UNIVERSIDAD NACIONAL AUTÓNOMA

DE HONDURAS
Auditoria en Sistemas de Información II
Licenciado Roberto Martínez

Equipo #10
Brenda Cerrato 20101006466
Genessy Turcios 20181006846
Paola Lupi 20181001543
Josué Mendoza 20152000703
Monitorizar, Evaluar y
Valorar
MEA 01-04
4.5 MONOTORIZAR, EVALUAR Y VALORAR (MEA)
 Gestionar la monitorización del rendimiento y la conformidad

 Gestionar el sistema de control interno

 Gestionar el cumplimiento de los requisitos externos

 Gestionar el aseguramiento
 GESTIONAR LA MONITORIZACIÓN DEL RENDIMIENTO
Y LA CONFORMIDAD

• Descripción:
Recopilar, validar y evaluar las metas y métricas de
alineamiento de la empresa. Supervisar que los procesos y las
prácticas se desempeñen según las metas y métricas de
rendimiento y conformidad acordadas. Proporcionar informes
sistemáticos y oportunos.
• Propósito:
Proporcionar transparencia en el rendimiento y la
conformidad e impulsar la consecución de las metas.
 Metas Empresariales Metas de Alineamiento

 EG01 Portafolio de productos y servicios  AG05 Prestación de servicios de I&T

competitivos conforme a los requisitos del negocio

 EG04 Calidad de la información financiera  AG10 Calidad de la información de

gestión de I&T
 EG07 Calidad de la información de gestión

 EG08 Optimización de la funcionalidad de

procesos internos del negocio
 A. PROCESO
 MEA01.01 Establecer un enfoque de supervisión.

 MEA01.02 Establecer objetivos de rendimiento y conformidad.

 MEA01.03 Recopilar y procesar los datos de rendimiento y conformidad.

 MEA01.04 Analizar e informar sobre el rendimiento.

 MEA01.05 Asegurar la implementación de acciones correctivas.

B. Componente: Estructuras organizativas

Dueños del proceso de negocio

Consejo de gobierno de I&T
Director general financiero
Director general ejecutivo

Jefe de operaciones de TI
Director de operaciones

Gestor de relaciones

Gestor de servicios
Jefe de desarrollo
Comité Ejecutivo

Director de TI
Práctica clave de gestión
MEA01.01 Establecer un enfoque de supervisión. R A R R R R
MEA01.02 Establecer los objetivos de rendimiento y conformidad. A R R R R R
MEA01.03 Recopilar y procesar los datos de rendimiento y conformidad. A R R R R R
MEA01.04 Analizar e informar sobre el rendimiento. A R R R R R
MEA01.05 Asegurar la implementación de acciones correctivas. A R R R R R
Documentación relacionada (Estándares, Marcos, Requisitos de cumplimiento) Referencia específica
Sin documentación relacionada para este componente.
D. Componente: Personas, habilidades y competencias
• Revisión de conformidad
• Gestión de calidad de Tecnología de la
información y las telecomunicaciones (ICT)
• Aseguramiento de la calidad

E. Componente: Políticas y procedimientos

• Política de autoevaluación
• Política de protección de denunciantes
F. Componente: Cultura, ética y comportamiento
 Fomentar una cultura de mejora continua de
los procesos del negocio y de I&T para lograr
las metas de la organización y optimizar el
rendimiento.

G. Componente: Servicios, infraestructura y

aplicaciones

 Sistema de medición del desempeño (p. ej.,

cuadro de mando integral, herramientas de
gestión de competencias)
 Herramientas de autoevaluación
 MEA02 — Gestionar el sistema de control interno

Supervisar y evaluar continuamente el entorno de control, incluyendo

autoevaluaciones y auto concienciación.
 Propósito

Dar información transparente a las partes interesadas clave sobre la idoneidad del
sistema de controles internos que permita, proporcionar confianza en las operaciones,
confianza en el logro de los objetivos de la empresa y una comprensión adecuada del
riesgo residual.

Metas empresariales Metas de alineamiento

*EG03 Cumplimiento de las leyes y

regulaciones. *AG11 Cumplimiento de I&T con las
*EG11 Cumplimiento de las políticas políticas internas
internas
 Proceso
MEA02.01 Supervisar los controles internos.

MEA02.02 Revisar la eficacia de los controles del proceso de negocio.

MEA02.03 Realizar autoevaluaciones de control.

MEA02.04 Identificar e informar las deficiencias de control.

