Post on 10-Feb-2018
Curso 20082009
Evaluacioacuten de controles de TI
VICTOR A VASQUEZ M
VICTOR A VASQUEZ M
3
bull Objetivos
bull Introduccioacuten
bull Control Interno
bull Importancia de los sistemas de informacioacuten
bull Resumen cobit
Agenda
VICTOR A VASQUEZ M4
Al finalizar el curso el asistente estaraacute en condiciones de responder a las siguientes preguntas
iquestQueacute es control interno y como aplica a las aacutereas de TI
iquestPorqueacute son importante evaluacioacuten de controles
iquestCoacutemo el conocer COBIT se vuelve importante
Objetivos
VICTOR A VASQUEZ M5
Actualmente cualquier empresa ya sea de tamantildeo pequentildeo mediano o grande tiene una alta dependencia con respecto a los sistemas Ya sean sistemas de gestioacuten empresarial como sistemas que administran el flujo de produccioacuten etc Por esta razoacuten en cualquier auditoriacutea es necesario tener en consideracioacuten el impacto de los sistemas
Introduccioacuten
VICTOR A VASQUEZ M6
Como principales objetivos que busca la auditoriacutea Informaacutetica son
bull El control de la funcioacuten informaacutetica bull El anaacutelisis de la eficiencia de los Sistemas Informaacuteticos bull La verificacioacuten del cumplimiento de la Normativa general de la empresa en este aacutembito y bull La revisioacuten de la eficaz gestioacuten de los recursos materiales y humanos informaacuteticos
Introduccioacuten (Continuahellip)
VICTOR A VASQUEZ M 7
Importancia de los SI
La informacioacuten que actualmente utilizamos para realizar nuestro trabajo de auditoriacutea se encuentra soportada en los sistema de informacioacuten (ya sea informacioacuten de gestioacuten ERP Bases de Datos etc)
Interfaces
Bases de Datos
Software
Hardware
Comunicaciones
Personas
Infraestructura
Informacioacuten
Aplicaciones
VICTOR A VASQUEZ M
COSO- Actividades de control
8
COSO ndash Commitee of sponsoring organizations of the treadwaycommission ndash
Es una organizacioacuten del sector privado dedicada a mejorar la calidad de los reportes financieros mediante la eacutetica de los negocios un efectivo control interno y gobierno corporativo
COSO Framework
Es un marco integrado de control interno utilizado como base sobre el cual se implementan otros marcos de trabajo complementarios de control de TI como puede ser COBIT
COSO identifica cinco componentes esenciales para un efectivo control interno ambiente de control evaluacioacuten de riesgos actividades de control informacioacuten y comunicacioacuten y monitoreo
VICTOR A VASQUEZ M
COSO- Actividades de control
Ambiente de control (control environment)
Crear ambiente de control en la empresa
Evaluacioacuten de riesgos (risk assessment)
Identificar y analizar riesgos significativos que puedan evitar el alcanzar objetivos
Actividades de control (control activities)
Poliacuteticas procedimientos y praacutecticas que aseguren el logro de objetivos y mitiguen riesgos
Informacioacuten y comunicacioacuten (information amp communication) Identificar informacioacuten relevante y comunicarla a los grupos y niveles adecuados
Monitoreo (monitoring)
Revisioacuten y evaluacioacuten continua de los controles internos
VICTOR A VASQUEZ M
COBIT y el cumplimiento de la ley Sarbanes-Oxley
VICTOR A VASQUEZ M
Implicaciones normativas
11
En respuesta a una serie de fallas de negocios y escaacutendalos corporativos que empezaron con Enron en 2001 El Congreso de los EUA promulgoacute la Ley Sarbanes-Oxley de 2002 (SOX)
SOX introdujo muchas reformas de gobierno corporativo encaminadas a incrementar la confianza de los inversionistas en los mercados de capitales
La Ley ldquoSarbanes-Oxley Actrdquo requiere que las organizaciones seleccionen e implementen un modelo de control interno siendo COSO el modelo maacutes comuacutenmente adoptado
Las empresas registradas en la SEC han descubierto que COSO no provee el detalle suficiente sobre Control de TI
Como resultado la mayoriacutea de las empresas han adoptado COBIT como el modelo de control en TI como parte de su estrategia de cumplimiento con las disposiciones de SOX
VICTOR A VASQUEZ M
Sarbanes-oxley ndashSec 302
12
En respuesta a una serie de fallas de negocios y escaacutendalos corporativos que empezaron con Enron en 2001 El Congreso de los EUA promulgoacute la Ley Sarbanes-Oxley de 2002 (SOX)
SOX introdujo muchas reformas de gobierno corporativo encaminadas a incrementar la confianza de los inversionistas en los mercados de capitales
La Ley ldquoSarbanes-Oxley Actrdquo requiere que las organizaciones seleccionen e implementen un modelo de control interno siendo COSO el modelo maacutes comuacutenmente adoptado
Las empresas registradas en la SEC han descubierto que COSO no provee el detalle suficiente sobre Control de TI
Como resultado la mayoriacutea de las empresas han adoptado COBIT como el modelo de control en TI como parte de su estrategia de cumplimiento con las disposiciones de SOX
VICTOR A VASQUEZ M
Sarbanes-Oxley - Sec 404
La seccioacuten 404 requiere la evaluacioacuten y documentacioacuten por lo menos una vez al antildeo de todos los controles y procedimientos internos implantados que producen la informacioacuten financiera Los controles internes deben de ser documentado y sistemas deben de ser implantados para monitorear la efectividad de estos controles
Se establece la obligacioacuten de mantener poliacuteticas y procedimientos relacionados con la integridad de la informacioacuten y su disponibilidad
El uso de los sistemas de informacioacuten requeriraacute de un control maacutes estricto que preserve la confiabilidad de la informacioacuten que se maneja y que afecta a los reportes financieros de la empresa sin descuidar por supuesto aquellas cuestiones relacionadas con la confidencialidad disponibilidad e integridad de la informacioacuten
VICTOR A VASQUEZ M
Objetivos de control relacionados con SAROX
AI2 Adquirir y mantener software aplicativo
AI3 Adquirir y mantener infraestructura tecnoloacutegica
AI4 Facilitar operacioacuten y uso
AI6 Administrar cambios
AI7 Instalar y acreditar soluciones y cambios
DS1 Definir y administrar los niveles de servicio
DS2 Administrar los servicios de terceros
DS5 Garantizar la seguridad de los sistemas
DS8 Administrar la atencioacuten a usuarios y los incidentes
DS9 Administrar la configuracioacuten
DS10 Administrar los problemas
DS11 Administrar los datos
DS12 Administrar el ambiente fiacutesico
DS13 Administrar las operaciones
Fuente IT Control Objectives for Sarbanes-Oxley IT Governance Institute
VICTOR A VASQUEZ M15
Importancia de los SI en la Auditoriacutea
Aspectos que se deberiacutean tener en cuenta para realizar una auditoriacutea coherente con la relevancia de los Sistemas de Informacioacuten de cada empresa(ya sea realizada por nosotros mismos o bien aspectos que deberemos considerar al momento de revisar el trabajo de otros)
Controles Automaacuteticos
Interfaces Contables
Segregacioacuten de Funciones
Identificar Principales Aplicaciones
Una aplicacioacuten que administra determinadas compras de una empresa y que se comunica con los sistemas contables de la compantildeiacutea
Que debe y puede hacer una persona por las opciones del sistema Tiene un impacto relevante en todos los aplicativos de una compantildeiacutea
Seraacuten aquellos que impacten de forma significativa en los estados contables de la compantildeiacutea
Cuando se quiere realizar una prueba en el sistema de aprobaciones automaacuteticas validacioacuten automaacutetica de indicadores aplicacioacuten de acuerdos comerciales etc
VICTOR A VASQUEZ M16
Metodologiacutea General para la revisioacuten de controles y sistemas de
IT
bullIdentificar el enfoquebullIdentificar principales sistemasbullIdentificar principales riesgosbullMapa de Sistemas e interfaces
Entendimiento
bullRealizacioacuten de TAACs (CAATs)bullRecalculo de procesos
bullFIFObullAmortizacioacutenbullPMPbullVNR
Evaluacioacuten de Controles
Planificacioacuten
bullQue sistemas tiene la empresabullSistema contable (SO DB LP)bullPrincipales InterfacesbullIdentificar Cuentas por SistemabullProveedores (Comun Mantenimetc)
Pruebas Sustantivas
bullRealizar ITGCbullRevisar procesos de NegociobullRevisar controles automaacuteticos
Procedimientos Restantes
1 2
3 4
5
VICTOR A VASQUEZ M17
Metodologiacutea General para la revisioacuten de controles y sistemas de
IT
Entendimiento 1
bullQue sistemas tiene la empresa En la Compantildeiacutea X se identifican los siguientes aplicativos
bull Nomina plus (RRHH) Aplicativo adquirido a la empresa SW con DB SQL Server y desarrollado en VBNet
bull Contaplus (Contabilidad) Aplicativo adquirido a la empresa SW con DB SQL Server y desarrollado en VBNet
bullSistema contable (SO DB LP)bullPrincipales Interfaces Se identifican interfaces con RH y Ventas estas tienen componente automaacuteticobullIdentificar Cuentas por Sistema
bullNominaplus 41000001-200bullContaplus Todas
bullProveedores Los principales proveedores son
bullTelefoccedilonica Comunicaciones
VICTOR A VASQUEZ M18
Algunos de los aspectos a identificar durante estaacute parte del trabajo son temas relacionados con organizacioacuten y administracioacuten de IT
Involucracioacuten de altos mandos Estrategia IT Gestioacuten del coste y la inversioacuten en IT Informes de gestioacuten del funcionamiento IT Gestioacuten a nivel de servicio Conformidad legal y regulatoria Gestioacuten de recursos humanos Informaacutetica a nivel de usuario Gestionar servicios de terceros Contabilidad de activos Gestioacuten de la infraestructura de seguridad Seguridad en descripcioacuten de trabajos y recursos
Metodologiacutea General para la revisioacuten de controles y sistemas de
IT
VICTOR A VASQUEZ M19
Metodologiacutea General para la revisioacuten de controles y sistemas de
IT
bullIdentificar el enfoquebullControlbullSustantivobullMixto
bullIdentificar principales sistemasbullERPbullNoacuteminabullFinancierobullComercial
bullIdentificar principales riesgos Depende directamente del tipo de negocio y objetivos estrateacutegicos de la Compantildeiacutea
bullDependenciasbullInformacioacutenbullCumplimiento LegalbullContinuidad
bullMapa de Sistemas e interfacesbullContabilidad-VentasbullContabilidad-ComprasbullContabilidad-Noacutemina
Planificacioacuten 2
VICTOR A VASQUEZ M20
Evaluacioacuten de Controles
bullRealizar ITGCbullGestioacuten Datos y ProgramasbullGestioacuten de CambiosbullDesarrollo de ProgramasbullOperaciones de ITbullComputacioacuten Usuario Final
bullRevisar procesos de Negocio DepenbullRevisar controles automaacuteticos
3
Metodologiacutea General para la revisioacuten de controles y sistemas de
IT
Acceso a Datos y Programas
Gestioacuten de Cambios
Desarrollo de ProgramasOperaciones de IT
Computacioacuten de Usuario Final
VICTOR A VASQUEZ M21
Metodologiacutea General para la revisioacuten de controles y sistemas de
IT
bullRealizacioacuten de TAACs (CAATs) Teacutecnicas de Auditoriacutea Asistidas por Ordenador
bullCalidad de la informacioacutenbullValidacioacuten de datosbullFacturas duplicadas
bullRecalculo de procesosbullFIFObullAmortizacioacutenbullPMPbullVNR
Pruebas Sustantivas 4H
E
R
R
A
M
I
E
N
T
A
S
D
A
T
A
A
N
A
L
I
S
I
S
S
I
M
U
L
A
C
I
O
N
VICTOR A VASQUEZ M22
Metodologiacutea General para la revisioacuten de controles y sistemas de
IT
VICTOR A VASQUEZ M
Caracteriacutesticas del control
Control
iquestQueacute
iquestQuieacuten
iquestCuaacutendo
FrecuenciaiquestCoacutemo
Evidencia
Riesgo
SalidasEntradas
VICTOR A VASQUEZ M24
Anaacutelisis de Riesgos y su importancia
La probabilidad de que una amenaza se concrete (accidentalmente o intencionalmente de activacioacuten explotar) aprovechando una vulnerabilidad del sistema de informacioacuten y generando un impacto econoacutemico
El impacto econoacutemico generado por el no cumplimiento de una ley o falta de responsabilidad legal
Algunos ejemplos de riesgo de IT son
No autorizada (intencionados o accidentales) la divulgacioacuten modificacioacuten o destruccioacuten de informacioacuten
Errores y omisiones no intencionales
Interrupciones por causas naturales o cataacutestrofes de origen humano
La falta de diligencia en la aplicacioacuten y el funcionamiento del sistema informaacutetico Proveer un nivel razonable de certeza de que los objetivos de cobertura del control interno son alcanzados
Porqueacute es importante
Para que no pase estohellip
VICTOR A VASQUEZ M
ROCA
NINtildeOS
CASA
AMENAZA
Algo que pueda explotar una vulnerabilidad intencional o accidentalmente y ocasionardantildeo o destruccioacuten del activo
Conceptos de riesgo
AMENAZA CONTROLVULNERABILIDAD RIESGO IMPACT0
VICTOR A VASQUEZ M
THREAT
ROCA
NINtildeOS
CASA
Debilidad o brecha que puedeser explotada por una amenaza en contra del activo
VULNERABILIDAD
Conceptos de riesgo
AMENAZA CONTROLVULNERABILIDAD RIESGO IMPACTO
VICTOR A VASQUEZ M
THREAT
ROCA
NINtildeOS
CASA
La peacuterdida dantildeo o destruccioacuten potencial sobre el active como resultado de laexplotacioacuten de vulnerabilidad
RIESGO Desprendimiento de la
piedra y caiacuteda sobre los nintildeos
AMENAZA CONTROLVULNERABILIDAD RIESGO IMPACTO
Conceptos de riesgo
VICTOR A VASQUEZ M
THREAT
ROCA
NINtildeOS
CASA
Cualquier accioacuten que ayude a reducir la probabilidad de que el riesgo ocurra o que ayuda a reducir el impacto si el riesgo ocurre
Conceptos de riesgo
AMENAZA CONTROLVULNERABILIDAD RIESGO IMPACTO
bull Riesgo residual depende del disentildeo y la eficacia
de los controles
IMPA
CT
O
PR
OB
AB
ILID
AD
VICTOR A VASQUEZ M
THREAT
ROCA
NINtildeOS
CASA
iquestCuaacuteles son las consecuencias y coacutemo se miden
Impacto peacuterdida de vidas o
