceptar, es decir, reconocer formalmente la existencia del riesgo
y monitorearlo
Eliminar, es decir, donde sea posible, eliminar la fuente del
riesgo.

LOGO

Administracin de riesgo

El riesgo puede ser transferido, rechazado, reducido, o evitado.

Transferido-- Compra de seguros
Rechazar-- Ignorndolo (peligroso)
Reducido-- Implementacin o mejora de controles y
procedimientos de seguridad
Evitar-- Eliminando el origen del riesgo.

LOGO

Desarrollo de un programa de
administracin del riesgo

Para desarrollar un programa de administracin del riesgo:

Establecer el propsito del programa
Asignar responsabilidad para el plan de administracin del
riesgo

LOGO

Proceso de administracin de riesgos

Paso 1: Identificacin y clasificacin de los recursos de informacin o

de los activos que necesitan proteccin, porque son vulnerables a las
amenazas. Ejemplos de activos tpicos asociados con la informacin
y con TI:

Informacin y datos
Hardware
Software
Servicios
Documentos
Personal

Otros activos de negocio

Edificios, el efectivo, inventario y activos menos tangibles
imagen/reputacion

LOGO

Proceso de administracin de riesgos

Paso 2: Estudiar las amenazas y vulnerabilidades asociadas con el recurso

de informacin y la probabilidad de que ocurran.
Amenazas es cualquier circunstancia o evento con el potencial de
daar un recurso de informacin, tales como destruccin,
divulgacin, modificacin de datos. Las clases comunes de
amenaza (errores, fraude, robo, falla del equipamiento/software)
Las amenazas ocurren por causa de las vulnerabilidades. Las
vulnerabilidades con caractersticas de los recursos de informacin
que pueden ser explotadas por una amenaza para causar dao.
(Falta de conocimiento del usuario, falta de conocimiento del
usuario, falta de funcionalidad de la seguridad, eleccin deficiente
de contraseas, tecnologa no aprobada)
El resultado de cualquiera de las amenazas se denomina IMPACTO

LOGO

Practicas de gerencia de SI

Las practicas de gerencia de SI reflejan la implementacin de

polticas y procedimientos desarrollados para diversas actividades
gerenciales relacionadas con SI.
Las actividades de la gerencia para revisar las formulaciones de
polticas y procedimientos y su efectividad dentro del departamento
de SI incluira practicas tales como:
Administracin de personal
Contratacin (manual de conducta)
Administracin de cambios de TI (Tercerizacin)

LOGO

Practicas de gerencia de SI

Cada organizacin que usa los servicios de terceros debe tener un

sistema de administracin de entrega de servicios para implementar y
mantener el nivel apropiado de seguridad de informacin y entrega de
servicio en lnea con contratos de entrega de servicios de terceros.
La organizacin debe verificar la implementacin de los contratos,
monitorear el cumplimiento de los contratos y administrar los cambios
para asegurar que los servicios entregados satisfagan los requisitos
acordados con el tercero.

LOGO

Estructura Organizacional y
responsabilidades de SI

Un departamento de sistemas de informacin est generalmente

estructurado como se muestra en la figura siguiente:

Estructura Organizacional y
responsabilidades de SI

LOGO

Gerente /
director de TI

Seguridad y
calidad

Aplicaciones

Administrador de
seguridad
Control de Calidad

Analistas de sistemas
Programadores

Data

Administrador de BD

Soporte tcnico

Administrador de
Redes
Administrador de
Sistema operativo

Programadores de
Sistemas
(sistemas
operativos)

Operaciones

Administrador de
operaciones

Operador de
computadora

LOGO

Estructura Organizacional y
responsabilidades de SI

Los cuadros de estructura organizacional u organigramas son

elementos importantes que deben tener todos los empleados, ya que
ellos proveen una definicin clara de la jerarqua y autoridad del
departamento.
Las descripciones de los puestos de trabajo brindan a los empleados
del departamento de SI una orientacin clara respecto a sus roles y
responsabilidades.

LOGO

Estructura Organizacional y
responsabilidades de SI

La segregacin de funciones evita la posibilidad de que una sola

persona pueda ser responsable de funciones diversas y criticas de tal
forma que pudieran ocurrir errores o apropiaciones indebidas y no ser
detectadas oportunamente, en el curso normal de los procesos de
negocio.
La segregacin de funciones es un importante medio por el cual se
pueden prevenir y disuadir actos fraudulentos o maliciosos.

LOGO

Estructura Organizacional y
responsabilidades de SI

Las funciones que deben ser segregadas incluyen:

Custodia de activos
Autorizacin
Registro de transacciones
Si no existe segregacin podra ocurrir lo siguiente:

Apropiacin indebida de activos

Estados financieros falsos
Documentacin inexacta
Uso indebido de fondos o la modificacin de datos podra pasar
inadvertida.