B. Componente: Estructuras organizativas              
 
 
 
 
 
 
 

Gestor de seguridad de la información

 

Gestor de continuidad del negocio

 

Oficina de gestión de proyectos

Dueños del proceso de negocio
 

Consejo de gobierno de I&T

Jefe de administración de TI
 

Director general financiero

Jefe de operaciones de TI

Director de privacidad
Director de tecnología

Gestor de servicios
Director de riesgos

Jefe de desarrollo
Director de TI
Práctica clave de gestión

MEA02.01 Supervisar los controles internos.   R A R   R R R R R R R R R

MEA02.02 Revisar la eficacia de los controles del proceso de negocio. R   A R R R                

MEA02.03 Realizar autoevaluaciones de control.   R A R   R R R R R R R R R

MEA02.04 Identificar y reportar las deficiencias de control.     A R   R R R R R R R R R
Documentación relacionada (Estándares, Marcos, Requisitos de cumplimiento) Referencia específica

Sin documentación relacionada para este componente.

C. Componente: Flujos y elementos de información (ver también la sección 3.6)
Práctica de gestión Entradas Salidas

MEA03.01 Identificar los requisitos externos de De Descripción Descripción A

cumplimiento. Fuera de COBIT Requisitos de Log de acciones de Interna
cumplimiento legal y cumplimiento
regulatorio. requeridas
Registro de requisitos Interna
de cumplimiento
MEA03.02 Optimizar la respuesta a los requisitos     Comunicaciones de Todos los
externos. cambios en los APO; Todos
requisitos de los BAI;
cumplimiento Todos los
DSS; Todos
los MEA;
EDM01.01
Políticas, principios, APO01.0
procedimientos y 9;
estándares actualizados APO01.1
1
MEA03.03 Confirmar el cumplimiento externo. BAI05.06 Resultados de las Confirmaciones de EDM01.03
auditorías de cumplimiento
cumplimiento
BAI09.05 Resultados de Brechas de MEA04.08
auditoría a las cumplimiento
licencias instaladas identificadas
BAI10.05 Desviaciones de
licencias
DSS01.04 Informes de políticas
de seguros
MEA03.04 Obtener aseguramiento de cumplimiento EDM05.02 Reglas para la Informes de EDM01.03
externo. validación y aseguramiento del
aprobación de cumplimiento
informes obligatorios
EDM05.03 Evaluación de la Informes de los EDM01.0
eficacia de reporte problemas de 3;
incumplimiento y sus MEA04.0
causas raíz 4
Documentación relacionada (Estándares, Marcos, Requisitos de Referencia específica
cumplimiento)
Sin documentación relacionada para este componente.
D. Componente: Personas, habilidades y competencias
Habilidad Documentación relacionada (Estándares, Referencia
Marcos, Requisitos de cumplimiento) específica
Seguridad de la Skills Framework for the Information SCTY
información Age V6, 2015

E. Componente: Políticas y procedimientos

Política relevante Descripción de la política Documentación relacionada Referencia específica

Política de cumplimiento Identifica los requisitos de    

cumplimiento regulatorios,
contractuales e internos. Explica
el proceso para evaluar el
cumplimiento de los requisitos
regulatorios, contractuales e
internos. Listas
de roles y responsabilidades de
distintas actividades en el
proceso y proporciona
directrices sobre las
métricas para medir el
cumplimiento.
Obtiene informes de
cumplimiento y confirma el
cumplimiento o las acciones
correctivas para abordar la
solución de las brechas de
cumplimiento de manera
oportuna.
F. Componente: Cultura, ética y comportamiento
Elementos Documentación Referencia
culturales clave relacionada específica
Proporcionar una cultura de concienciación    
sobre el cumplimiento, incluida una
tolerancia cero con el incumplimiento de
requisitos legales y regulatorios.

G. Componente: Servicios, infraestructura y aplicaciones

Servicios de vigilancia regulatoria

Servicios de evaluación al cumplimiento de terceros
MEA03-GESTIONAR EL
CUMPLIMIENTO DE LOS
REQUERIMIENTOS EXTERNOS
ASEGURAR QUE LOS REQUISITOS SE HAN IDENTIFICADO Y CUMPLIDO; INTEGRAR EL
CUMPLIMIENTO DE TI CON EL CUMPLIMIENTO GENERAL DE LA EMPRESA.
 Propósito:
Asegurarse de que la empresa cumpla con todos los requisitos externos aplicables.