dantildeo en la propiedad
Conceptos de riesgo
AMENAZA CONTROLVULNERABILIDAD RIESGO IMPACTO
VICTOR A VASQUEZ M30
Anaacutelisis de Riesgos y su importancia
VICTOR A VASQUEZ MDiapositiva No 31
Introduccioacuten a COBIT 5
VICTOR A VASQUEZ M
iquestPor queacute se desarrolloacute COBIT 5
El mandato de la Junta Directiva de ISACA ldquoUnir y reforzar todos los activos de conocimiento de ISACA con COBITrdquo
Proporcionar un marco de gobierno y de gestioacuten renovado y con la autoridad necesaria para la informacioacuten empresarial y las tecnologiacuteas relacionadas
Integrar los principales marcos y las guiacuteas de ISACA Alinearse con los principales marcos y estaacutendares en el
mercado
VICTOR A VASQUEZ M
Gobierno Empresarial de TI
COBIT 5
Gobierno
COBIT4041
Administracioacuten
COBIT 3
Control
COBIT 2
La evolucioacuten de COBIT 5
Auditoriacutea
COBIT 1
2005720001998
Evo
luci
oacuten
1996 2012
BMIS(2010)
Val IT 20(2008)
Risk IT(2009)
VICTOR A VASQUEZ M
Motivadores del desarrollo de COBIT 5
Proveer una guiacutea respecto a Arquitectura Empresarial
Gestioacuten de servicios y activos
Modelos organizacionales y de aprovisionamiento emergentes
Innovacioacuten y Tecnologiacuteas emergentes
Responsabilidades de punta a punta de TI y el negocio Controles para soluciones de TI iniciadas o controladas
por usuario Necesidades de las empresas de
Lograr la creacioacuten de valor
Obtener la satisfaccioacuten de los usuarios
Cumplir leyes relevantes regulaciones y poliacuteticas
Mejorar la relacioacuten entre TI y el Negocio
Mejorar el retorno del Gobierno Empresarial de TI
Conectarse y alinearse con otros frameworks y estaacutendares
VICTOR A VASQUEZ M
Beneficios para las empresas
Las Empresas y los Ejecutivos buscan Mantener informacioacuten de alta calidad que soporte las
decisiones del negocio Generar valor para el negocio de las inversiones habilitadas
por TI
Ej Alcanzar los objetivos estrateacutegicos y lograr beneficios a traveacutes del uso efectivo e innovador de la TI
Lograr la excelencia operacional a traveacutes de la aplicacioacuten confiable y eficiente de la tecnologiacutea
Mantener el riesgo relacionado con TI a un nivel aceptable Optimizar el costo de los servicios de TI y la tecnologiacutea
iquestCoacutemo pueden lograrse estos beneficios para crear valor a los stakeholders de una organizacioacuten
VICTOR A VASQUEZ M
Beneficios
COBIT 5
Define como punto inicial de las actividades de gobierno y gestioacuten las necesidades de los stakeholders relacionadas con la TI de la empresa
Crea una vista maacutes holiacutestica integrada y completa del gobierno y la gestioacuten de la TI de la empresa
Crea un lenguaje comuacuten entre TI y el negocio para el gobierno y la gestioacuten de la TI empresarial
Es consistente con estaacutendares de gobierno corporativo generalmente aceptados por lo que ayuda a cumplir los requerimientos regulatorios
copy 2012 ISACA All Rights Reserved
VICTOR A VASQUEZ M
Familia de Productos de COBIT 5
COBIT 5
Otras guiacuteas habilitadoras
COBIT 5 Procesos habilitadores
COBIT 5 Informacioacuten habilitadora
COBIT 5 Guiacuteas profesionales
Otras guiacuteas profesionales
COBIT 5 Implementacioacuten
COBIT 5Para seguridad de informacioacuten
COBIT 5Para riesgos
COBIT 5 ambiente colaborativo en liacutenea
COBIT 5 Guiacuteas habilitadoras
COBIT 5Para aseguramiento
VICTOR A VASQUEZ MDiapositiva No 38
Principios Baacutesicos de COBIT 5
VICTOR A VASQUEZ M
Principios de COBIT 5
Principios de
COBIT 5
1 Satisfacer las
necesidades de las partes interesadas
2 Cubrir la empresa de extremo a extremo
3 Aplicar un marco de referencia
uacutenico integrado
4 Hacer posible un
enfoque holiacutestico
5 Separar gobierno de
la gestioacuten
VICTOR A VASQUEZ M
5 Distinguir entre gobierno y gestioacuten
El gobierno asegura de que las necesidades condiciones y opciones de las partes interesadas
bull Son evaluadas para determinar las metas corporativas a alcanzar considerado que sean equilibradas y consensuadas
bull Establecen la direccioacuten por medio de la priorizacioacuten y la toma de decisiones
bull Mide el rendimiento cumplimiento y progreso contra las directrices y metas acordadas (EDM)
La gestioacuten planea construye ejecuta y monitorealas actividades de manera alineada con las directrices establecidas por el cuerpo de gobierno para el logro de las metas corporativas (PBRM) ndash Plan Build Run Monitor --- Plan Do Check Act
En la mayoriacutea de las empresas el gobierno es responsabilidad del
consejo de administracioacuten bajo el liderazgo de un Presidente
En la mayoriacutea de las empresas la gestioacuten es responsabilidad de la
Direccioacuten Ejecutiva bajo el liderazgo del Director General (CEO)
VICTOR A VASQUEZ M
5 Distinguir entre gobierno y gestioacuten
Modelo de referencia de procesos
P
1
2
34
5
APO02Gestionar la
estrategia
APO03Gestionar la arquitectura empresarial
APO04Gestionar la innovacioacuten
APO05Gestionar el
portafolio
APO06Gestionar el
presupuesto y los costos
APO07Gestionar los
recursos humanos
APO08Gestionar las
relaciones
APO09Gestionar los acuerdos del
servicio
APO10Gestionar los proveedores
APO11Gestionar
calidad
APO12Gestionar el
riesgo
APO13Gestionar la
seguridad
APO01Gestionar el
marco de gestioacuten de TI
PROCESOS PARA EL
GOBIERNO DE TIEVALUAR ORIENTAR Y
MONITOREAR
MEA01Supervisar evaluar
y valorar el rendimiento y cumplimiento
MEA02Supervisar evaluar y valorar el sistema de control interno
MEA03 Supervisar evaluar
y valorar la conformidad con
los requerimientos externos
DSS01Gestionar
operaciones
DSS02 Gestionar las
Peticiones y los Incidentes del
Servicio
DSS03Gestionar los
problemas
DSS04Gestionar la continuidad
DSS05Gestionar los servicios de seguridad
DSS06Gestionar los
controles de los procesos del
negocio
BAI02Gestionar la definicioacuten de
requisitos
BAI03Gestionar la
identificacioacuten y construccioacuten de
soluciones
BAI04Gestionar la
disponibilidad y capacidad
BAI05 Gestionar la
Introduccioacuten de Cambios
Organizativos
BAI06Gestionar los
cambios
BAI07Gestionar la
aceptacioacuten del cambio y la transicioacuten
BAI08Gestionar el
conocimiento
BAI09Gestionar los activos
BAI10Gestionar la
configuracioacuten
BAI01Gestionar
programas y proyectos
Alinear planear y organizar
Construir adquirir e implementar
Entregar dar servicio y soporte
Monitorear evaluar y
valorar
PROCESOS PARA LA GESTIOacuteN DE TI
EDM01 Asegurar el
Establecimiento y Mantenimiento del Marco de Gobierno
EDM02Asegurar la entrega
de beneficios
EDM03Asegurar la
optimizacioacuten de riesgos
EDM04Asegurar la
optimizacioacuten de recursos
EDM05Asegurar la
transparencia hacia las partes interesadas
VICTOR A VASQUEZ M
Resumen del mapeo de COBIT 5
copy 2012 ISACA All rights reserved
VICTOR A VASQUEZ M
VICTOR A VASQUEZ M
VICTOR A VASQUEZ M
3
bull Objetivos
bull Introduccioacuten
bull Control Interno
bull Importancia de los sistemas de informacioacuten
bull Resumen cobit
Agenda
VICTOR A VASQUEZ M4
Al finalizar el curso el asistente estaraacute en condiciones de responder a las siguientes preguntas
iquestQueacute es control interno y como aplica a las aacutereas de TI
iquestPorqueacute son importante evaluacioacuten de controles
iquestCoacutemo el conocer COBIT se vuelve importante
Objetivos
VICTOR A VASQUEZ M5
Actualmente cualquier empresa ya sea de tamantildeo pequentildeo mediano o grande tiene una alta dependencia con respecto a los sistemas Ya sean sistemas de gestioacuten empresarial como sistemas que administran el flujo de produccioacuten etc Por esta razoacuten en cualquier auditoriacutea es necesario tener en consideracioacuten el impacto de los sistemas
Introduccioacuten
VICTOR A VASQUEZ M6
Como principales objetivos que busca la auditoriacutea Informaacutetica son
bull El control de la funcioacuten informaacutetica bull El anaacutelisis de la eficiencia de los Sistemas Informaacuteticos bull La verificacioacuten del cumplimiento de la Normativa general de la empresa en este aacutembito y bull La revisioacuten de la eficaz gestioacuten de los recursos materiales y humanos informaacuteticos
Introduccioacuten (Continuahellip)
VICTOR A VASQUEZ M 7
Importancia de los SI
La informacioacuten que actualmente utilizamos para realizar nuestro trabajo de auditoriacutea se encuentra soportada en los sistema de informacioacuten (ya sea informacioacuten de gestioacuten ERP Bases de Datos etc)
Interfaces
Bases de Datos
Software
Hardware
Comunicaciones
Personas
Infraestructura
Informacioacuten
Aplicaciones
VICTOR A VASQUEZ M
COSO- Actividades de control
8
COSO ndash Commitee of sponsoring organizations of the treadwaycommission ndash
Es una organizacioacuten del sector privado dedicada a mejorar la calidad de los reportes financieros mediante la eacutetica de los negocios un efectivo control interno y gobierno corporativo
COSO Framework
Es un marco integrado de control interno utilizado como base sobre el cual se implementan otros marcos de trabajo complementarios de control de TI como puede ser COBIT
COSO identifica cinco componentes esenciales para un efectivo control interno ambiente de control evaluacioacuten de riesgos actividades de control informacioacuten y comunicacioacuten y monitoreo
VICTOR A VASQUEZ M
COSO- Actividades de control
Ambiente de control (control environment)
Crear ambiente de control en la empresa
Evaluacioacuten de riesgos (risk assessment)
Identificar y analizar riesgos significativos que puedan evitar el alcanzar objetivos
Actividades de control (control activities)
Poliacuteticas procedimientos y praacutecticas que aseguren el logro de objetivos y mitiguen riesgos
Informacioacuten y comunicacioacuten (information amp communication) Identificar informacioacuten relevante y comunicarla a los grupos y niveles adecuados
Monitoreo (monitoring)
Revisioacuten y evaluacioacuten continua de los controles internos
VICTOR A VASQUEZ M
COBIT y el cumplimiento de la ley Sarbanes-Oxley
VICTOR A VASQUEZ M
Implicaciones normativas
11
En respuesta a una serie de fallas de negocios y escaacutendalos corporativos que empezaron con Enron en 2001 El Congreso de los EUA promulgoacute la Ley Sarbanes-Oxley de 2002 (SOX)
SOX introdujo muchas reformas de gobierno corporativo encaminadas a incrementar la confianza de los inversionistas en los mercados de capitales
La Ley ldquoSarbanes-Oxley Actrdquo requiere que las organizaciones seleccionen e implementen un modelo de control interno siendo COSO el modelo maacutes comuacutenmente adoptado
Las empresas registradas en la SEC han descubierto que COSO no provee el detalle suficiente sobre Control de TI
Como resultado la mayoriacutea de las empresas han adoptado COBIT como el modelo de control en TI como parte de su estrategia de cumplimiento con las disposiciones de SOX
VICTOR A VASQUEZ M
Sarbanes-oxley ndashSec 302
12
En respuesta a una serie de fallas de negocios y escaacutendalos corporativos que empezaron con Enron en 2001 El Congreso de los EUA promulgoacute la Ley Sarbanes-Oxley de 2002 (SOX)
SOX introdujo muchas reformas de gobierno corporativo encaminadas a incrementar la confianza de los inversionistas en los mercados de capitales
La Ley ldquoSarbanes-Oxley Actrdquo requiere que las organizaciones seleccionen e implementen un modelo de control interno siendo COSO el modelo maacutes comuacutenmente adoptado
Las empresas registradas en la SEC han descubierto que COSO no provee el detalle suficiente sobre Control de TI
Como resultado la mayoriacutea de las empresas han adoptado COBIT como el modelo de control en TI como parte de su estrategia de cumplimiento con las disposiciones de SOX
VICTOR A VASQUEZ M
Sarbanes-Oxley - Sec 404
La seccioacuten 404 requiere la evaluacioacuten y documentacioacuten por lo menos una vez al antildeo de todos los controles y procedimientos internos implantados que producen la informacioacuten financiera Los controles internes deben de ser documentado y sistemas deben de ser implantados para monitorear la efectividad de estos controles
Se establece la obligacioacuten de mantener poliacuteticas y procedimientos relacionados con la integridad de la informacioacuten y su disponibilidad
El uso de los sistemas de informacioacuten requeriraacute de un control maacutes estricto que preserve la confiabilidad de la informacioacuten que se maneja y que afecta a los reportes financieros de la empresa sin descuidar por supuesto aquellas cuestiones relacionadas con la confidencialidad disponibilidad e integridad de la informacioacuten
VICTOR A VASQUEZ M
Objetivos de control relacionados con SAROX
AI2 Adquirir y mantener software aplicativo
AI3 Adquirir y mantener infraestructura tecnoloacutegica
AI4 Facilitar operacioacuten y uso
AI6 Administrar cambios
AI7 Instalar y acreditar soluciones y cambios
DS1 Definir y administrar los niveles de servicio
DS2 Administrar los servicios de terceros
DS5 Garantizar la seguridad de los sistemas
DS8 Administrar la atencioacuten a usuarios y los incidentes
DS9 Administrar la configuracioacuten
DS10 Administrar los problemas
DS11 Administrar los datos
DS12 Administrar el ambiente fiacutesico
DS13 Administrar las operaciones
Fuente IT Control Objectives for Sarbanes-Oxley IT Governance Institute
VICTOR A VASQUEZ M15
Importancia de los SI en la Auditoriacutea
Aspectos que se deberiacutean tener en cuenta para realizar una auditoriacutea coherente con la relevancia de los Sistemas de Informacioacuten de cada empresa(ya sea realizada por nosotros mismos o bien aspectos que deberemos considerar al momento de revisar el trabajo de otros)
Controles Automaacuteticos
Interfaces Contables
