PRINCIPIOS DE AUDITORIA DE SISTEMAS

DEFINICIN DE COBIT

OBJETIVOS DE CONTROL PARA LA INFORMACION Y LA TECNOLOGIA RELACIONADA

MISIN COBIT
Investigar, desarrollar, publicar y promover un conjunto de objetivos de control para tecnologa de informacin, que sea internacional y este actualizado para uso cotidiano de gerentes, auditores y usuarios.

VISIN COBIT
Ser el modelo de control para la TI.

REGLA DE ORO DE COBIT

Para proveer la informacin que requiere la

organizacin para lograr sus objetivos, los recursos de TI

deben ser administrados por un conjunto de procesos, agrupados de forma adecuada y ejecutados acorde a prcticas normalmente aceptadas.

USUARIOS COBIT

La Gerencia: Apoyo a decisiones de inversin en TI y control sobre su desempeo, balanceo del riesgo y el control de la inversin en un ambiente a menudo impredecible.

Los Usuarios Finales: Obtienen una garanta sobre el control y seguridad de los productos que adquieren interna y externamente.

Los Auditores: :Soportar sus opiniones

sobre los controles de los proyectos de TI, su impacto en la

organizacin y determinar el control mnimo requerido.

Los Responsables de TI: Para identificar los controles que requieren en sus reas.

Organismos estatales de control: Para saber que es lo mnimo que pueden exigir.

QUE SON LAS TI

(Tecnologas de Informtica)

Se encargan de
DISEO DESARROLLO FOMENTO MANTENIMIENTO ADMINISTRACION

D E

Por medio de SISTEMAS INFORMATICOS

INFORMACION

PRINCIPIOS COBIT
REQUERIMIENTOS DE INFORMACIN DEL NEGOCIO

PROCESOS DE TI

RECURSOS DE TI

REQUERIMIENTOS DE LA INFORMACIN DEL NEGOCIO

CobiT combina los principios contenidos por modelos existentes y conocidos, como COSO, SAC y SAS
Requerimientos de Calidad Calidad (cumplimiento de requerimientos) Costo (dentro del presupuesto). Oportunidad (en el tiempo indicado) Efectividad y eficiencia operacional. Confiabilidad de los reportes financieros. Cumplimiento de leyes y regulaciones.

Requerimientos Financieros (COSO) Requerimientos de Seguridad

Confidencialidad.
Integridad. Disponibilidad.

REQUERIMIENTOS DE LA INFORMACIN DEL NEGOCIO

Efectividad

Se refiere a la informacin que es relevante para el negocio y que debe ser entregada de manera correcta, oportuna, consistente y usable. Se refiere a la provisin de informacin a travs del ptimo (ms productivo y econmico) uso de los recursos. Relativa a la proteccin de la informacin sensitiva de su revelacin no autorizada. Se refiere a la exactitud y completitud de la informacin, as como su validez, en concordancia con los valores y expectativas del negocio.

Eficiencia

Confidencialidad

Integridad

REQUERIMIENTOS DE LA INFORMACIN DEL NEGOCIO

Disponibilidad

Se refiere a que la informacin debe estar disponible cuando es requerida por los procesos del negocio ahora y en el futuro. Involucra la salvaguarda de los recursos y sus capacidades asociadas.

Cumplimiento

Se refiere a cumplir con aquellas leyes, regulaciones y acuerdos contractuales, a los que estn sujetos los procesos del negocio.

Confiabilidad

Se refiere a la provisin de la informacin apropiada a la alta gerencia, para operar la entidad y para ejercer sus responsabilidades financieras y de cumplir con los reportes de su gestin.

RECURSOS DE TI
Datos: Todos los objetos de informacin. Considera informacin interna y externa, estructurada o no, grficas, sonidos, etc. Aplicaciones: Entendido como los sistemas de informacin, que integran procedimientos manuales y sistematizados.

Tecnologa: Incluye hardware y software bsico, sistemas operativos, sistemas de administracin de bases de datos, de redes, telecomunicaciones, multimedia, etc.
Instalaciones: Incluye los recursos necesarios para alojar y dar soporte a los sistemas de informacin. Recurso Humano: Por la habilidad, conciencia y productividad del personal para planear, adquirir, prestar servicios, dar soporte y monitorear los sistemas de Informacin.