Metas Empresariales
• EG03Cumplimento de leyes de regulaciones externas

Metas de Alineamiento
• AG01 Cumplimiento de I&T y soporte al cumplimiento del negocio con leyes y regulaciones
externas
PROCESO
• MEA03.01 identificar los requisitos externos de cumplimientos.
• MEA03.02 optimizar la respuesta a los requisitos.
• MEA03.03 Confirmar el cumplimiento externo
• MEA03.04 obtener aseguramiento de cumplimento externo
C. Componente: Flujo y elementos de información(ver también la sección 3.6)
Práctica de gestión Entradas Salidas
MEA03.01 Identificar requisitos externos de De Descripción Descripción A
cumplimiento. Log de acciones de
 Fuera del ámbito de  Requisitos de Interna
COBIT cumplimiento legal cumplimiento
y regulatorio requeridos
Registro de requisitos Interna
de cumplimiento

MEA03.02 Optimizar la respuesta a Políticas, principios y APO01.09

requisitos externos. APO01.11
estándares
Actualizados
Comunicaciones de EDM01.01
modificaciones en los Todo APO
requisitos de Todo BAI
cumplimientos Todo DSS
Todo MEA
MEA03.03 Confirmar el cumplimiento de BAI05.06 Resultado Conformación de MEA02.08
requisitos externos. cumplimiento.
Auditorias de
cumplimiento
EDM01.03 BAI09.05 Resultados de Deficiencias de EDM01.03
auditorias de cumplimiento
licencias instaladas identificadas
BAI10.05 Desviaciones de
licencias
DSS01.04 Informes de pólizas
de seguros
MEA03.04 Obtener garantía del EDM05.02 Reglas de validación Informes de garantías EDM01.03
cumplimiento requisitos externos. y aprobación de de cumplimientos
informes obligatorios
EDM05.03 Evaluacion de la Informes de los EDM01.03
eficacia de reporte problemas de
MEA04.04
D. Componente: Personas, habilidades y competencias
Habilidad Documentación relacionada (Estándares, Marcos, Referencia específica
Requisitos de cumplimiento)
Seguridad de la Skill Framework for the informtion Age V&, 2015 SCTY
información

E. Componente: Políticas y procedimientos

Política Relevante Descripción de la política
Política de cumplimiento Identifica los requisitos de cumplimiento
regulatorios. Explica el proceso para evaluar el
cumplimento de los requisitos regulatorios,
contractuales e internos. Lista de roles y
responsabilidades de distintas actividades en el
proceso y proporciona directrices sobre las
métricas para medir el cumplimiento. Obtiene
información de cumplimientos las acciones
correctivas para abordar la solución de las
brechas de cumplimento de manera oportuna
F. Componente: Cultura, ética y comportamiento
Elementos culturales clave

Proporcionar una cultura de conciencia sobre el cumplimiento, incluida una tolerancia cero con el
incumplimiento de requisitos legales y regulatorios

G. Componente: Servicios, infraestructura y aplicaciones

• Servicios de vigilancia regulatoria

• Servicios de evaluación al cumplimiento de terceros
MEA04-GESTIONAR EL
ASEGURAMIENTO
PLANIFICAR, DELIMITAR Y EJECUTAR INICIATIVAS DE ASEGURAMIENTO PARA
CUMPLIR CON REQUISITOS INTERNOS, LEYES, REGULACIONES Y OBJETIVOS
ESTRATÉGICOS.
Propósito:
Metas Empresariales Metas de Alineamiento
 EG03 Cumplimiento de leyes y  AG11 Cumplimiento de I&T con
regulaciones externas las políticas Internas

• EG11 Cumplimiento de las

políticas internas
PROCESO
• MEA04.01 Asegurar que los proveedores de aseguramiento sean independientes y estén
cualificados.
• MEA04.02 Desarrollar una planificación de iniciativas de aseguramiento basada en
riesgos.
• MEA04.03 Determinar los objetivos de la iniciativa de aseguramiento.
• MEA04.04 Definir el alcance de la iniciativa de aseguramiento.
• MEA04.05 Definir el programa de trabajo para la iniciativa de aseguramiento.
• MEA04.06 Ejecutar la iniciativa de aseguramiento, enfocándose en la efectividad del
diseño.
• MEA04.07 Ejecutar la iniciativa de aseguramiento, enfocándose en la eficacia operativa.
• MEA04.08 Informar y hacer seguimiento a la iniciativa de aseguramiento.
• MEA04.09 Hacer seguimiento a las recomendaciones y a las acciones.
B. Componente: Estructuras organizativas            
 

Gestor de seguridad de la información

 

Gestor de continuidad del negocio

 

Comité de riesgos empresariales

 

Dueños del proceso de negocio

 