Segregacioacuten de Funciones
Identificar Principales Aplicaciones
Una aplicacioacuten que administra determinadas compras de una empresa y que se comunica con los sistemas contables de la compantildeiacutea
Que debe y puede hacer una persona por las opciones del sistema Tiene un impacto relevante en todos los aplicativos de una compantildeiacutea
Seraacuten aquellos que impacten de forma significativa en los estados contables de la compantildeiacutea
Cuando se quiere realizar una prueba en el sistema de aprobaciones automaacuteticas validacioacuten automaacutetica de indicadores aplicacioacuten de acuerdos comerciales etc
VICTOR A VASQUEZ M16
Metodologiacutea General para la revisioacuten de controles y sistemas de
IT
bullIdentificar el enfoquebullIdentificar principales sistemasbullIdentificar principales riesgosbullMapa de Sistemas e interfaces
Entendimiento
bullRealizacioacuten de TAACs (CAATs)bullRecalculo de procesos
bullFIFObullAmortizacioacutenbullPMPbullVNR
Evaluacioacuten de Controles
Planificacioacuten
bullQue sistemas tiene la empresabullSistema contable (SO DB LP)bullPrincipales InterfacesbullIdentificar Cuentas por SistemabullProveedores (Comun Mantenimetc)
Pruebas Sustantivas
bullRealizar ITGCbullRevisar procesos de NegociobullRevisar controles automaacuteticos
Procedimientos Restantes
1 2
3 4
5
VICTOR A VASQUEZ M17
Metodologiacutea General para la revisioacuten de controles y sistemas de
IT
Entendimiento 1
bullQue sistemas tiene la empresa En la Compantildeiacutea X se identifican los siguientes aplicativos
bull Nomina plus (RRHH) Aplicativo adquirido a la empresa SW con DB SQL Server y desarrollado en VBNet
bull Contaplus (Contabilidad) Aplicativo adquirido a la empresa SW con DB SQL Server y desarrollado en VBNet
bullSistema contable (SO DB LP)bullPrincipales Interfaces Se identifican interfaces con RH y Ventas estas tienen componente automaacuteticobullIdentificar Cuentas por Sistema
bullNominaplus 41000001-200bullContaplus Todas
bullProveedores Los principales proveedores son
bullTelefoccedilonica Comunicaciones
VICTOR A VASQUEZ M18
Algunos de los aspectos a identificar durante estaacute parte del trabajo son temas relacionados con organizacioacuten y administracioacuten de IT
Involucracioacuten de altos mandos Estrategia IT Gestioacuten del coste y la inversioacuten en IT Informes de gestioacuten del funcionamiento IT Gestioacuten a nivel de servicio Conformidad legal y regulatoria Gestioacuten de recursos humanos Informaacutetica a nivel de usuario Gestionar servicios de terceros Contabilidad de activos Gestioacuten de la infraestructura de seguridad Seguridad en descripcioacuten de trabajos y recursos
Metodologiacutea General para la revisioacuten de controles y sistemas de
IT
VICTOR A VASQUEZ M19
Metodologiacutea General para la revisioacuten de controles y sistemas de
IT
bullIdentificar el enfoquebullControlbullSustantivobullMixto
bullIdentificar principales sistemasbullERPbullNoacuteminabullFinancierobullComercial
bullIdentificar principales riesgos Depende directamente del tipo de negocio y objetivos estrateacutegicos de la Compantildeiacutea
bullDependenciasbullInformacioacutenbullCumplimiento LegalbullContinuidad
bullMapa de Sistemas e interfacesbullContabilidad-VentasbullContabilidad-ComprasbullContabilidad-Noacutemina
Planificacioacuten 2
VICTOR A VASQUEZ M20
Evaluacioacuten de Controles
bullRealizar ITGCbullGestioacuten Datos y ProgramasbullGestioacuten de CambiosbullDesarrollo de ProgramasbullOperaciones de ITbullComputacioacuten Usuario Final
bullRevisar procesos de Negocio DepenbullRevisar controles automaacuteticos
3
Metodologiacutea General para la revisioacuten de controles y sistemas de
IT
Acceso a Datos y Programas
Gestioacuten de Cambios
Desarrollo de ProgramasOperaciones de IT
Computacioacuten de Usuario Final
VICTOR A VASQUEZ M21
Metodologiacutea General para la revisioacuten de controles y sistemas de
IT
bullRealizacioacuten de TAACs (CAATs) Teacutecnicas de Auditoriacutea Asistidas por Ordenador
bullCalidad de la informacioacutenbullValidacioacuten de datosbullFacturas duplicadas
bullRecalculo de procesosbullFIFObullAmortizacioacutenbullPMPbullVNR
Pruebas Sustantivas 4H
E
R
R
A
M
I
E
N
T
A
S
D
A
T
A
A
N
A
L
I
S
I
S
S
I
M
U
L
A
C
I
O
N
VICTOR A VASQUEZ M22
Metodologiacutea General para la revisioacuten de controles y sistemas de
IT
VICTOR A VASQUEZ M
Caracteriacutesticas del control
Control
iquestQueacute
iquestQuieacuten
iquestCuaacutendo
FrecuenciaiquestCoacutemo
Evidencia
Riesgo
SalidasEntradas
VICTOR A VASQUEZ M24
Anaacutelisis de Riesgos y su importancia
La probabilidad de que una amenaza se concrete (accidentalmente o intencionalmente de activacioacuten explotar) aprovechando una vulnerabilidad del sistema de informacioacuten y generando un impacto econoacutemico
El impacto econoacutemico generado por el no cumplimiento de una ley o falta de responsabilidad legal
Algunos ejemplos de riesgo de IT son
No autorizada (intencionados o accidentales) la divulgacioacuten modificacioacuten o destruccioacuten de informacioacuten
Errores y omisiones no intencionales
Interrupciones por causas naturales o cataacutestrofes de origen humano
La falta de diligencia en la aplicacioacuten y el funcionamiento del sistema informaacutetico Proveer un nivel razonable de certeza de que los objetivos de cobertura del control interno son alcanzados
Porqueacute es importante
Para que no pase estohellip
VICTOR A VASQUEZ M
ROCA
NINtildeOS
CASA
AMENAZA
Algo que pueda explotar una vulnerabilidad intencional o accidentalmente y ocasionardantildeo o destruccioacuten del activo
Conceptos de riesgo
AMENAZA CONTROLVULNERABILIDAD RIESGO IMPACT0
VICTOR A VASQUEZ M
THREAT
ROCA
NINtildeOS
CASA
Debilidad o brecha que puedeser explotada por una amenaza en contra del activo
VULNERABILIDAD
Conceptos de riesgo
AMENAZA CONTROLVULNERABILIDAD RIESGO IMPACTO
VICTOR A VASQUEZ M
THREAT
ROCA
NINtildeOS
CASA
La peacuterdida dantildeo o destruccioacuten potencial sobre el active como resultado de laexplotacioacuten de vulnerabilidad
RIESGO Desprendimiento de la
piedra y caiacuteda sobre los nintildeos
AMENAZA CONTROLVULNERABILIDAD RIESGO IMPACTO
Conceptos de riesgo
VICTOR A VASQUEZ M
THREAT
ROCA
NINtildeOS
CASA
Cualquier accioacuten que ayude a reducir la probabilidad de que el riesgo ocurra o que ayuda a reducir el impacto si el riesgo ocurre
Conceptos de riesgo
AMENAZA CONTROLVULNERABILIDAD RIESGO IMPACTO
bull Riesgo residual depende del disentildeo y la eficacia
de los controles
IMPA
CT
O
PR
OB
AB
ILID
AD
VICTOR A VASQUEZ M
THREAT
ROCA
NINtildeOS
CASA
iquestCuaacuteles son las consecuencias y coacutemo se miden
Impacto peacuterdida de vidas o
dantildeo en la propiedad
Conceptos de riesgo
AMENAZA CONTROLVULNERABILIDAD RIESGO IMPACTO
VICTOR A VASQUEZ M30
Anaacutelisis de Riesgos y su importancia
VICTOR A VASQUEZ MDiapositiva No 31
Introduccioacuten a COBIT 5
VICTOR A VASQUEZ M
iquestPor queacute se desarrolloacute COBIT 5
El mandato de la Junta Directiva de ISACA ldquoUnir y reforzar todos los activos de conocimiento de ISACA con COBITrdquo
Proporcionar un marco de gobierno y de gestioacuten renovado y con la autoridad necesaria para la informacioacuten empresarial y las tecnologiacuteas relacionadas
Integrar los principales marcos y las guiacuteas de ISACA Alinearse con los principales marcos y estaacutendares en el
mercado
VICTOR A VASQUEZ M
Gobierno Empresarial de TI
COBIT 5
Gobierno
COBIT4041
Administracioacuten
COBIT 3
Control
COBIT 2
La evolucioacuten de COBIT 5
Auditoriacutea
COBIT 1
2005720001998
Evo
luci
oacuten
1996 2012
BMIS(2010)
Val IT 20(2008)
Risk IT(2009)
VICTOR A VASQUEZ M
Motivadores del desarrollo de COBIT 5
Proveer una guiacutea respecto a Arquitectura Empresarial
Gestioacuten de servicios y activos
Modelos organizacionales y de aprovisionamiento emergentes
Innovacioacuten y Tecnologiacuteas emergentes
Responsabilidades de punta a punta de TI y el negocio Controles para soluciones de TI iniciadas o controladas
por usuario Necesidades de las empresas de
Lograr la creacioacuten de valor
Obtener la satisfaccioacuten de los usuarios
Cumplir leyes relevantes regulaciones y poliacuteticas
Mejorar la relacioacuten entre TI y el Negocio
Mejorar el retorno del Gobierno Empresarial de TI
Conectarse y alinearse con otros frameworks y estaacutendares
VICTOR A VASQUEZ M
Beneficios para las empresas
Las Empresas y los Ejecutivos buscan Mantener informacioacuten de alta calidad que soporte las
decisiones del negocio Generar valor para el negocio de las inversiones habilitadas
por TI
Ej Alcanzar los objetivos estrateacutegicos y lograr beneficios a traveacutes del uso efectivo e innovador de la TI
Lograr la excelencia operacional a traveacutes de la aplicacioacuten confiable y eficiente de la tecnologiacutea
Mantener el riesgo relacionado con TI a un nivel aceptable Optimizar el costo de los servicios de TI y la tecnologiacutea
iquestCoacutemo pueden lograrse estos beneficios para crear valor a los stakeholders de una organizacioacuten
VICTOR A VASQUEZ M
Beneficios
COBIT 5
Define como punto inicial de las actividades de gobierno y gestioacuten las necesidades de los stakeholders relacionadas con la TI de la empresa
Crea una vista maacutes holiacutestica integrada y completa del gobierno y la gestioacuten de la TI de la empresa
Crea un lenguaje comuacuten entre TI y el negocio para el gobierno y la gestioacuten de la TI empresarial
Es consistente con estaacutendares de gobierno corporativo generalmente aceptados por lo que ayuda a cumplir los requerimientos regulatorios
copy 2012 ISACA All Rights Reserved
VICTOR A VASQUEZ M
Familia de Productos de COBIT 5
COBIT 5
Otras guiacuteas habilitadoras
COBIT 5 Procesos habilitadores
COBIT 5 Informacioacuten habilitadora
COBIT 5 Guiacuteas profesionales
Otras guiacuteas profesionales
COBIT 5 Implementacioacuten
COBIT 5Para seguridad de informacioacuten
COBIT 5Para riesgos
COBIT 5 ambiente colaborativo en liacutenea
COBIT 5 Guiacuteas habilitadoras
COBIT 5Para aseguramiento
VICTOR A VASQUEZ MDiapositiva No 38
Principios Baacutesicos de COBIT 5
VICTOR A VASQUEZ M
Principios de COBIT 5
Principios de
COBIT 5
1 Satisfacer las
necesidades de las partes interesadas
2 Cubrir la empresa de extremo a extremo
3 Aplicar un marco de referencia
uacutenico integrado
4 Hacer posible un
enfoque holiacutestico
5 Separar gobierno de
la gestioacuten
VICTOR A VASQUEZ M
5 Distinguir entre gobierno y gestioacuten
El gobierno asegura de que las necesidades condiciones y opciones de las partes interesadas
bull Son evaluadas para determinar las metas corporativas a alcanzar considerado que sean equilibradas y consensuadas
bull Establecen la direccioacuten por medio de la priorizacioacuten y la toma de decisiones
bull Mide el rendimiento cumplimiento y progreso contra las directrices y metas acordadas (EDM)
La gestioacuten planea construye ejecuta y monitorealas actividades de manera alineada con las directrices establecidas por el cuerpo de gobierno para el logro de las metas corporativas (PBRM) ndash Plan Build Run Monitor --- Plan Do Check Act
En la mayoriacutea de las empresas el gobierno es responsabilidad del
consejo de administracioacuten bajo el liderazgo de un Presidente
En la mayoriacutea de las empresas la gestioacuten es responsabilidad de la
Direccioacuten Ejecutiva bajo el liderazgo del Director General (CEO)
VICTOR A VASQUEZ M
5 Distinguir entre gobierno y gestioacuten
Modelo de referencia de procesos
P
1
2
34
5
APO02Gestionar la
estrategia
APO03Gestionar la arquitectura empresarial
APO04Gestionar la innovacioacuten
APO05Gestionar el
portafolio
APO06Gestionar el
presupuesto y los costos
APO07Gestionar los
recursos humanos
APO08Gestionar las
relaciones
APO09Gestionar los acuerdos del
servicio
APO10Gestionar los proveedores
APO11Gestionar
calidad
APO12Gestionar el
riesgo
APO13Gestionar la
seguridad
APO01Gestionar el
marco de gestioacuten de TI
PROCESOS PARA EL
GOBIERNO DE TIEVALUAR ORIENTAR Y
MONITOREAR
MEA01Supervisar evaluar
y valorar el rendimiento y cumplimiento
MEA02Supervisar evaluar y valorar el sistema de control interno
MEA03 Supervisar evaluar
y valorar la conformidad con
los requerimientos externos
DSS01Gestionar
operaciones
DSS02 Gestionar las
Peticiones y los Incidentes del
Servicio
DSS03Gestionar los
problemas
DSS04Gestionar la continuidad
DSS05Gestionar los servicios de seguridad
DSS06Gestionar los
controles de los procesos del
negocio
BAI02Gestionar la definicioacuten de
requisitos
BAI03Gestionar la
identificacioacuten y construccioacuten de
soluciones
BAI04Gestionar la
disponibilidad y capacidad
BAI05 Gestionar la
Introduccioacuten de Cambios
Organizativos
BAI06Gestionar los
cambios
BAI07Gestionar la
aceptacioacuten del cambio y la transicioacuten
BAI08Gestionar el
conocimiento
BAI09Gestionar los activos
BAI10Gestionar la
configuracioacuten
BAI01Gestionar
programas y proyectos
Alinear planear y organizar
Construir adquirir e implementar
Entregar dar servicio y soporte
Monitorear evaluar y
valorar
PROCESOS PARA LA GESTIOacuteN DE TI
EDM01 Asegurar el
Establecimiento y Mantenimiento del Marco de Gobierno
EDM02Asegurar la entrega
de beneficios
EDM03Asegurar la
optimizacioacuten de riesgos
EDM04Asegurar la
optimizacioacuten de recursos
EDM05Asegurar la
transparencia hacia las partes interesadas
VICTOR A VASQUEZ M
Resumen del mapeo de COBIT 5
copy 2012 ISACA All rights reserved
VICTOR A VASQUEZ M
VICTOR A VASQUEZ M
3
bull Objetivos
bull Introduccioacuten
bull Control Interno
bull Importancia de los sistemas de informacioacuten
bull Resumen cobit
Agenda
