Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Sis303 pt4 Cobit41
Sis303 pt4 Cobit41
1
DOMINIOS Y PROCESOS
SIS-303 Auditoria de Sistemas
PPT4
La efectividad tiene que ver con que la informacin sea relevante y pertinente a los
procesos del negocio, y se proporcione de una manera oportuna, correcta, consistente
y utilizable.
La eficiencia consiste en que la informacin sea generada con el ptimo (ms
productivo y econmico) uso de los recursos.
La confidencialidad se refiere a la proteccin de informacin sensitiva contra
revelacin no autorizada.
La integridad est relacionada con la precisin y completitud de la informacin, as
como con su validez de acuerdo a los valores y expectativas del negocio.
La disponibilidad se refiere a que la informacin est disponible cuando sea
requerida por los procesos del negocio en cualquier momento. Tambin concierne a la
proteccin de los recursos y las capacidades necesarias asociadas.
El cumplimiento tiene que ver con acatar aquellas leyes, reglamentos y acuerdos
contractuales a los cuales est sujeto el proceso de negocios, es decir, criterios de
negocios impuestos externamente, as como polticas internas.
La confiabilidad se refiere a proporcionar la informacin apropiada para que la
gerencia administre la entidad y ejerza sus responsabilidades fiduciarias y de
gobierno.
RECURSOS DE TI
Los recursos de TI identificados en COBIT se pueden definir como sigue
[1]:
PC1 Dueo del proceso Asignar un dueo para cada proceso COBIT
de tal manera que la responsabilidad sea clara.
PC2 Reiterativo Definir cada proceso COBIT de tal forma que sea
repetitivo.
PC3 Metas y objetivos Establecer metas y objetivos claros para cada
proceso COBIT para una ejecucin efectiva.
PC4 Roles y responsabilidades Definir roles, actividades y
responsabilidades claros en cada proceso COBIT para una ejecucin
eficiente.
PC5 Desempeo del proceso Medir el desempeo de cada proceso
COBIT en comparacin con sus metas.
PC6 Polticas, planes y procedimientos Documentar, revisar,
actualizar, formalizar y comunicar a todas las partes involucradas
cualquier poltica, plan procedimiento que impulse un proceso
COBIT.
CONTROLES
Los objetivos de control de TI proporcionan un conjunto completo de
requerimientos de alto nivel a considerar por la gerencia para un
control efectivo de cada proceso de TI. Ellos:
Son sentencias de acciones de gerencia para aumentar el valor o
reducir el riesgo
Consisten en polticas, procedimientos, prcticas y estructuras
organizacionales.
Estn diseadas para proporcionar un aseguramiento razonable de
que los objetivos de negocio se conseguirn y que los eventos no
deseables se prevendrn, detectarn y corregirn.
La gerencia de la empresa necesita tomar decisiones relativas a estos
objetivos de control:
Seleccionando aquellos aplicables.
Decidir aquellos que deben implementarse.
Elegir como implementarlos (frecuencia, extensin, automatizacin,
etc.)
Aceptar el riesgo de no implementar aquellos que podran aplicar.
CONTROLES DEL NEGOCIO Y DE TI
El sistema de control interno de la empresa impacta en TI a tres niveles:
Al nivel de direccin ejecutiva, se fijan los objetivos de negocio, se establecen polticas y se
toman decisiones de cmo aplicar y administrar los recursos empresariales para ejecutar la
estrategia de la compaa. El enfoque genrico hacia el gobierno y el control se establece por
parte del consejo y se comunica a todo lo largo de la empresa. El ambiente de control de TI es
guiado por este conjunto de objetivos y polticas de alto nivel.
Al nivel de procesos de negocio, se aplican controles para actividades especficas del negocio.
La mayora de los procesos de negocio estn automatizados e integrados con los sistemas
aplicativos de TI, dando como resultado que muchos de los controles a este nivel estn
automatizados. Estos se conocen como controles de las aplicaciones. Sin embargo, algunos
controles dentro del proceso de negocios permanecen como procedimientos manuales, como la
autorizacin de transacciones, la separacin de funciones y las conciliaciones manuales. Los
controles al nivel de procesos de negocio son, por lo tanto, una combinacin de controles
manuales operados por el negocio, controles de negocio y controles de aplicacin
automatizados. Ambos son responsabilidad del negocio en cuanto a su definicin y
administracin aunque los controles de aplicacin requieren que la funcin de TI d soporte a
su diseo y desarrollo.
Para soportar los procesos de negocio, TI proporciona servicios, por lo general de forma
compartida, por varios procesos de negocio, as como procesos operativos y de desarrollo de TI
que se proporcionan a toda la empresa, y mucha de la infraestructura de TI provee un
servicio comn (es decir, redes, bases de datos, sistemas operativos y almacenamiento). Los
controles aplicados a todas las actividades de servicio de TI se conocen como controles
generales de TI. La operacin formal de estos controles generales es necesaria para que d
confiabilidad a los controles en aplicacin. Por ejemplo, una deficiente administracin de
cambios podra poner en riesgo (por accidente o de forma deliberada) la confiabilidad de los
chequeos automticos de integridad.
REFERENCIAS
[1] ISACA. (2007). COBIT 4.1 en Espaol. IT Governance
Institute. Retrieved Sept., 2009, from the World Wide Web:
http://www.isaca.org/Content/NavigationMenu/Members_a
nd_Leaders1/COBIT6/Obtain_COBIT/cobiT4.1spanish.pdf
[2] ITSOR_Consulting. (nd). Curso COBIT 4.1. Retrieved
Sept., 2009, from the World Wide Web:
http://www.itsor.net/pdf/ITSOR_COBIT_Brochure_VE.pdf
[3] Rojas-Crsico, I. S. (nd). Trabajo de Auditoria:
Normas COBIT. Retrieved Sept., 2009, from the World
Wide Web:
http://www.monografias.com/trabajos14/auditoriasistemas/
auditoriasistemas.shtml