Estándar de Controles y Auditoría

de Tecnología Informática
 Definición

Control
OBjectivos
para Informacion
y Realizacion Tecnologica
(Objetivos de Control para Tecnología de
Información y Tecnologías realacionadas)
 Características
• Orientado al negocio
• Alineado con estándares y regulaciones “de
facto”
• Basado en una revisión crítica y analítica de
las tareas y actividades en TI
• Alineado con estándares de control y auditoría
(COSO, IFAC, IIA, ISACA, AICPA)
 Principios
REQUERIMIENTOS
DE INFORMACIÓN
DEL NEGOCIO

PROCESOS
DE TI

RECURSOS
DE TI
 Requerimientos de la
Información del Negocio
CobiT combina los principios contenidos por modelos existentes
y conocidos, como COSO, SAC y SAS

Requerimientos Calidad (Confiabilidad, amistosidad).

de Calidad Costo.
Oportunidad.

Requerimientos Efectividad y eficiencia operacional.

Financieros Confiabilidad de los reportes financieros.
(COSO) Cumplimiento de leyes y regulaciones.

Requerimientos Confidencialidad.
de Seguridad Integridad.
Disponibilidad.
 Requerimientos de la
Información del Negocio
• Efectividad:
Efectividad La información debe ser relevante y pertinente
para los procesos del negocio y debe ser proporcionada en
forma oportuna, correcta, consistente y utilizable
• Eficiencia:
Eficiencia Se debe proveer información mediante el empleo
óptimo de los recursos (la forma más productiva y económica)
• Confidencialidad:
Confidencialidad Protección de la información sensitiva
contra divilgación no autorizada
• Integridad:
Integridad Refiere a lo exacto y completo de la información
así como a su validez de acuerdo con las expectativas de la
empresa.
 Requerimientos de la
Información del Negocio
• Disponibilidad:
Disponibilidad accesibilidad a la información cuando
sea requerida por los procesos del negocio y la
salvaguarda de los recursos y capacidades asociadas a
los mismos.
• Cumplimiento:
Cumplimiento de las leyes, regulaciones y compromisos
contractuales con los cuales está comprometida la
empresa.
• Confiabilidad:
Confiabilidad proveer la información apropiada para que
la administración tome las decisiones adecuadas para
manejar la empresa y cumplir con las responsabilidades
de los reportes financieros y de cumplimiento normativo.
 Recursos de TI
• Datos:
Datos Todos los objetos de información. Considera información
interna y externa, estructurada o nó, gráficas, sonidos, etc.
• Aplicaciones:
Aplicaciones entendido como los sistemas de información,
que integran procedimientos manuales y sistematizados.
• Tecnología:incluye
Tecnología hardware y software básico, sistemas
operativos, sistemas de administración de bases de datos, de
redes, telecomunicaciones, multimedia, etc.
• Instalaciones:Incluye
Instalaciones los recursos necesarios para alojar y dar
soporte a los sistemas de información.
• Recurso Humano:
Humano Por la habilidad, conciencia y productividad
del personal para planear, adquirir, prestar servicios, dar
soporte y monitorear los sistemas de Información.
 Procesos de TI
- Los Tres Niveles
Agrupación Natural de procesos,
Dominios normalmente corresponden a un
dominio o una responsabilidad
organizacional
Procesos
Conjuntos o series de actividades
unidas con delimitación o cortes de
control.

Actividades Acciones requeridas para lograr un

o tareas resultado medible. Las Actividades
Tienen un ciclo de vida mientras
que las tareas son discretas.
 Procesos de TI
- Dominios
• Planeación y Organización (Planning and
Organization)
• Adquisición e implementación
(Acquisition and Implementation)
• Prestación de Servicios y Soporte
(Delivery and Support)
• Seguimiento (monitoring)
 Procesos de TI
- Procesos
Planeación y Definir un plan estratégico de TI
Organisación Definir la arquitectura de información
Determinar la dirección tecnológica
Definir la organización y relaciones de TI
Manejo de la inversión en TI
Comunicación de la directrices Gerenciales
Administración del Recurso Humano
Asegurar el cumplir requerimientos externos
Evaluación de Riesgos
Administración de Proyectos
Administración de Calidad

Adquisición e Identificación de soluciones

Implementación Adquisición y mantenimiento de SW aplicativo
Adquisición y mantenimiento de arquitectura TI
Desarrollo y mantenimiento de Procedimientos de TI
Instalación y Acreditación de sistemas
Administración de Cambios
 Procesos de TI
- Procesos
Servicios y Definición del nivel de servicio
Soporte Admistración del servicio de terceros
Admon de la capacidad y el desempeño
Asegurar el servicio continuo
Garantizar la seguridad del sistema
Identificación y asignación de costos
Capacitación de usuarios
Soporte a los clientes de TI
Admistración de la configuración
Administración de problemas e incidentes
Administración de datos
Administración de Instalaciones
Administración de Operaciones
Seguimiento
Seguimiento de los procesos
Evaluar lo adecuado del control Interno
Obtener aseguramiento independiente
Proveer una auditoría independiente
 Estructura de

EVENTOS INFORMACIÓN

Objetivos de Datos Efectividad

negocio Eficiencia
Applicaciones
Oportunidades Confidencialidad
Tecnología
de negocio Integridad
Instalaciones Disponibilidad
Requerimientos Recurso Humano
externos Cumplimiento
Regulación Confiabilidad
Riesgos
 Estructura de
Lo que usted
Procesos del Lo que Usted
Obtiene Negocio Necesita

Criterios
Efectividad
Información Eficiencia
Confidencialidad
Integridad
Disponibilidad
Cumplimiento
Recursos de TI Confiabilidad

Datos
Aplicaciones
Tecnología Concuerdan
Instalaciones
Recurso Humano
 Estructura de
Criterios de la Información (7)
CUBO de CobiT
Relación entre los ad
li d d

Recurso Humano
ad i a
componentes id if a
b rid
a l u
on g

Instalaciones
C Se
C

Tecnología
Applicaciones
Dominios
Procesos TI

Datos
Procesos
TI
de
os
Actividades s
cur
Re