RECURSOS DE TI
Seguridad de la informacin Microcomputador o terminal ========================== Aplicaciones en funcionamiento (1),(2),(3),(4),(8),(10),(11)

Seguridad fsica
(1) Sistemas Operacionales (2) Software de Seguridad (3) Sistemas Manejadores de Bases de Datos y Diccionarios de Datos (4) Monitores de Teleprocesamiento

Equipo central ========================= Operacin del sistema (1),(2),(6),(7),(8),(9)

(5) Ayudas para el desarrollo de programas (6) Control del Cambio y Administracin de libreras (7) Editores en lnea (8) Software de Telecomunicaciones (9) Sistema de soporte a operaciones (10) Sistemas de oficina (11) Intercambio electrnico de datos

Sistema de comunicaciones (8),(11)

Red local =============== (1),(2),(3),(4),(5),(6), (7),(8),(9),(10),(11)

PROCESOS DE TI - LOS 3 NIVELES

Agrupacin natural de procesos, normalmente corresponden a una responsabilidad organizacional

Dominios

Procesos

Conjuntos de actividades unidas con delimitacin o cortes de control.

Actividades o tareas

Acciones requeridas para lograr un resultado medible. Las Actividades tienen un ciclo de vida mientras que las tareas son discretas.

DOMINIOS DE TI
Planeacin y Organizacin

Adquisicin e implementacin

Prestacin de Servicios y Soporte

Seguimiento o monitoreo

DOMINIOS DE TI
Planeacin y Organizacin
Se vincula con la identificacin de la forma en que la tecnologa de informacin puede contribuir de la manera ms adecuada con el logro de los objetivos del negocio.

Estn alineadas las estrategias de TI y del negocio? La empresa est alcanzando un uso ptimo de sus recursos? Entienden todas las personas dentro de la organizacin los objetivos de TI? Se entienden y administran los riesgos de TI? Es apropiada la calidad de los sistemas de TI para las necesidades del negocio?

PROCESOS DE TI
Planeacin y Organizacin 1. 2. 3. 4. 5. 6. Definir un plan estratgico de TI Definir la arquitectura de informacin Determinar la direccin tecnolgica Definir la organizacin y relaciones de la Funcin TI Administrar la inversin en TI Comunicacin de la directrices Gerenciales

7.
8. 9.

Administracin del Recurso Humano

Administrar la Calidad Evaluacin y Administracin de Riesgos

10. Administracin de Proyectos

PROCESOS DE TI
Planeacin y Organizacin 1. Definir un plan estratgico de TI

Que satisface el requisito de negocio para Hallar un balance ptimo de oportunidades de tecnologa de la informacin y los requisitos de negocio as como tambin asegurar su realizacin adicional

Toma en consideracin

Definicin de los objetivos de negocio y necesidades para las TI Inventario de soluciones tecnolgicas e infraestructura actual Cambios organizativos Estudio de viabilidad oportuno Existencia de evaluaciones de sistemas

PROCESOS DE TI
Planeacin y Organizacin 2. Definir la arquitectura de informacin

Que satisface el requisito de negocio para

Una mejor organizacin de los sistemas de informacin Toma en consideracin Documentacin Diccionario de datos Reglas sintcticas de datos Propiedad de datos y clasificacin crtica

PROCESOS DE TI
Planeacin y Organizacin 3. Determinar la direccin tecnolgica

Que satisface el requisito de negocio para

Tomar ventaja de la tecnologa disponible y emergente Toma en consideracin Adecuacin y evolucin de la capacidad de la infraestructura actual Monitorizacin de los desarrollos tecnolgicos Contingencias Planes de adquisicin

PROCESOS DE TI
Planeacin y Organizacin 4. Definir la organizacin y relaciones de la Funcin TI
Que satisface el requisito de negocio para
Entregar los servicios de las TI Toma en consideracin Comit de direccin Consejo de nivel de responsabilidad Propiedad, custodia Supervisin Segregacin de obligaciones Roles y responsabilidades Descripciones del trabajo Provisin de niveles Clave personal

PROCESOS DE TI
Planeacin y Organizacin 5. Administrar la inversin en TI

Que satisface el requisito de negocio para

Garantizar la consolidacin y controlar el gasto de los recursos financieros

Toma en consideracin Consolidacin de alternativas Control del gasto efectivo Justificacin de los costes Justificacin de los beneficios

PROCESOS DE TI
Planeacin y Organizacin 6. Comunicacin de la directrices Gerenciales

Que satisface el requisito de negocio para

Garantizar el conocimiento del usuario y entendimiento de esos fines Toma en consideracin Cdigo de conducta/tica Directrices de tecnologa Conformidad Comisin de calidad Polticas de seguridad Polticas de control interno

PROCESOS DE TI
Planeacin y Organizacin 7. Administracin del Recurso Humano

Que satisface el requisito de negocio para Maximizar las contribuciones del personal a los procesos de TI

Toma en consideracin Refuerzo y promocin Requisitos de calidad Entrenamiento Construccin del conocimiento Evaluacin de la ejecucin objetiva y medible