VICTOR A VASQUEZ M4
Al finalizar el curso el asistente estaraacute en condiciones de responder a las siguientes preguntas
iquestQueacute es control interno y como aplica a las aacutereas de TI
iquestPorqueacute son importante evaluacioacuten de controles
iquestCoacutemo el conocer COBIT se vuelve importante
Objetivos
VICTOR A VASQUEZ M5
Actualmente cualquier empresa ya sea de tamantildeo pequentildeo mediano o grande tiene una alta dependencia con respecto a los sistemas Ya sean sistemas de gestioacuten empresarial como sistemas que administran el flujo de produccioacuten etc Por esta razoacuten en cualquier auditoriacutea es necesario tener en consideracioacuten el impacto de los sistemas
Introduccioacuten
VICTOR A VASQUEZ M6
Como principales objetivos que busca la auditoriacutea Informaacutetica son
bull El control de la funcioacuten informaacutetica bull El anaacutelisis de la eficiencia de los Sistemas Informaacuteticos bull La verificacioacuten del cumplimiento de la Normativa general de la empresa en este aacutembito y bull La revisioacuten de la eficaz gestioacuten de los recursos materiales y humanos informaacuteticos
Introduccioacuten (Continuahellip)
VICTOR A VASQUEZ M 7
Importancia de los SI
La informacioacuten que actualmente utilizamos para realizar nuestro trabajo de auditoriacutea se encuentra soportada en los sistema de informacioacuten (ya sea informacioacuten de gestioacuten ERP Bases de Datos etc)
Interfaces
Bases de Datos
Software
Hardware
Comunicaciones
Personas
Infraestructura
Informacioacuten
Aplicaciones
VICTOR A VASQUEZ M
COSO- Actividades de control
8
COSO ndash Commitee of sponsoring organizations of the treadwaycommission ndash
Es una organizacioacuten del sector privado dedicada a mejorar la calidad de los reportes financieros mediante la eacutetica de los negocios un efectivo control interno y gobierno corporativo
COSO Framework
Es un marco integrado de control interno utilizado como base sobre el cual se implementan otros marcos de trabajo complementarios de control de TI como puede ser COBIT
COSO identifica cinco componentes esenciales para un efectivo control interno ambiente de control evaluacioacuten de riesgos actividades de control informacioacuten y comunicacioacuten y monitoreo
VICTOR A VASQUEZ M
COSO- Actividades de control
Ambiente de control (control environment)
Crear ambiente de control en la empresa
Evaluacioacuten de riesgos (risk assessment)
Identificar y analizar riesgos significativos que puedan evitar el alcanzar objetivos
Actividades de control (control activities)
Poliacuteticas procedimientos y praacutecticas que aseguren el logro de objetivos y mitiguen riesgos
Informacioacuten y comunicacioacuten (information amp communication) Identificar informacioacuten relevante y comunicarla a los grupos y niveles adecuados
Monitoreo (monitoring)
Revisioacuten y evaluacioacuten continua de los controles internos
VICTOR A VASQUEZ M
COBIT y el cumplimiento de la ley Sarbanes-Oxley
VICTOR A VASQUEZ M
Implicaciones normativas
11
En respuesta a una serie de fallas de negocios y escaacutendalos corporativos que empezaron con Enron en 2001 El Congreso de los EUA promulgoacute la Ley Sarbanes-Oxley de 2002 (SOX)
SOX introdujo muchas reformas de gobierno corporativo encaminadas a incrementar la confianza de los inversionistas en los mercados de capitales
La Ley ldquoSarbanes-Oxley Actrdquo requiere que las organizaciones seleccionen e implementen un modelo de control interno siendo COSO el modelo maacutes comuacutenmente adoptado
Las empresas registradas en la SEC han descubierto que COSO no provee el detalle suficiente sobre Control de TI
Como resultado la mayoriacutea de las empresas han adoptado COBIT como el modelo de control en TI como parte de su estrategia de cumplimiento con las disposiciones de SOX
VICTOR A VASQUEZ M
Sarbanes-oxley ndashSec 302
12
En respuesta a una serie de fallas de negocios y escaacutendalos corporativos que empezaron con Enron en 2001 El Congreso de los EUA promulgoacute la Ley Sarbanes-Oxley de 2002 (SOX)
SOX introdujo muchas reformas de gobierno corporativo encaminadas a incrementar la confianza de los inversionistas en los mercados de capitales
La Ley ldquoSarbanes-Oxley Actrdquo requiere que las organizaciones seleccionen e implementen un modelo de control interno siendo COSO el modelo maacutes comuacutenmente adoptado
Las empresas registradas en la SEC han descubierto que COSO no provee el detalle suficiente sobre Control de TI
Como resultado la mayoriacutea de las empresas han adoptado COBIT como el modelo de control en TI como parte de su estrategia de cumplimiento con las disposiciones de SOX
VICTOR A VASQUEZ M
Sarbanes-Oxley - Sec 404
La seccioacuten 404 requiere la evaluacioacuten y documentacioacuten por lo menos una vez al antildeo de todos los controles y procedimientos internos implantados que producen la informacioacuten financiera Los controles internes deben de ser documentado y sistemas deben de ser implantados para monitorear la efectividad de estos controles
Se establece la obligacioacuten de mantener poliacuteticas y procedimientos relacionados con la integridad de la informacioacuten y su disponibilidad
El uso de los sistemas de informacioacuten requeriraacute de un control maacutes estricto que preserve la confiabilidad de la informacioacuten que se maneja y que afecta a los reportes financieros de la empresa sin descuidar por supuesto aquellas cuestiones relacionadas con la confidencialidad disponibilidad e integridad de la informacioacuten
VICTOR A VASQUEZ M
Objetivos de control relacionados con SAROX
AI2 Adquirir y mantener software aplicativo
AI3 Adquirir y mantener infraestructura tecnoloacutegica
AI4 Facilitar operacioacuten y uso
AI6 Administrar cambios
AI7 Instalar y acreditar soluciones y cambios
DS1 Definir y administrar los niveles de servicio
DS2 Administrar los servicios de terceros
DS5 Garantizar la seguridad de los sistemas
DS8 Administrar la atencioacuten a usuarios y los incidentes
DS9 Administrar la configuracioacuten
DS10 Administrar los problemas
DS11 Administrar los datos
DS12 Administrar el ambiente fiacutesico
DS13 Administrar las operaciones
Fuente IT Control Objectives for Sarbanes-Oxley IT Governance Institute
VICTOR A VASQUEZ M15
Importancia de los SI en la Auditoriacutea
Aspectos que se deberiacutean tener en cuenta para realizar una auditoriacutea coherente con la relevancia de los Sistemas de Informacioacuten de cada empresa(ya sea realizada por nosotros mismos o bien aspectos que deberemos considerar al momento de revisar el trabajo de otros)
Controles Automaacuteticos
Interfaces Contables
Segregacioacuten de Funciones
Identificar Principales Aplicaciones
Una aplicacioacuten que administra determinadas compras de una empresa y que se comunica con los sistemas contables de la compantildeiacutea
Que debe y puede hacer una persona por las opciones del sistema Tiene un impacto relevante en todos los aplicativos de una compantildeiacutea
Seraacuten aquellos que impacten de forma significativa en los estados contables de la compantildeiacutea
Cuando se quiere realizar una prueba en el sistema de aprobaciones automaacuteticas validacioacuten automaacutetica de indicadores aplicacioacuten de acuerdos comerciales etc
VICTOR A VASQUEZ M16
Metodologiacutea General para la revisioacuten de controles y sistemas de
IT
bullIdentificar el enfoquebullIdentificar principales sistemasbullIdentificar principales riesgosbullMapa de Sistemas e interfaces
Entendimiento
bullRealizacioacuten de TAACs (CAATs)bullRecalculo de procesos
bullFIFObullAmortizacioacutenbullPMPbullVNR
Evaluacioacuten de Controles
Planificacioacuten
bullQue sistemas tiene la empresabullSistema contable (SO DB LP)bullPrincipales InterfacesbullIdentificar Cuentas por SistemabullProveedores (Comun Mantenimetc)
Pruebas Sustantivas
bullRealizar ITGCbullRevisar procesos de NegociobullRevisar controles automaacuteticos
Procedimientos Restantes
1 2
3 4
5
VICTOR A VASQUEZ M17
Metodologiacutea General para la revisioacuten de controles y sistemas de
IT
Entendimiento 1
bullQue sistemas tiene la empresa En la Compantildeiacutea X se identifican los siguientes aplicativos
bull Nomina plus (RRHH) Aplicativo adquirido a la empresa SW con DB SQL Server y desarrollado en VBNet
bull Contaplus (Contabilidad) Aplicativo adquirido a la empresa SW con DB SQL Server y desarrollado en VBNet
bullSistema contable (SO DB LP)bullPrincipales Interfaces Se identifican interfaces con RH y Ventas estas tienen componente automaacuteticobullIdentificar Cuentas por Sistema
bullNominaplus 41000001-200bullContaplus Todas
bullProveedores Los principales proveedores son
bullTelefoccedilonica Comunicaciones
VICTOR A VASQUEZ M18
Algunos de los aspectos a identificar durante estaacute parte del trabajo son temas relacionados con organizacioacuten y administracioacuten de IT
Involucracioacuten de altos mandos Estrategia IT Gestioacuten del coste y la inversioacuten en IT Informes de gestioacuten del funcionamiento IT Gestioacuten a nivel de servicio Conformidad legal y regulatoria Gestioacuten de recursos humanos Informaacutetica a nivel de usuario Gestionar servicios de terceros Contabilidad de activos Gestioacuten de la infraestructura de seguridad Seguridad en descripcioacuten de trabajos y recursos
Metodologiacutea General para la revisioacuten de controles y sistemas de
IT
VICTOR A VASQUEZ M19
Metodologiacutea General para la revisioacuten de controles y sistemas de
IT
bullIdentificar el enfoquebullControlbullSustantivobullMixto
bullIdentificar principales sistemasbullERPbullNoacuteminabullFinancierobullComercial
bullIdentificar principales riesgos Depende directamente del tipo de negocio y objetivos estrateacutegicos de la Compantildeiacutea
bullDependenciasbullInformacioacutenbullCumplimiento LegalbullContinuidad
bullMapa de Sistemas e interfacesbullContabilidad-VentasbullContabilidad-ComprasbullContabilidad-Noacutemina
Planificacioacuten 2
VICTOR A VASQUEZ M20
Evaluacioacuten de Controles
bullRealizar ITGCbullGestioacuten Datos y ProgramasbullGestioacuten de CambiosbullDesarrollo de ProgramasbullOperaciones de ITbullComputacioacuten Usuario Final
bullRevisar procesos de Negocio DepenbullRevisar controles automaacuteticos
3
Metodologiacutea General para la revisioacuten de controles y sistemas de
IT
Acceso a Datos y Programas
Gestioacuten de Cambios
Desarrollo de ProgramasOperaciones de IT
Computacioacuten de Usuario Final
VICTOR A VASQUEZ M21
Metodologiacutea General para la revisioacuten de controles y sistemas de
IT
bullRealizacioacuten de TAACs (CAATs) Teacutecnicas de Auditoriacutea Asistidas por Ordenador
bullCalidad de la informacioacutenbullValidacioacuten de datosbullFacturas duplicadas
bullRecalculo de procesosbullFIFObullAmortizacioacutenbullPMPbullVNR
Pruebas Sustantivas 4H
E
R
R
A
M
I
E
N
T
A
S
D
A
T
A
A
N
A
L
I
S
I
S
S
I
M
U
L
A
C
I
O
N
VICTOR A VASQUEZ M22
Metodologiacutea General para la revisioacuten de controles y sistemas de
IT
VICTOR A VASQUEZ M
Caracteriacutesticas del control
Control
iquestQueacute
iquestQuieacuten
iquestCuaacutendo
FrecuenciaiquestCoacutemo
Evidencia
Riesgo
SalidasEntradas
VICTOR A VASQUEZ M24
Anaacutelisis de Riesgos y su importancia
La probabilidad de que una amenaza se concrete (accidentalmente o intencionalmente de activacioacuten explotar) aprovechando una vulnerabilidad del sistema de informacioacuten y generando un impacto econoacutemico
El impacto econoacutemico generado por el no cumplimiento de una ley o falta de responsabilidad legal
Algunos ejemplos de riesgo de IT son
No autorizada (intencionados o accidentales) la divulgacioacuten modificacioacuten o destruccioacuten de informacioacuten
Errores y omisiones no intencionales
Interrupciones por causas naturales o cataacutestrofes de origen humano
La falta de diligencia en la aplicacioacuten y el funcionamiento del sistema informaacutetico Proveer un nivel razonable de certeza de que los objetivos de cobertura del control interno son alcanzados
Porqueacute es importante
Para que no pase estohellip
VICTOR A VASQUEZ M
ROCA
NINtildeOS
CASA
AMENAZA
Algo que pueda explotar una vulnerabilidad intencional o accidentalmente y ocasionardantildeo o destruccioacuten del activo
Conceptos de riesgo
AMENAZA CONTROLVULNERABILIDAD RIESGO IMPACT0
VICTOR A VASQUEZ M
THREAT
ROCA
NINtildeOS
CASA
Debilidad o brecha que puedeser explotada por una amenaza en contra del activo
VULNERABILIDAD
Conceptos de riesgo
AMENAZA CONTROLVULNERABILIDAD RIESGO IMPACTO
VICTOR A VASQUEZ M
THREAT
ROCA
NINtildeOS
CASA
La peacuterdida dantildeo o destruccioacuten potencial sobre el active como resultado de laexplotacioacuten de vulnerabilidad
RIESGO Desprendimiento de la
piedra y caiacuteda sobre los nintildeos
AMENAZA CONTROLVULNERABILIDAD RIESGO IMPACTO
Conceptos de riesgo
VICTOR A VASQUEZ M
THREAT
ROCA
NINtildeOS
CASA
Cualquier accioacuten que ayude a reducir la probabilidad de que el riesgo ocurra o que ayuda a reducir el impacto si el riesgo ocurre
Conceptos de riesgo
AMENAZA CONTROLVULNERABILIDAD RIESGO IMPACTO
bull Riesgo residual depende del disentildeo y la eficacia
de los controles
IMPA
CT
O
PR
OB
AB
ILID
AD
VICTOR A VASQUEZ M
THREAT
ROCA
NINtildeOS
CASA
iquestCuaacuteles son las consecuencias y coacutemo se miden
Impacto peacuterdida de vidas o
dantildeo en la propiedad
Conceptos de riesgo
AMENAZA CONTROLVULNERABILIDAD RIESGO IMPACTO
VICTOR A VASQUEZ M30
Anaacutelisis de Riesgos y su importancia
VICTOR A VASQUEZ MDiapositiva No 31
Introduccioacuten a COBIT 5
VICTOR A VASQUEZ M