Función de gestión de datos

Jefe de operaciones de TI
 

Director de operaciones
 

Director de tecnología
 

Gestor de servicios
Director de riesgos
 

Director de TI
 

Asesor legal
 

Auditoría
Práctica clave de gestión

MEA04.01 Asegurar que los proveedores de aseguramiento sean independientes y     R R R R           R A

estén cualificados.
MEA04.02 Desarrollar una planificación de iniciativas de aseguramiento basada en
los riesgos.
MEA04.03 Determinar los objetivos de la iniciativa de aseguramiento.
MEA04.04 Definir el alcance de la iniciativa de aseguramiento.
MEA04.05 Definir el programa de trabajo para la iniciativa de aseguramiento.
R R R R   R           R A
R R R R   R           R A
R R R R   R           R A
R   R R   R           R A

MEA04.06 Ejecutar la iniciativa de aseguramiento, enfocándose en la efectividad del R   R R   R R R R R R R A

diseño.
MEA04.07 Ejecutar la iniciativa de aseguramiento, enfocándose en la eficacia R   R R   R R R R R R R A
operativa.
MEA04.08 Informar y hacer seguimiento a la iniciativa de aseguramiento. R   R R   R           R A
MEA04.09 Hacer seguimiento a las recomendaciones y a las acciones. R R A R   R   R       R R
Documentación relacionada (Estándares, Marcos, Requisitos de cumplimiento) Referencia específica

Sin documentación relacionada para este componente.

C. Componente: Flujos y elementos de información (ver también la sección 3.6)
Práctica de gestión Entradas Salidas
MEA04.01 Asegurar que los proveedores De Descripción Descripción A
del aseguramiento sean independientes y Resultados de
estén cualificados.     Interna
evaluaciones del
proveedor del
aseguramiento
MEA04.02 Desarrollar una planificación BAI01.05 Planes de Planes de Todos los
de iniciativas de aseguramiento basada auditoría de APO;
en los riesgos. programas aseguramiento Todos los
BAI; Todos
los DSS;
Todos los
MEA;
EDM01.03
DSS01.02 Planes Criterios de Interna
independientes de
aseguramiento evaluación
Evaluaciones de Interna
alto nivel
MEA04.03 Determinar los objetivos MEA04.02 Planes de Objetivos del Interna
de la iniciativa de aseguramiento. aseguramiento y
aseguramiento beneficios
esperados
MEA04.04 Definir el alcance de la iniciativa APO11.03 Causas raíz del Prácticas de Interna
fracaso a la hora de revisión del
de aseguramiento. ofrecer calidad aseguramiento
APO12.06 Causas raíz Plan de Interna
relacionadas con
el riesgo compromiso
DSS06.01 Análisis de la
causa raíz y
recomendaciones
MEA03.04 Informes de los Alcance de la Interna
problemas y revisión del
causas raíz del aseguramiento
incumplimiento
D. Componente: Personas, habilidades y competencias
Habilidad Documentación relacionada (Estándares, Referencia específica
Marcos, Requisitos de cumplimiento)
Hay una serie de Core Principles for the Professional Practice cfr. IIA website—
principios of Internal Auditing, The Institute of Internal Standards &
fundamentales Auditors Guidance - Core
descritos por el Principles
Instituto de auditores
internos ®, que
respaldan la
efectividad y la
eficiencia de la
función de auditoría
(interna). Estos
principios incluyen,
entre otros, la
importancia de la
independencia ,
habilidades de
comunicación
efectiva,
proactividad, etc.
Gestión de riesgos e-Competence Framework (e-CF)—A E. Manage—E.3.
common European Framework for ICT
Professionals in all industry sectors—Part Risk Management
1: Framework, 2016
E. Componente: Políticas y procedimientos
Política Relevante
Guía de aseguramiento
Estatuto de auditoría interna
Descripción de la política
Proporciona directrices sobre la realización de
actividades de
aseguramiento
Proporciona independencia para llevar a cabo
revisiones de auditoría e informar sobre los
hallazgos y recomendaciones directamente a la
alta dirección
F. Componente: Cultura, ética y comportamiento
Elementos culturales clave Documentación Referencia específica
relacionada
Crea una cultura que adopta la auditoría interna y    
los hallazgos y recomendaciones de aseguramiento,
conforme al análisis de las causas raíz. Los líderes
deben garantizar que la auditoría interna y el
aseguramiento formen parte de las iniciativas
estratégicas y reconocer la necesidad (y el valor) de
la auditoría y de los informes de aseguramiento.

Garantizar una cultura ética de auditoría interna Código de ética, el cfr. IIA website—
a través de un código ético adecuado. Instituto de Auditores Standards & Guidance—
internos Code of Ethics

G. Componente: Servicios, infraestructura y aplicaciones

Herramientas de compromiso de aseguramiento

Herramientas de auditoría para el log de eventos
Servicios de prestación de aseguramiento por terceros
¡¡GRACIAS POR SU
ATENCION!!