Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Sis303 pt4 Cobit41
Sis303 pt4 Cobit41
1
DOMINIOS Y PROCESOS
SIS-303 – Auditoria de Sistemas
PPT4
La efectividad tiene que ver con que la información sea relevante y pertinente a los
procesos del negocio, y se proporcione de una manera oportuna, correcta, consistente
y utilizable.
La eficiencia consiste en que la información sea generada con el óptimo (más
productivo y económico) uso de los recursos.
La confidencialidad se refiere a la protección de información sensitiva contra
revelación no autorizada.
La integridad está relacionada con la precisión y completitud de la información, así
como con su validez de acuerdo a los valores y expectativas del negocio.
La disponibilidad se refiere a que la información esté disponible cuando sea
requerida por los procesos del negocio en cualquier momento. También concierne a la
protección de los recursos y las capacidades necesarias asociadas.
El cumplimiento tiene que ver con acatar aquellas leyes, reglamentos y acuerdos
contractuales a los cuales está sujeto el proceso de negocios, es decir, criterios de
negocios impuestos externamente, así como políticas internas.
La confiabilidad se refiere a proporcionar la información apropiada para que la
gerencia administre la entidad y ejerza sus responsabilidades fiduciarias y de
gobierno.
RECURSOS DE TI
Los recursos de TI identificados en COBIT se pueden definir como sigue
[1]:
PC1 Dueño del proceso Asignar un dueño para cada proceso COBIT
de tal manera que la responsabilidad sea clara.
PC2 Reiterativo Definir cada proceso COBIT de tal forma que sea
repetitivo.
PC3 Metas y objetivos Establecer metas y objetivos claros para cada
proceso COBIT para una ejecución efectiva.
PC4 Roles y responsabilidades Definir roles, actividades y
responsabilidades claros en cada proceso COBIT para una ejecución
eficiente.
PC5 Desempeño del proceso Medir el desempeño de cada proceso
COBIT en comparación con sus metas.
PC6 Políticas, planes y procedimientos Documentar, revisar,
actualizar, formalizar y comunicar a todas las partes involucradas
cualquier política, plan ó procedimiento que impulse un proceso
COBIT.
CONTROLES
Los objetivos de control de TI proporcionan un conjunto completo de
requerimientos de alto nivel a considerar por la gerencia para un
control efectivo de cada proceso de TI. Ellos:
• Son sentencias de acciones de gerencia para aumentar el valor o
reducir el riesgo
• Consisten en políticas, procedimientos, prácticas y estructuras
organizacionales.
• Están diseñadas para proporcionar un aseguramiento razonable de
que los objetivos de negocio se conseguirán y que los eventos no
deseables se prevendrán, detectarán y corregirán.
La gerencia de la empresa necesita tomar decisiones relativas a estos
objetivos de control:
• Seleccionando aquellos aplicables.
• Decidir aquellos que deben implementarse.
• Elegir como implementarlos (frecuencia, extensión, automatización,
etc.)
• Aceptar el riesgo de no implementar aquellos que podrían aplicar.
CONTROLES DEL NEGOCIO Y DE TI
El sistema de control interno de la empresa impacta en TI a tres niveles:
Al nivel de dirección ejecutiva, se fijan los objetivos de negocio, se establecen políticas y se
toman decisiones de cómo aplicar y administrar los recursos empresariales para ejecutar la
estrategia de la compañía. El enfoque genérico hacia el gobierno y el control se establece por
parte del consejo y se comunica a todo lo largo de la empresa. El ambiente de control de TI es
guiado por este conjunto de objetivos y políticas de alto nivel.
Al nivel de procesos de negocio, se aplican controles para actividades específicas del negocio.
La mayoría de los procesos de negocio están automatizados e integrados con los sistemas
aplicativos de TI, dando como resultado que muchos de los controles a este nivel estén
automatizados. Estos se conocen como controles de las aplicaciones. Sin embargo, algunos
controles dentro del proceso de negocios permanecen como procedimientos manuales, como la
autorización de transacciones, la separación de funciones y las conciliaciones manuales. Los
controles al nivel de procesos de negocio son, por lo tanto, una combinación de controles
manuales operados por el negocio, controles de negocio y controles de aplicación
automatizados. Ambos son responsabilidad del negocio en cuanto a su definición y
administración aunque los controles de aplicación requieren que la función de TI dé soporte a
su diseño y desarrollo.
Para soportar los procesos de negocio, TI proporciona servicios, por lo general de forma
compartida, por varios procesos de negocio, así como procesos operativos y de desarrollo de TI
que se proporcionan a toda la empresa, y mucha de la infraestructura de TI provee un
servicio común (es decir, redes, bases de datos, sistemas operativos y almacenamiento). Los
controles aplicados a todas las actividades de servicio de TI se conocen como controles
generales de TI. La operación formal de estos controles generales es necesaria para que dé
confiabilidad a los controles en aplicación. Por ejemplo, una deficiente administración de
cambios podría poner en riesgo (por accidente o de forma deliberada) la confiabilidad de los
chequeos automáticos de integridad.
REFERENCIAS
[1] ISACA. (2007). COBIT 4.1 en Español. IT Governance
Institute. Retrieved Sept., 2009, from the World Wide Web:
http://www.isaca.org/Content/NavigationMenu/Members_a
nd_Leaders1/COBIT6/Obtain_COBIT/cobiT4.1spanish.pdf
[2] ITSOR_Consulting. (nd). Curso COBIT 4.1. Retrieved
Sept., 2009, from the World Wide Web:
http://www.itsor.net/pdf/ITSOR_COBIT_Brochure_VE.pdf
[3] Rojas-Córsico, I. S. (nd). Trabajo de Auditoria:
Normas COBIT. Retrieved Sept., 2009, from the World
Wide Web:
http://www.monografias.com/trabajos14/auditoriasistemas/
auditoriasistemas.shtml