iquestPor queacute se desarrolloacute COBIT 5
El mandato de la Junta Directiva de ISACA ldquoUnir y reforzar todos los activos de conocimiento de ISACA con COBITrdquo
Proporcionar un marco de gobierno y de gestioacuten renovado y con la autoridad necesaria para la informacioacuten empresarial y las tecnologiacuteas relacionadas
Integrar los principales marcos y las guiacuteas de ISACA Alinearse con los principales marcos y estaacutendares en el
mercado
VICTOR A VASQUEZ M
Gobierno Empresarial de TI
COBIT 5
Gobierno
COBIT4041
Administracioacuten
COBIT 3
Control
COBIT 2
La evolucioacuten de COBIT 5
Auditoriacutea
COBIT 1
2005720001998
Evo
luci
oacuten
1996 2012
BMIS(2010)
Val IT 20(2008)
Risk IT(2009)
VICTOR A VASQUEZ M
Motivadores del desarrollo de COBIT 5
Proveer una guiacutea respecto a Arquitectura Empresarial
Gestioacuten de servicios y activos
Modelos organizacionales y de aprovisionamiento emergentes
Innovacioacuten y Tecnologiacuteas emergentes
Responsabilidades de punta a punta de TI y el negocio Controles para soluciones de TI iniciadas o controladas
por usuario Necesidades de las empresas de
Lograr la creacioacuten de valor
Obtener la satisfaccioacuten de los usuarios
Cumplir leyes relevantes regulaciones y poliacuteticas
Mejorar la relacioacuten entre TI y el Negocio
Mejorar el retorno del Gobierno Empresarial de TI
Conectarse y alinearse con otros frameworks y estaacutendares
VICTOR A VASQUEZ M
Beneficios para las empresas
Las Empresas y los Ejecutivos buscan Mantener informacioacuten de alta calidad que soporte las
decisiones del negocio Generar valor para el negocio de las inversiones habilitadas
por TI
Ej Alcanzar los objetivos estrateacutegicos y lograr beneficios a traveacutes del uso efectivo e innovador de la TI
Lograr la excelencia operacional a traveacutes de la aplicacioacuten confiable y eficiente de la tecnologiacutea
Mantener el riesgo relacionado con TI a un nivel aceptable Optimizar el costo de los servicios de TI y la tecnologiacutea
iquestCoacutemo pueden lograrse estos beneficios para crear valor a los stakeholders de una organizacioacuten
VICTOR A VASQUEZ M
Beneficios
COBIT 5
Define como punto inicial de las actividades de gobierno y gestioacuten las necesidades de los stakeholders relacionadas con la TI de la empresa
Crea una vista maacutes holiacutestica integrada y completa del gobierno y la gestioacuten de la TI de la empresa
Crea un lenguaje comuacuten entre TI y el negocio para el gobierno y la gestioacuten de la TI empresarial
Es consistente con estaacutendares de gobierno corporativo generalmente aceptados por lo que ayuda a cumplir los requerimientos regulatorios
copy 2012 ISACA All Rights Reserved
VICTOR A VASQUEZ M
Familia de Productos de COBIT 5
COBIT 5
Otras guiacuteas habilitadoras
COBIT 5 Procesos habilitadores
COBIT 5 Informacioacuten habilitadora
COBIT 5 Guiacuteas profesionales
Otras guiacuteas profesionales
COBIT 5 Implementacioacuten
COBIT 5Para seguridad de informacioacuten
COBIT 5Para riesgos
COBIT 5 ambiente colaborativo en liacutenea
COBIT 5 Guiacuteas habilitadoras
COBIT 5Para aseguramiento
VICTOR A VASQUEZ MDiapositiva No 38
Principios Baacutesicos de COBIT 5
VICTOR A VASQUEZ M
Principios de COBIT 5
Principios de
COBIT 5
1 Satisfacer las
necesidades de las partes interesadas
2 Cubrir la empresa de extremo a extremo
3 Aplicar un marco de referencia
uacutenico integrado
4 Hacer posible un
enfoque holiacutestico
5 Separar gobierno de
la gestioacuten
VICTOR A VASQUEZ M
5 Distinguir entre gobierno y gestioacuten
El gobierno asegura de que las necesidades condiciones y opciones de las partes interesadas
bull Son evaluadas para determinar las metas corporativas a alcanzar considerado que sean equilibradas y consensuadas
bull Establecen la direccioacuten por medio de la priorizacioacuten y la toma de decisiones
bull Mide el rendimiento cumplimiento y progreso contra las directrices y metas acordadas (EDM)
La gestioacuten planea construye ejecuta y monitorealas actividades de manera alineada con las directrices establecidas por el cuerpo de gobierno para el logro de las metas corporativas (PBRM) ndash Plan Build Run Monitor --- Plan Do Check Act
En la mayoriacutea de las empresas el gobierno es responsabilidad del
consejo de administracioacuten bajo el liderazgo de un Presidente
En la mayoriacutea de las empresas la gestioacuten es responsabilidad de la
Direccioacuten Ejecutiva bajo el liderazgo del Director General (CEO)
VICTOR A VASQUEZ M
5 Distinguir entre gobierno y gestioacuten
Modelo de referencia de procesos
P
1
2
34
5
APO02Gestionar la
estrategia
APO03Gestionar la arquitectura empresarial
APO04Gestionar la innovacioacuten
APO05Gestionar el
portafolio
APO06Gestionar el
presupuesto y los costos
APO07Gestionar los
recursos humanos
APO08Gestionar las
relaciones
APO09Gestionar los acuerdos del
servicio
APO10Gestionar los proveedores
APO11Gestionar
calidad
APO12Gestionar el
riesgo
APO13Gestionar la
seguridad
APO01Gestionar el
marco de gestioacuten de TI
PROCESOS PARA EL
GOBIERNO DE TIEVALUAR ORIENTAR Y
MONITOREAR
MEA01Supervisar evaluar
y valorar el rendimiento y cumplimiento
MEA02Supervisar evaluar y valorar el sistema de control interno
MEA03 Supervisar evaluar
y valorar la conformidad con
los requerimientos externos
DSS01Gestionar
operaciones
DSS02 Gestionar las
Peticiones y los Incidentes del
Servicio
DSS03Gestionar los
problemas
DSS04Gestionar la continuidad
DSS05Gestionar los servicios de seguridad
DSS06Gestionar los
controles de los procesos del
negocio
BAI02Gestionar la definicioacuten de
requisitos
BAI03Gestionar la
identificacioacuten y construccioacuten de
soluciones
BAI04Gestionar la
disponibilidad y capacidad
BAI05 Gestionar la
Introduccioacuten de Cambios
Organizativos
BAI06Gestionar los
cambios
BAI07Gestionar la
aceptacioacuten del cambio y la transicioacuten
BAI08Gestionar el
conocimiento
BAI09Gestionar los activos
BAI10Gestionar la
configuracioacuten
BAI01Gestionar
programas y proyectos
Alinear planear y organizar
Construir adquirir e implementar
Entregar dar servicio y soporte
Monitorear evaluar y
valorar
PROCESOS PARA LA GESTIOacuteN DE TI
EDM01 Asegurar el
Establecimiento y Mantenimiento del Marco de Gobierno
EDM02Asegurar la entrega
de beneficios
EDM03Asegurar la
optimizacioacuten de riesgos
EDM04Asegurar la
optimizacioacuten de recursos
EDM05Asegurar la
transparencia hacia las partes interesadas
VICTOR A VASQUEZ M
Resumen del mapeo de COBIT 5
copy 2012 ISACA All rights reserved
VICTOR A VASQUEZ M
VICTOR A VASQUEZ M4
Al finalizar el curso el asistente estaraacute en condiciones de responder a las siguientes preguntas
iquestQueacute es control interno y como aplica a las aacutereas de TI
iquestPorqueacute son importante evaluacioacuten de controles
iquestCoacutemo el conocer COBIT se vuelve importante
Objetivos
VICTOR A VASQUEZ M5
Actualmente cualquier empresa ya sea de tamantildeo pequentildeo mediano o grande tiene una alta dependencia con respecto a los sistemas Ya sean sistemas de gestioacuten empresarial como sistemas que administran el flujo de produccioacuten etc Por esta razoacuten en cualquier auditoriacutea es necesario tener en consideracioacuten el impacto de los sistemas
Introduccioacuten
VICTOR A VASQUEZ M6
Como principales objetivos que busca la auditoriacutea Informaacutetica son
bull El control de la funcioacuten informaacutetica bull El anaacutelisis de la eficiencia de los Sistemas Informaacuteticos bull La verificacioacuten del cumplimiento de la Normativa general de la empresa en este aacutembito y bull La revisioacuten de la eficaz gestioacuten de los recursos materiales y humanos informaacuteticos
Introduccioacuten (Continuahellip)
VICTOR A VASQUEZ M 7
Importancia de los SI
La informacioacuten que actualmente utilizamos para realizar nuestro trabajo de auditoriacutea se encuentra soportada en los sistema de informacioacuten (ya sea informacioacuten de gestioacuten ERP Bases de Datos etc)
Interfaces
Bases de Datos
Software
Hardware
Comunicaciones
Personas
Infraestructura
Informacioacuten
Aplicaciones
VICTOR A VASQUEZ M
COSO- Actividades de control
8
COSO ndash Commitee of sponsoring organizations of the treadwaycommission ndash
Es una organizacioacuten del sector privado dedicada a mejorar la calidad de los reportes financieros mediante la eacutetica de los negocios un efectivo control interno y gobierno corporativo
COSO Framework
Es un marco integrado de control interno utilizado como base sobre el cual se implementan otros marcos de trabajo complementarios de control de TI como puede ser COBIT
COSO identifica cinco componentes esenciales para un efectivo control interno ambiente de control evaluacioacuten de riesgos actividades de control informacioacuten y comunicacioacuten y monitoreo
VICTOR A VASQUEZ M
COSO- Actividades de control
Ambiente de control (control environment)
Crear ambiente de control en la empresa
Evaluacioacuten de riesgos (risk assessment)
Identificar y analizar riesgos significativos que puedan evitar el alcanzar objetivos
Actividades de control (control activities)
Poliacuteticas procedimientos y praacutecticas que aseguren el logro de objetivos y mitiguen riesgos
Informacioacuten y comunicacioacuten (information amp communication) Identificar informacioacuten relevante y comunicarla a los grupos y niveles adecuados
Monitoreo (monitoring)
Revisioacuten y evaluacioacuten continua de los controles internos
VICTOR A VASQUEZ M
COBIT y el cumplimiento de la ley Sarbanes-Oxley
VICTOR A VASQUEZ M
Implicaciones normativas
11
En respuesta a una serie de fallas de negocios y escaacutendalos corporativos que empezaron con Enron en 2001 El Congreso de los EUA promulgoacute la Ley Sarbanes-Oxley de 2002 (SOX)
SOX introdujo muchas reformas de gobierno corporativo encaminadas a incrementar la confianza de los inversionistas en los mercados de capitales
La Ley ldquoSarbanes-Oxley Actrdquo requiere que las organizaciones seleccionen e implementen un modelo de control interno siendo COSO el modelo maacutes comuacutenmente adoptado
Las empresas registradas en la SEC han descubierto que COSO no provee el detalle suficiente sobre Control de TI
Como resultado la mayoriacutea de las empresas han adoptado COBIT como el modelo de control en TI como parte de su estrategia de cumplimiento con las disposiciones de SOX
VICTOR A VASQUEZ M
Sarbanes-oxley ndashSec 302
12
En respuesta a una serie de fallas de negocios y escaacutendalos corporativos que empezaron con Enron en 2001 El Congreso de los EUA promulgoacute la Ley Sarbanes-Oxley de 2002 (SOX)
SOX introdujo muchas reformas de gobierno corporativo encaminadas a incrementar la confianza de los inversionistas en los mercados de capitales
La Ley ldquoSarbanes-Oxley Actrdquo requiere que las organizaciones seleccionen e implementen un modelo de control interno siendo COSO el modelo maacutes comuacutenmente adoptado
Las empresas registradas en la SEC han descubierto que COSO no provee el detalle suficiente sobre Control de TI
Como resultado la mayoriacutea de las empresas han adoptado COBIT como el modelo de control en TI como parte de su estrategia de cumplimiento con las disposiciones de SOX
VICTOR A VASQUEZ M
Sarbanes-Oxley - Sec 404
La seccioacuten 404 requiere la evaluacioacuten y documentacioacuten por lo menos una vez al antildeo de todos los controles y procedimientos internos implantados que producen la informacioacuten financiera Los controles internes deben de ser documentado y sistemas deben de ser implantados para monitorear la efectividad de estos controles
Se establece la obligacioacuten de mantener poliacuteticas y procedimientos relacionados con la integridad de la informacioacuten y su disponibilidad
El uso de los sistemas de informacioacuten requeriraacute de un control maacutes estricto que preserve la confiabilidad de la informacioacuten que se maneja y que afecta a los reportes financieros de la empresa sin descuidar por supuesto aquellas cuestiones relacionadas con la confidencialidad disponibilidad e integridad de la informacioacuten
VICTOR A VASQUEZ M
Objetivos de control relacionados con SAROX
AI2 Adquirir y mantener software aplicativo
AI3 Adquirir y mantener infraestructura tecnoloacutegica
AI4 Facilitar operacioacuten y uso
AI6 Administrar cambios
AI7 Instalar y acreditar soluciones y cambios
DS1 Definir y administrar los niveles de servicio
DS2 Administrar los servicios de terceros
DS5 Garantizar la seguridad de los sistemas
DS8 Administrar la atencioacuten a usuarios y los incidentes
DS9 Administrar la configuracioacuten
DS10 Administrar los problemas
DS11 Administrar los datos
DS12 Administrar el ambiente fiacutesico
DS13 Administrar las operaciones
Fuente IT Control Objectives for Sarbanes-Oxley IT Governance Institute
VICTOR A VASQUEZ M15
Importancia de los SI en la Auditoriacutea
Aspectos que se deberiacutean tener en cuenta para realizar una auditoriacutea coherente con la relevancia de los Sistemas de Informacioacuten de cada empresa(ya sea realizada por nosotros mismos o bien aspectos que deberemos considerar al momento de revisar el trabajo de otros)
Controles Automaacuteticos
Interfaces Contables
Segregacioacuten de Funciones
Identificar Principales Aplicaciones
Una aplicacioacuten que administra determinadas compras de una empresa y que se comunica con los sistemas contables de la compantildeiacutea
Que debe y puede hacer una persona por las opciones del sistema Tiene un impacto relevante en todos los aplicativos de una compantildeiacutea
Seraacuten aquellos que impacten de forma significativa en los estados contables de la compantildeiacutea