LOGO

Preguntas

Cul de las siguientes tareas pueden ser ejecutadas por la misma

persona en un centro de computo de procesamiento de informacin
bien controlado?
a.
b.
c.
d.

Administracin de seguridad y administracin de cambios

Operaciones de computo y desarrollo de sistemas
Desarrollo de sistemas y administracin de cambios
Desarrollo de sistemas y mantenimiento de sistemas

LOGO

Preguntas

Cul de lo siguiente es el control MAS critico sobre la administracin

de la base de datos?
a.
b.
c.
d.

Aprobacin de las actividades de DBA

Segregacin de tareas
Revisin de registros (logs) de acceso y actividades
Revisin del uso de las herramientas de la base de datos

LOGO

Auditoria de la estructura e
implementacin de gobierno de TI

Aunque son muchos los aspectos que le preocupan al auditor, algunos de

los indicadores ms significativos de los problemas potenciales:

Actitudes desfavorables del usuario final

Costos excesivos
Presupuesto excedido
Proyectos demorados
Rotacin elevada de personal
Personal Inexperto
Errores frecuentes de hardware / software
Lista excesiva de solicitudes de usuarios en espera
Largo tiempo de respuesta de computadora
Numerosos proyectos de desarrollo abortados o suspendidos
Compras de hardware / software sin soporte o sin autorizacin.
Frecuentes ampliaciones de capacidad de hardware / software
Extensos reportes de excepciones
Poca motivacin
Confianza en miembros claves del personal
Falta de entrenamiento adecuado

LOGO

Revisin de documentacin

La siguiente documentacin debe ser revisada:

Estrategias, planes y presupuestos de TI
Documentacin de polticas de seguridad
Cuadros organizativos / funcionales
Las descripciones de los puestos de trabajo
Los reportes del comit de direccin
Los procedimientos de desarrollo de sistemas y de cambio de
programas.
Procedimientos de operaciones
Manuales de recursos humanos
Procedimientos de aseguramiento de la calidad

Revisin de compromisos contractuales

Niveles de servicio
Penalizaciones por incumplimiento
Proteccin de informacin

LOGO

Estudio de caso

A un auditor de SI se le ha pedido que revise el borrador de un contrato de

outsourcing y que recomiende cualquier cambio o seale cualquier
preocupacin antes de que estos sean presentados a la alta gerencia para
su aprobacin final. El contrato incluye soporte de Windows y de la
administracin del servidor UNIX y la administracin de redes a un tercero.
Los servidores sern reubicados a la instalacin del outsourcer que est
ubicada en otro pas, y se establecer la conectividad usando la Internet. Se
aumentar la capacidad del software del sistema operativo dos veces por
ao, pero stos no sern entregados en custodia.
Todas las solicitudes de adicin o eliminacin de cuentas de usuario sern
procesadas dentro de tres das hbiles. El software de deteccin de intrusos
ser monitoreado continuamente por el outsourcer y el cliente notificar por
email si se detectara cualquier anomala. Los nuevos empelados
contratados dentro de los ltimos tres aos estuvieron sujetos a
verificaciones de antecedentes antes de eso no haba polticas establecidas.
Est establecida una clusula de derecho a auditoria pero se requiere un
aviso de 24 horas antes de una visita al establecimiento. Si se encontrara
que outsourcer esta en violacin de cualquiera de los trminos o condiciones
del contrato, este tendr 10 das hbiles para corregir la deficiencia. El
outsoucer no tiene un auditor de SI. Pero es auditado por una firma regional
de contadores pblicos.

LOGO

Preguntas de caso

Cual de los siguientes sera de MAYOR preocupacin para el

auditor de SI?

a.

Los cambios de cuenta de usuario son procesados dentro de 3

das hbiles.
Se requiere un aviso con 24 horas de anticipacin para una visita
al establecimiento.
El outsoucer no tiene una funcin de auditoria de SI.
El escrow (puesta en custodia) no est incluido en el contrato.

b.
c.
d.

LOGO

Preguntas de caso

Cual de los siguientes seria el problema MAS significativo para

resolver si los servidores contuvieran informacin de cliente
identificable personalmente que es accesado regularmente y
actualizado por los usuarios finales?

a.

El pas en el que el tercerizador o outsourcer est establecido

prohbe el uso de encripcin fuerte para los datos transmitidos.
El outsourcer limita su responsabilidad si toma medidas
razonables para proteger los datos de cliente.
El outsourcer no efectu verificaciones de antecedentes para los
empleados contratados hace ms de tres aos.
El software de sistemas solo se actualiza una vez cada seis
meses.

b.
c.
d.