Cuando se quiere realizar una prueba en el sistema de aprobaciones automaacuteticas validacioacuten automaacutetica de indicadores aplicacioacuten de acuerdos comerciales etc
VICTOR A VASQUEZ M16
Metodologiacutea General para la revisioacuten de controles y sistemas de
IT
bullIdentificar el enfoquebullIdentificar principales sistemasbullIdentificar principales riesgosbullMapa de Sistemas e interfaces
Entendimiento
bullRealizacioacuten de TAACs (CAATs)bullRecalculo de procesos
bullFIFObullAmortizacioacutenbullPMPbullVNR
Evaluacioacuten de Controles
Planificacioacuten
bullQue sistemas tiene la empresabullSistema contable (SO DB LP)bullPrincipales InterfacesbullIdentificar Cuentas por SistemabullProveedores (Comun Mantenimetc)
Pruebas Sustantivas
bullRealizar ITGCbullRevisar procesos de NegociobullRevisar controles automaacuteticos
Procedimientos Restantes
1 2
3 4
5
VICTOR A VASQUEZ M17
Metodologiacutea General para la revisioacuten de controles y sistemas de
IT
Entendimiento 1
bullQue sistemas tiene la empresa En la Compantildeiacutea X se identifican los siguientes aplicativos
bull Nomina plus (RRHH) Aplicativo adquirido a la empresa SW con DB SQL Server y desarrollado en VBNet
bull Contaplus (Contabilidad) Aplicativo adquirido a la empresa SW con DB SQL Server y desarrollado en VBNet
bullSistema contable (SO DB LP)bullPrincipales Interfaces Se identifican interfaces con RH y Ventas estas tienen componente automaacuteticobullIdentificar Cuentas por Sistema
bullNominaplus 41000001-200bullContaplus Todas
bullProveedores Los principales proveedores son
bullTelefoccedilonica Comunicaciones
VICTOR A VASQUEZ M18
Algunos de los aspectos a identificar durante estaacute parte del trabajo son temas relacionados con organizacioacuten y administracioacuten de IT
Involucracioacuten de altos mandos Estrategia IT Gestioacuten del coste y la inversioacuten en IT Informes de gestioacuten del funcionamiento IT Gestioacuten a nivel de servicio Conformidad legal y regulatoria Gestioacuten de recursos humanos Informaacutetica a nivel de usuario Gestionar servicios de terceros Contabilidad de activos Gestioacuten de la infraestructura de seguridad Seguridad en descripcioacuten de trabajos y recursos
Metodologiacutea General para la revisioacuten de controles y sistemas de
IT
VICTOR A VASQUEZ M19
Metodologiacutea General para la revisioacuten de controles y sistemas de
IT
bullIdentificar el enfoquebullControlbullSustantivobullMixto
bullIdentificar principales sistemasbullERPbullNoacuteminabullFinancierobullComercial
bullIdentificar principales riesgos Depende directamente del tipo de negocio y objetivos estrateacutegicos de la Compantildeiacutea
bullDependenciasbullInformacioacutenbullCumplimiento LegalbullContinuidad
bullMapa de Sistemas e interfacesbullContabilidad-VentasbullContabilidad-ComprasbullContabilidad-Noacutemina
Planificacioacuten 2
VICTOR A VASQUEZ M20
Evaluacioacuten de Controles
bullRealizar ITGCbullGestioacuten Datos y ProgramasbullGestioacuten de CambiosbullDesarrollo de ProgramasbullOperaciones de ITbullComputacioacuten Usuario Final
bullRevisar procesos de Negocio DepenbullRevisar controles automaacuteticos
3
Metodologiacutea General para la revisioacuten de controles y sistemas de
IT
Acceso a Datos y Programas
Gestioacuten de Cambios
Desarrollo de ProgramasOperaciones de IT
Computacioacuten de Usuario Final
VICTOR A VASQUEZ M21
Metodologiacutea General para la revisioacuten de controles y sistemas de
IT
bullRealizacioacuten de TAACs (CAATs) Teacutecnicas de Auditoriacutea Asistidas por Ordenador
bullCalidad de la informacioacutenbullValidacioacuten de datosbullFacturas duplicadas
bullRecalculo de procesosbullFIFObullAmortizacioacutenbullPMPbullVNR
Pruebas Sustantivas 4H
E
R
R
A
M
I
E
N
T
A
S
D
A
T
A
A
N
A
L
I
S
I
S
S
I
M
U
L
A
C
I
O
N
VICTOR A VASQUEZ M22
Metodologiacutea General para la revisioacuten de controles y sistemas de
IT
VICTOR A VASQUEZ M
Caracteriacutesticas del control
Control
iquestQueacute
iquestQuieacuten
iquestCuaacutendo
FrecuenciaiquestCoacutemo
Evidencia
Riesgo
SalidasEntradas
VICTOR A VASQUEZ M24
Anaacutelisis de Riesgos y su importancia
La probabilidad de que una amenaza se concrete (accidentalmente o intencionalmente de activacioacuten explotar) aprovechando una vulnerabilidad del sistema de informacioacuten y generando un impacto econoacutemico
El impacto econoacutemico generado por el no cumplimiento de una ley o falta de responsabilidad legal
Algunos ejemplos de riesgo de IT son
No autorizada (intencionados o accidentales) la divulgacioacuten modificacioacuten o destruccioacuten de informacioacuten
Errores y omisiones no intencionales
Interrupciones por causas naturales o cataacutestrofes de origen humano
La falta de diligencia en la aplicacioacuten y el funcionamiento del sistema informaacutetico Proveer un nivel razonable de certeza de que los objetivos de cobertura del control interno son alcanzados
Porqueacute es importante
Para que no pase estohellip
VICTOR A VASQUEZ M
ROCA
NINtildeOS
CASA
AMENAZA
Algo que pueda explotar una vulnerabilidad intencional o accidentalmente y ocasionardantildeo o destruccioacuten del activo
Conceptos de riesgo
AMENAZA CONTROLVULNERABILIDAD RIESGO IMPACT0
VICTOR A VASQUEZ M
THREAT
ROCA
NINtildeOS
CASA
Debilidad o brecha que puedeser explotada por una amenaza en contra del activo
VULNERABILIDAD
Conceptos de riesgo
AMENAZA CONTROLVULNERABILIDAD RIESGO IMPACTO
VICTOR A VASQUEZ M
THREAT
ROCA
NINtildeOS
CASA
La peacuterdida dantildeo o destruccioacuten potencial sobre el active como resultado de laexplotacioacuten de vulnerabilidad
RIESGO Desprendimiento de la
piedra y caiacuteda sobre los nintildeos
AMENAZA CONTROLVULNERABILIDAD RIESGO IMPACTO
Conceptos de riesgo
VICTOR A VASQUEZ M
THREAT
ROCA
NINtildeOS
CASA
Cualquier accioacuten que ayude a reducir la probabilidad de que el riesgo ocurra o que ayuda a reducir el impacto si el riesgo ocurre
Conceptos de riesgo
AMENAZA CONTROLVULNERABILIDAD RIESGO IMPACTO
bull Riesgo residual depende del disentildeo y la eficacia
de los controles
IMPA
CT
O
PR
OB
AB
ILID
AD
VICTOR A VASQUEZ M
THREAT
ROCA
NINtildeOS
CASA
iquestCuaacuteles son las consecuencias y coacutemo se miden
Impacto peacuterdida de vidas o
dantildeo en la propiedad
Conceptos de riesgo
AMENAZA CONTROLVULNERABILIDAD RIESGO IMPACTO
VICTOR A VASQUEZ M30
Anaacutelisis de Riesgos y su importancia
VICTOR A VASQUEZ MDiapositiva No 31
Introduccioacuten a COBIT 5
VICTOR A VASQUEZ M
iquestPor queacute se desarrolloacute COBIT 5
El mandato de la Junta Directiva de ISACA ldquoUnir y reforzar todos los activos de conocimiento de ISACA con COBITrdquo
Proporcionar un marco de gobierno y de gestioacuten renovado y con la autoridad necesaria para la informacioacuten empresarial y las tecnologiacuteas relacionadas
Integrar los principales marcos y las guiacuteas de ISACA Alinearse con los principales marcos y estaacutendares en el
mercado
VICTOR A VASQUEZ M
Gobierno Empresarial de TI
COBIT 5
Gobierno
COBIT4041
Administracioacuten
COBIT 3
Control
COBIT 2
La evolucioacuten de COBIT 5
Auditoriacutea
COBIT 1
2005720001998
Evo
luci
oacuten
1996 2012
BMIS(2010)
Val IT 20(2008)
Risk IT(2009)
VICTOR A VASQUEZ M
Motivadores del desarrollo de COBIT 5
Proveer una guiacutea respecto a Arquitectura Empresarial
Gestioacuten de servicios y activos
Modelos organizacionales y de aprovisionamiento emergentes
Innovacioacuten y Tecnologiacuteas emergentes
Responsabilidades de punta a punta de TI y el negocio Controles para soluciones de TI iniciadas o controladas
por usuario Necesidades de las empresas de
Lograr la creacioacuten de valor
Obtener la satisfaccioacuten de los usuarios
Cumplir leyes relevantes regulaciones y poliacuteticas
Mejorar la relacioacuten entre TI y el Negocio
Mejorar el retorno del Gobierno Empresarial de TI
Conectarse y alinearse con otros frameworks y estaacutendares
VICTOR A VASQUEZ M
Beneficios para las empresas
Las Empresas y los Ejecutivos buscan Mantener informacioacuten de alta calidad que soporte las
decisiones del negocio Generar valor para el negocio de las inversiones habilitadas
por TI
Ej Alcanzar los objetivos estrateacutegicos y lograr beneficios a traveacutes del uso efectivo e innovador de la TI
Lograr la excelencia operacional a traveacutes de la aplicacioacuten confiable y eficiente de la tecnologiacutea
Mantener el riesgo relacionado con TI a un nivel aceptable Optimizar el costo de los servicios de TI y la tecnologiacutea
iquestCoacutemo pueden lograrse estos beneficios para crear valor a los stakeholders de una organizacioacuten
VICTOR A VASQUEZ M
Beneficios
COBIT 5
Define como punto inicial de las actividades de gobierno y gestioacuten las necesidades de los stakeholders relacionadas con la TI de la empresa
Crea una vista maacutes holiacutestica integrada y completa del gobierno y la gestioacuten de la TI de la empresa
Crea un lenguaje comuacuten entre TI y el negocio para el gobierno y la gestioacuten de la TI empresarial
Es consistente con estaacutendares de gobierno corporativo generalmente aceptados por lo que ayuda a cumplir los requerimientos regulatorios
copy 2012 ISACA All Rights Reserved
VICTOR A VASQUEZ M
Familia de Productos de COBIT 5
COBIT 5
Otras guiacuteas habilitadoras
COBIT 5 Procesos habilitadores
COBIT 5 Informacioacuten habilitadora
COBIT 5 Guiacuteas profesionales
Otras guiacuteas profesionales
COBIT 5 Implementacioacuten
COBIT 5Para seguridad de informacioacuten
COBIT 5Para riesgos
COBIT 5 ambiente colaborativo en liacutenea
COBIT 5 Guiacuteas habilitadoras
COBIT 5Para aseguramiento
VICTOR A VASQUEZ MDiapositiva No 38
Principios Baacutesicos de COBIT 5
VICTOR A VASQUEZ M
Principios de COBIT 5
Principios de
COBIT 5
1 Satisfacer las
necesidades de las partes interesadas
2 Cubrir la empresa de extremo a extremo
3 Aplicar un marco de referencia
uacutenico integrado
4 Hacer posible un
enfoque holiacutestico
5 Separar gobierno de
la gestioacuten
VICTOR A VASQUEZ M
5 Distinguir entre gobierno y gestioacuten
El gobierno asegura de que las necesidades condiciones y opciones de las partes interesadas
bull Son evaluadas para determinar las metas corporativas a alcanzar considerado que sean equilibradas y consensuadas
bull Establecen la direccioacuten por medio de la priorizacioacuten y la toma de decisiones
bull Mide el rendimiento cumplimiento y progreso contra las directrices y metas acordadas (EDM)
La gestioacuten planea construye ejecuta y monitorealas actividades de manera alineada con las directrices establecidas por el cuerpo de gobierno para el logro de las metas corporativas (PBRM) ndash Plan Build Run Monitor --- Plan Do Check Act
En la mayoriacutea de las empresas el gobierno es responsabilidad del
consejo de administracioacuten bajo el liderazgo de un Presidente
En la mayoriacutea de las empresas la gestioacuten es responsabilidad de la
Direccioacuten Ejecutiva bajo el liderazgo del Director General (CEO)
VICTOR A VASQUEZ M
5 Distinguir entre gobierno y gestioacuten
Modelo de referencia de procesos
P
1
2
34
5
APO02Gestionar la
estrategia
APO03Gestionar la arquitectura empresarial
APO04Gestionar la innovacioacuten
APO05Gestionar el
portafolio
APO06Gestionar el
presupuesto y los costos
APO07Gestionar los
recursos humanos
APO08Gestionar las
relaciones
APO09Gestionar los acuerdos del
servicio
APO10Gestionar los proveedores
APO11Gestionar
calidad
APO12Gestionar el
riesgo
APO13Gestionar la
seguridad
APO01Gestionar el
marco de gestioacuten de TI
PROCESOS PARA EL
GOBIERNO DE TIEVALUAR ORIENTAR Y
MONITOREAR
MEA01Supervisar evaluar
y valorar el rendimiento y cumplimiento
MEA02Supervisar evaluar y valorar el sistema de control interno
MEA03 Supervisar evaluar
y valorar la conformidad con
los requerimientos externos
DSS01Gestionar
operaciones
DSS02 Gestionar las
Peticiones y los Incidentes del
Servicio
DSS03Gestionar los
problemas
DSS04Gestionar la continuidad
DSS05Gestionar los servicios de seguridad
DSS06Gestionar los
controles de los procesos del
negocio
BAI02Gestionar la definicioacuten de
requisitos
BAI03Gestionar la
identificacioacuten y construccioacuten de
soluciones
BAI04Gestionar la
disponibilidad y capacidad
BAI05 Gestionar la
Introduccioacuten de Cambios
Organizativos
BAI06Gestionar los
cambios
BAI07Gestionar la
aceptacioacuten del cambio y la transicioacuten
BAI08Gestionar el
conocimiento
BAI09Gestionar los activos
BAI10Gestionar la
configuracioacuten
BAI01Gestionar
programas y proyectos
Alinear planear y organizar
Construir adquirir e implementar
Entregar dar servicio y soporte
Monitorear evaluar y
valorar
PROCESOS PARA LA GESTIOacuteN DE TI
EDM01 Asegurar el
Establecimiento y Mantenimiento del Marco de Gobierno
EDM02Asegurar la entrega
de beneficios
EDM03Asegurar la
optimizacioacuten de riesgos
EDM04Asegurar la
optimizacioacuten de recursos
EDM05Asegurar la
transparencia hacia las partes interesadas
VICTOR A VASQUEZ M
Resumen del mapeo de COBIT 5
copy 2012 ISACA All rights reserved
VICTOR A VASQUEZ M
VICTOR A VASQUEZ M5
Actualmente cualquier empresa ya sea de tamantildeo pequentildeo mediano o grande tiene una alta dependencia con respecto a los sistemas Ya sean sistemas de gestioacuten empresarial como sistemas que administran el flujo de produccioacuten etc Por esta razoacuten en cualquier auditoriacutea es necesario tener en consideracioacuten el impacto de los sistemas
Introduccioacuten
VICTOR A VASQUEZ M6
Como principales objetivos que busca la auditoriacutea Informaacutetica son
bull El control de la funcioacuten informaacutetica bull El anaacutelisis de la eficiencia de los Sistemas Informaacuteticos bull La verificacioacuten del cumplimiento de la Normativa general de la empresa en este aacutembito y bull La revisioacuten de la eficaz gestioacuten de los recursos materiales y humanos informaacuteticos
Introduccioacuten (Continuahellip)
VICTOR A VASQUEZ M 7
Importancia de los SI
La informacioacuten que actualmente utilizamos para realizar nuestro trabajo de auditoriacutea se encuentra soportada en los sistema de informacioacuten (ya sea informacioacuten de gestioacuten ERP Bases de Datos etc)
Interfaces
Bases de Datos
Software
Hardware
Comunicaciones
Personas
Infraestructura
Informacioacuten
Aplicaciones
VICTOR A VASQUEZ M
COSO- Actividades de control
8
COSO ndash Commitee of sponsoring organizations of the treadwaycommission ndash
Es una organizacioacuten del sector privado dedicada a mejorar la calidad de los reportes financieros mediante la eacutetica de los negocios un efectivo control interno y gobierno corporativo
COSO Framework
Es un marco integrado de control interno utilizado como base sobre el cual se implementan otros marcos de trabajo complementarios de control de TI como puede ser COBIT
COSO identifica cinco componentes esenciales para un efectivo control interno ambiente de control evaluacioacuten de riesgos actividades de control informacioacuten y comunicacioacuten y monitoreo
VICTOR A VASQUEZ M
COSO- Actividades de control
Ambiente de control (control environment)
Crear ambiente de control en la empresa
Evaluacioacuten de riesgos (risk assessment)
Identificar y analizar riesgos significativos que puedan evitar el alcanzar objetivos
Actividades de control (control activities)
Poliacuteticas procedimientos y praacutecticas que aseguren el logro de objetivos y mitiguen riesgos
Informacioacuten y comunicacioacuten (information amp communication) Identificar informacioacuten relevante y comunicarla a los grupos y niveles adecuados
Monitoreo (monitoring)
Revisioacuten y evaluacioacuten continua de los controles internos
VICTOR A VASQUEZ M
COBIT y el cumplimiento de la ley Sarbanes-Oxley
VICTOR A VASQUEZ M
Implicaciones normativas
11
En respuesta a una serie de fallas de negocios y escaacutendalos corporativos que empezaron con Enron en 2001 El Congreso de los EUA promulgoacute la Ley Sarbanes-Oxley de 2002 (SOX)
SOX introdujo muchas reformas de gobierno corporativo encaminadas a incrementar la confianza de los inversionistas en los mercados de capitales
La Ley ldquoSarbanes-Oxley Actrdquo requiere que las organizaciones seleccionen e implementen un modelo de control interno siendo COSO el modelo maacutes comuacutenmente adoptado
Las empresas registradas en la SEC han descubierto que COSO no provee el detalle suficiente sobre Control de TI
Como resultado la mayoriacutea de las empresas han adoptado COBIT como el modelo de control en TI como parte de su estrategia de cumplimiento con las disposiciones de SOX
VICTOR A VASQUEZ M
Sarbanes-oxley ndashSec 302
12
En respuesta a una serie de fallas de negocios y escaacutendalos corporativos que empezaron con Enron en 2001 El Congreso de los EUA promulgoacute la Ley Sarbanes-Oxley de 2002 (SOX)
SOX introdujo muchas reformas de gobierno corporativo encaminadas a incrementar la confianza de los inversionistas en los mercados de capitales
La Ley ldquoSarbanes-Oxley Actrdquo requiere que las organizaciones seleccionen e implementen un modelo de control interno siendo COSO el modelo maacutes comuacutenmente adoptado
Las empresas registradas en la SEC han descubierto que COSO no provee el detalle suficiente sobre Control de TI
Como resultado la mayoriacutea de las empresas han adoptado COBIT como el modelo de control en TI como parte de su estrategia de cumplimiento con las disposiciones de SOX
VICTOR A VASQUEZ M
Sarbanes-Oxley - Sec 404
La seccioacuten 404 requiere la evaluacioacuten y documentacioacuten por lo menos una vez al antildeo de todos los controles y procedimientos internos implantados que producen la informacioacuten financiera Los controles internes deben de ser documentado y sistemas deben de ser implantados para monitorear la efectividad de estos controles
Se establece la obligacioacuten de mantener poliacuteticas y procedimientos relacionados con la integridad de la informacioacuten y su disponibilidad
El uso de los sistemas de informacioacuten requeriraacute de un control maacutes estricto que preserve la confiabilidad de la informacioacuten que se maneja y que afecta a los reportes financieros de la empresa sin descuidar por supuesto aquellas cuestiones relacionadas con la confidencialidad disponibilidad e integridad de la informacioacuten
VICTOR A VASQUEZ M
Objetivos de control relacionados con SAROX
AI2 Adquirir y mantener software aplicativo
AI3 Adquirir y mantener infraestructura tecnoloacutegica
AI4 Facilitar operacioacuten y uso
AI6 Administrar cambios
AI7 Instalar y acreditar soluciones y cambios
DS1 Definir y administrar los niveles de servicio
DS2 Administrar los servicios de terceros
DS5 Garantizar la seguridad de los sistemas
DS8 Administrar la atencioacuten a usuarios y los incidentes
DS9 Administrar la configuracioacuten
DS10 Administrar los problemas
DS11 Administrar los datos
DS12 Administrar el ambiente fiacutesico
DS13 Administrar las operaciones
Fuente IT Control Objectives for Sarbanes-Oxley IT Governance Institute
VICTOR A VASQUEZ M15
Importancia de los SI en la Auditoriacutea
Aspectos que se deberiacutean tener en cuenta para realizar una auditoriacutea coherente con la relevancia de los Sistemas de Informacioacuten de cada empresa(ya sea realizada por nosotros mismos o bien aspectos que deberemos considerar al momento de revisar el trabajo de otros)
Controles Automaacuteticos
Interfaces Contables
Segregacioacuten de Funciones
Identificar Principales Aplicaciones
Una aplicacioacuten que administra determinadas compras de una empresa y que se comunica con los sistemas contables de la compantildeiacutea
Que debe y puede hacer una persona por las opciones del sistema Tiene un impacto relevante en todos los aplicativos de una compantildeiacutea
Seraacuten aquellos que impacten de forma significativa en los estados contables de la compantildeiacutea
Cuando se quiere realizar una prueba en el sistema de aprobaciones automaacuteticas validacioacuten automaacutetica de indicadores aplicacioacuten de acuerdos comerciales etc
VICTOR A VASQUEZ M16
Metodologiacutea General para la revisioacuten de controles y sistemas de
IT
bullIdentificar el enfoquebullIdentificar principales sistemasbullIdentificar principales riesgosbullMapa de Sistemas e interfaces
Entendimiento
bullRealizacioacuten de TAACs (CAATs)bullRecalculo de procesos
bullFIFObullAmortizacioacutenbullPMPbullVNR
Evaluacioacuten de Controles
Planificacioacuten
bullQue sistemas tiene la empresabullSistema contable (SO DB LP)bullPrincipales InterfacesbullIdentificar Cuentas por SistemabullProveedores (Comun Mantenimetc)
Pruebas Sustantivas
bullRealizar ITGCbullRevisar procesos de NegociobullRevisar controles automaacuteticos
Procedimientos Restantes
1 2
3 4
5
VICTOR A VASQUEZ M17
Metodologiacutea General para la revisioacuten de controles y sistemas de
IT
Entendimiento 1
bullQue sistemas tiene la empresa En la Compantildeiacutea X se identifican los siguientes aplicativos
bull Nomina plus (RRHH) Aplicativo adquirido a la empresa SW con DB SQL Server y desarrollado en VBNet
bull Contaplus (Contabilidad) Aplicativo adquirido a la empresa SW con DB SQL Server y desarrollado en VBNet
bullSistema contable (SO DB LP)bullPrincipales Interfaces Se identifican interfaces con RH y Ventas estas tienen componente automaacuteticobullIdentificar Cuentas por Sistema
bullNominaplus 41000001-200bullContaplus Todas
bullProveedores Los principales proveedores son
bullTelefoccedilonica Comunicaciones
VICTOR A VASQUEZ M18
Algunos de los aspectos a identificar durante estaacute parte del trabajo son temas relacionados con organizacioacuten y administracioacuten de IT
Involucracioacuten de altos mandos Estrategia IT Gestioacuten del coste y la inversioacuten en IT Informes de gestioacuten del funcionamiento IT Gestioacuten a nivel de servicio Conformidad legal y regulatoria Gestioacuten de recursos humanos Informaacutetica a nivel de usuario Gestionar servicios de terceros Contabilidad de activos Gestioacuten de la infraestructura de seguridad Seguridad en descripcioacuten de trabajos y recursos
Metodologiacutea General para la revisioacuten de controles y sistemas de
IT
VICTOR A VASQUEZ M19
Metodologiacutea General para la revisioacuten de controles y sistemas de
IT
bullIdentificar el enfoquebullControlbullSustantivobullMixto
bullIdentificar principales sistemasbullERPbullNoacuteminabullFinancierobullComercial
bullIdentificar principales riesgos Depende directamente del tipo de negocio y objetivos estrateacutegicos de la Compantildeiacutea
bullDependenciasbullInformacioacutenbullCumplimiento LegalbullContinuidad
bullMapa de Sistemas e interfacesbullContabilidad-VentasbullContabilidad-ComprasbullContabilidad-Noacutemina
Planificacioacuten 2
VICTOR A VASQUEZ M20
Evaluacioacuten de Controles
bullRealizar ITGCbullGestioacuten Datos y ProgramasbullGestioacuten de CambiosbullDesarrollo de ProgramasbullOperaciones de ITbullComputacioacuten Usuario Final
bullRevisar procesos de Negocio DepenbullRevisar controles automaacuteticos
3
Metodologiacutea General para la revisioacuten de controles y sistemas de
IT
Acceso a Datos y Programas
Gestioacuten de Cambios
Desarrollo de ProgramasOperaciones de IT
Computacioacuten de Usuario Final
VICTOR A VASQUEZ M21
Metodologiacutea General para la revisioacuten de controles y sistemas de
IT
bullRealizacioacuten de TAACs (CAATs) Teacutecnicas de Auditoriacutea Asistidas por Ordenador
bullCalidad de la informacioacutenbullValidacioacuten de datosbullFacturas duplicadas
bullRecalculo de procesosbullFIFObullAmortizacioacutenbullPMPbullVNR
Pruebas Sustantivas 4H
E
R
R
A
M
I
E
N
T
A
S
D
A
T
A
A
N
A
L
I
S
I
S
S
I
M
U
L
A
C
I
O
N
VICTOR A VASQUEZ M22
Metodologiacutea General para la revisioacuten de controles y sistemas de
IT
VICTOR A VASQUEZ M
Caracteriacutesticas del control
Control
iquestQueacute
iquestQuieacuten
iquestCuaacutendo
FrecuenciaiquestCoacutemo
Evidencia
Riesgo
SalidasEntradas
VICTOR A VASQUEZ M24
Anaacutelisis de Riesgos y su importancia
La probabilidad de que una amenaza se concrete (accidentalmente o intencionalmente de activacioacuten explotar) aprovechando una vulnerabilidad del sistema de informacioacuten y generando un impacto econoacutemico
El impacto econoacutemico generado por el no cumplimiento de una ley o falta de responsabilidad legal
Algunos ejemplos de riesgo de IT son
No autorizada (intencionados o accidentales) la divulgacioacuten modificacioacuten o destruccioacuten de informacioacuten
Errores y omisiones no intencionales
Interrupciones por causas naturales o cataacutestrofes de origen humano
La falta de diligencia en la aplicacioacuten y el funcionamiento del sistema informaacutetico Proveer un nivel razonable de certeza de que los objetivos de cobertura del control interno son alcanzados
Porqueacute es importante
Para que no pase estohellip
VICTOR A VASQUEZ M
ROCA
NINtildeOS
CASA
AMENAZA
Algo que pueda explotar una vulnerabilidad intencional o accidentalmente y ocasionardantildeo o destruccioacuten del activo
Conceptos de riesgo
AMENAZA CONTROLVULNERABILIDAD RIESGO IMPACT0
VICTOR A VASQUEZ M
THREAT
ROCA
NINtildeOS
CASA
Debilidad o brecha que puedeser explotada por una amenaza en contra del activo
VULNERABILIDAD
Conceptos de riesgo
AMENAZA CONTROLVULNERABILIDAD RIESGO IMPACTO
VICTOR A VASQUEZ M
THREAT
ROCA
NINtildeOS
CASA
La peacuterdida dantildeo o destruccioacuten potencial sobre el active como resultado de laexplotacioacuten de vulnerabilidad
RIESGO Desprendimiento de la
piedra y caiacuteda sobre los nintildeos
AMENAZA CONTROLVULNERABILIDAD RIESGO IMPACTO
Conceptos de riesgo
VICTOR A VASQUEZ M
THREAT
ROCA
NINtildeOS
CASA
Cualquier accioacuten que ayude a reducir la probabilidad de que el riesgo ocurra o que ayuda a reducir el impacto si el riesgo ocurre
Conceptos de riesgo
AMENAZA CONTROLVULNERABILIDAD RIESGO IMPACTO
bull Riesgo residual depende del disentildeo y la eficacia
de los controles
IMPA
CT
O
PR
OB
AB
ILID
AD
VICTOR A VASQUEZ M
THREAT
ROCA
NINtildeOS
CASA
iquestCuaacuteles son las consecuencias y coacutemo se miden
Impacto peacuterdida de vidas o
dantildeo en la propiedad
Conceptos de riesgo
AMENAZA CONTROLVULNERABILIDAD RIESGO IMPACTO
VICTOR A VASQUEZ M30
Anaacutelisis de Riesgos y su importancia
VICTOR A VASQUEZ MDiapositiva No 31
Introduccioacuten a COBIT 5
VICTOR A VASQUEZ M
iquestPor queacute se desarrolloacute COBIT 5
El mandato de la Junta Directiva de ISACA ldquoUnir y reforzar todos los activos de conocimiento de ISACA con COBITrdquo
Proporcionar un marco de gobierno y de gestioacuten renovado y con la autoridad necesaria para la informacioacuten empresarial y las tecnologiacuteas relacionadas
Integrar los principales marcos y las guiacuteas de ISACA Alinearse con los principales marcos y estaacutendares en el
mercado
VICTOR A VASQUEZ M
Gobierno Empresarial de TI
COBIT 5
Gobierno
COBIT4041
Administracioacuten
COBIT 3
Control
COBIT 2
La evolucioacuten de COBIT 5
Auditoriacutea
COBIT 1
2005720001998
Evo
luci
oacuten
1996 2012
BMIS(2010)
Val IT 20(2008)
Risk IT(2009)
VICTOR A VASQUEZ M
Motivadores del desarrollo de COBIT 5
Proveer una guiacutea respecto a Arquitectura Empresarial
Gestioacuten de servicios y activos
Modelos organizacionales y de aprovisionamiento emergentes
Innovacioacuten y Tecnologiacuteas emergentes
Responsabilidades de punta a punta de TI y el negocio Controles para soluciones de TI iniciadas o controladas
por usuario Necesidades de las empresas de
Lograr la creacioacuten de valor
Obtener la satisfaccioacuten de los usuarios
Cumplir leyes relevantes regulaciones y poliacuteticas
Mejorar la relacioacuten entre TI y el Negocio
Mejorar el retorno del Gobierno Empresarial de TI
Conectarse y alinearse con otros frameworks y estaacutendares
VICTOR A VASQUEZ M
Beneficios para las empresas
Las Empresas y los Ejecutivos buscan Mantener informacioacuten de alta calidad que soporte las
decisiones del negocio Generar valor para el negocio de las inversiones habilitadas
por TI
Ej Alcanzar los objetivos estrateacutegicos y lograr beneficios a traveacutes del uso efectivo e innovador de la TI
Lograr la excelencia operacional a traveacutes de la aplicacioacuten confiable y eficiente de la tecnologiacutea
Mantener el riesgo relacionado con TI a un nivel aceptable Optimizar el costo de los servicios de TI y la tecnologiacutea
iquestCoacutemo pueden lograrse estos beneficios para crear valor a los stakeholders de una organizacioacuten
VICTOR A VASQUEZ M
Beneficios
COBIT 5
Define como punto inicial de las actividades de gobierno y gestioacuten las necesidades de los stakeholders relacionadas con la TI de la empresa
Crea una vista maacutes holiacutestica integrada y completa del gobierno y la gestioacuten de la TI de la empresa
Crea un lenguaje comuacuten entre TI y el negocio para el gobierno y la gestioacuten de la TI empresarial
Es consistente con estaacutendares de gobierno corporativo generalmente aceptados por lo que ayuda a cumplir los requerimientos regulatorios
copy 2012 ISACA All Rights Reserved
VICTOR A VASQUEZ M
Familia de Productos de COBIT 5
COBIT 5
Otras guiacuteas habilitadoras
COBIT 5 Procesos habilitadores
COBIT 5 Informacioacuten habilitadora
COBIT 5 Guiacuteas profesionales
Otras guiacuteas profesionales
COBIT 5 Implementacioacuten
COBIT 5Para seguridad de informacioacuten
COBIT 5Para riesgos
COBIT 5 ambiente colaborativo en liacutenea
COBIT 5 Guiacuteas habilitadoras
COBIT 5Para aseguramiento
VICTOR A VASQUEZ MDiapositiva No 38
Principios Baacutesicos de COBIT 5
VICTOR A VASQUEZ M
Principios de COBIT 5
Principios de
COBIT 5
1 Satisfacer las
necesidades de las partes interesadas
2 Cubrir la empresa de extremo a extremo
3 Aplicar un marco de referencia
uacutenico integrado
4 Hacer posible un
enfoque holiacutestico
5 Separar gobierno de
la gestioacuten
VICTOR A VASQUEZ M
5 Distinguir entre gobierno y gestioacuten
El gobierno asegura de que las necesidades condiciones y opciones de las partes interesadas
bull Son evaluadas para determinar las metas corporativas a alcanzar considerado que sean equilibradas y consensuadas
bull Establecen la direccioacuten por medio de la priorizacioacuten y la toma de decisiones
bull Mide el rendimiento cumplimiento y progreso contra las directrices y metas acordadas (EDM)
La gestioacuten planea construye ejecuta y monitorealas actividades de manera alineada con las directrices establecidas por el cuerpo de gobierno para el logro de las metas corporativas (PBRM) ndash Plan Build Run Monitor --- Plan Do Check Act
En la mayoriacutea de las empresas el gobierno es responsabilidad del
consejo de administracioacuten bajo el liderazgo de un Presidente
En la mayoriacutea de las empresas la gestioacuten es responsabilidad de la
Direccioacuten Ejecutiva bajo el liderazgo del Director General (CEO)
VICTOR A VASQUEZ M
5 Distinguir entre gobierno y gestioacuten
Modelo de referencia de procesos
P
1
2
34
5
APO02Gestionar la
estrategia
APO03Gestionar la arquitectura empresarial
APO04Gestionar la innovacioacuten
APO05Gestionar el
portafolio
APO06Gestionar el
presupuesto y los costos
APO07Gestionar los
recursos humanos
APO08Gestionar las
relaciones
APO09Gestionar los acuerdos del
servicio
APO10Gestionar los proveedores
APO11Gestionar
calidad
APO12Gestionar el
riesgo
APO13Gestionar la
seguridad
APO01Gestionar el
marco de gestioacuten de TI
PROCESOS PARA EL
GOBIERNO DE TIEVALUAR ORIENTAR Y
MONITOREAR
MEA01Supervisar evaluar
y valorar el rendimiento y cumplimiento
MEA02Supervisar evaluar y valorar el sistema de control interno
MEA03 Supervisar evaluar
y valorar la conformidad con
los requerimientos externos
DSS01Gestionar
operaciones
DSS02 Gestionar las
Peticiones y los Incidentes del
Servicio
DSS03Gestionar los
problemas
DSS04Gestionar la continuidad
DSS05Gestionar los servicios de seguridad
DSS06Gestionar los
controles de los procesos del
negocio
BAI02Gestionar la definicioacuten de
requisitos
BAI03Gestionar la
identificacioacuten y construccioacuten de
soluciones
BAI04Gestionar la
disponibilidad y capacidad
BAI05 Gestionar la
Introduccioacuten de Cambios
Organizativos
BAI06Gestionar los
cambios
BAI07Gestionar la
aceptacioacuten del cambio y la transicioacuten
BAI08Gestionar el
conocimiento
BAI09Gestionar los activos
BAI10Gestionar la
configuracioacuten
BAI01Gestionar
programas y proyectos
Alinear planear y organizar
Construir adquirir e implementar
Entregar dar servicio y soporte
Monitorear evaluar y
valorar
PROCESOS PARA LA GESTIOacuteN DE TI
EDM01 Asegurar el
Establecimiento y Mantenimiento del Marco de Gobierno
EDM02Asegurar la entrega
de beneficios
EDM03Asegurar la
optimizacioacuten de riesgos
EDM04Asegurar la
optimizacioacuten de recursos
EDM05Asegurar la
transparencia hacia las partes interesadas
VICTOR A VASQUEZ M
Resumen del mapeo de COBIT 5
copy 2012 ISACA All rights reserved
VICTOR A VASQUEZ M
VICTOR A VASQUEZ M6
Como principales objetivos que busca la auditoriacutea Informaacutetica son
bull El control de la funcioacuten informaacutetica bull El anaacutelisis de la eficiencia de los Sistemas Informaacuteticos bull La verificacioacuten del cumplimiento de la Normativa general de la empresa en este aacutembito y bull La revisioacuten de la eficaz gestioacuten de los recursos materiales y humanos informaacuteticos
Introduccioacuten (Continuahellip)
VICTOR A VASQUEZ M 7
Importancia de los SI
La informacioacuten que actualmente utilizamos para realizar nuestro trabajo de auditoriacutea se encuentra soportada en los sistema de informacioacuten (ya sea informacioacuten de gestioacuten ERP Bases de Datos etc)
Interfaces
Bases de Datos
Software
Hardware
Comunicaciones
Personas
Infraestructura
Informacioacuten
Aplicaciones
VICTOR A VASQUEZ M
COSO- Actividades de control
8
COSO ndash Commitee of sponsoring organizations of the treadwaycommission ndash
Es una organizacioacuten del sector privado dedicada a mejorar la calidad de los reportes financieros mediante la eacutetica de los negocios un efectivo control interno y gobierno corporativo
COSO Framework
Es un marco integrado de control interno utilizado como base sobre el cual se implementan otros marcos de trabajo complementarios de control de TI como puede ser COBIT
COSO identifica cinco componentes esenciales para un efectivo control interno ambiente de control evaluacioacuten de riesgos actividades de control informacioacuten y comunicacioacuten y monitoreo
VICTOR A VASQUEZ M
COSO- Actividades de control
Ambiente de control (control environment)
Crear ambiente de control en la empresa
Evaluacioacuten de riesgos (risk assessment)
Identificar y analizar riesgos significativos que puedan evitar el alcanzar objetivos
Actividades de control (control activities)
Poliacuteticas procedimientos y praacutecticas que aseguren el logro de objetivos y mitiguen riesgos
Informacioacuten y comunicacioacuten (information amp communication) Identificar informacioacuten relevante y comunicarla a los grupos y niveles adecuados
Monitoreo (monitoring)
Revisioacuten y evaluacioacuten continua de los controles internos
VICTOR A VASQUEZ M
COBIT y el cumplimiento de la ley Sarbanes-Oxley
VICTOR A VASQUEZ M
Implicaciones normativas
11
En respuesta a una serie de fallas de negocios y escaacutendalos corporativos que empezaron con Enron en 2001 El Congreso de los EUA promulgoacute la Ley Sarbanes-Oxley de 2002 (SOX)
SOX introdujo muchas reformas de gobierno corporativo encaminadas a incrementar la confianza de los inversionistas en los mercados de capitales
La Ley ldquoSarbanes-Oxley Actrdquo requiere que las organizaciones seleccionen e implementen un modelo de control interno siendo COSO el modelo maacutes comuacutenmente adoptado
Las empresas registradas en la SEC han descubierto que COSO no provee el detalle suficiente sobre Control de TI
Como resultado la mayoriacutea de las empresas han adoptado COBIT como el modelo de control en TI como parte de su estrategia de cumplimiento con las disposiciones de SOX
VICTOR A VASQUEZ M
Sarbanes-oxley ndashSec 302
12
En respuesta a una serie de fallas de negocios y escaacutendalos corporativos que empezaron con Enron en 2001 El Congreso de los EUA promulgoacute la Ley Sarbanes-Oxley de 2002 (SOX)
SOX introdujo muchas reformas de gobierno corporativo encaminadas a incrementar la confianza de los inversionistas en los mercados de capitales
La Ley ldquoSarbanes-Oxley Actrdquo requiere que las organizaciones seleccionen e implementen un modelo de control interno siendo COSO el modelo maacutes comuacutenmente adoptado
Las empresas registradas en la SEC han descubierto que COSO no provee el detalle suficiente sobre Control de TI
Como resultado la mayoriacutea de las empresas han adoptado COBIT como el modelo de control en TI como parte de su estrategia de cumplimiento con las disposiciones de SOX
VICTOR A VASQUEZ M
Sarbanes-Oxley - Sec 404
La seccioacuten 404 requiere la evaluacioacuten y documentacioacuten por lo menos una vez al antildeo de todos los controles y procedimientos internos implantados que producen la informacioacuten financiera Los controles internes deben de ser documentado y sistemas deben de ser implantados para monitorear la efectividad de estos controles
Se establece la obligacioacuten de mantener poliacuteticas y procedimientos relacionados con la integridad de la informacioacuten y su disponibilidad
El uso de los sistemas de informacioacuten requeriraacute de un control maacutes estricto que preserve la confiabilidad de la informacioacuten que se maneja y que afecta a los reportes financieros de la empresa sin descuidar por supuesto aquellas cuestiones relacionadas con la confidencialidad disponibilidad e integridad de la informacioacuten
VICTOR A VASQUEZ M
Objetivos de control relacionados con SAROX
AI2 Adquirir y mantener software aplicativo
AI3 Adquirir y mantener infraestructura tecnoloacutegica
AI4 Facilitar operacioacuten y uso
AI6 Administrar cambios
AI7 Instalar y acreditar soluciones y cambios
DS1 Definir y administrar los niveles de servicio
DS2 Administrar los servicios de terceros
DS5 Garantizar la seguridad de los sistemas
DS8 Administrar la atencioacuten a usuarios y los incidentes
DS9 Administrar la configuracioacuten
DS10 Administrar los problemas
DS11 Administrar los datos
DS12 Administrar el ambiente fiacutesico
DS13 Administrar las operaciones
Fuente IT Control Objectives for Sarbanes-Oxley IT Governance Institute
VICTOR A VASQUEZ M15
Importancia de los SI en la Auditoriacutea
Aspectos que se deberiacutean tener en cuenta para realizar una auditoriacutea coherente con la relevancia de los Sistemas de Informacioacuten de cada empresa(ya sea realizada por nosotros mismos o bien aspectos que deberemos considerar al momento de revisar el trabajo de otros)
Controles Automaacuteticos
Interfaces Contables
Segregacioacuten de Funciones
Identificar Principales Aplicaciones
Una aplicacioacuten que administra determinadas compras de una empresa y que se comunica con los sistemas contables de la compantildeiacutea
Que debe y puede hacer una persona por las opciones del sistema Tiene un impacto relevante en todos los aplicativos de una compantildeiacutea
Seraacuten aquellos que impacten de forma significativa en los estados contables de la compantildeiacutea
Cuando se quiere realizar una prueba en el sistema de aprobaciones automaacuteticas validacioacuten automaacutetica de indicadores aplicacioacuten de acuerdos comerciales etc
VICTOR A VASQUEZ M16
Metodologiacutea General para la revisioacuten de controles y sistemas de
IT
bullIdentificar el enfoquebullIdentificar principales sistemasbullIdentificar principales riesgosbullMapa de Sistemas e interfaces
Entendimiento
bullRealizacioacuten de TAACs (CAATs)bullRecalculo de procesos
bullFIFObullAmortizacioacutenbullPMPbullVNR
Evaluacioacuten de Controles
Planificacioacuten
bullQue sistemas tiene la empresabullSistema contable (SO DB LP)bullPrincipales InterfacesbullIdentificar Cuentas por SistemabullProveedores (Comun Mantenimetc)
Pruebas Sustantivas
bullRealizar ITGCbullRevisar procesos de NegociobullRevisar controles automaacuteticos
Procedimientos Restantes
1 2
3 4
5
VICTOR A VASQUEZ M17
Metodologiacutea General para la revisioacuten de controles y sistemas de
IT
Entendimiento 1
bullQue sistemas tiene la empresa En la Compantildeiacutea X se identifican los siguientes aplicativos
bull Nomina plus (RRHH) Aplicativo adquirido a la empresa SW con DB SQL Server y desarrollado en VBNet
bull Contaplus (Contabilidad) Aplicativo adquirido a la empresa SW con DB SQL Server y desarrollado en VBNet
bullSistema contable (SO DB LP)bullPrincipales Interfaces Se identifican interfaces con RH y Ventas estas tienen componente automaacuteticobullIdentificar Cuentas por Sistema
bullNominaplus 41000001-200bullContaplus Todas
bullProveedores Los principales proveedores son
bullTelefoccedilonica Comunicaciones
VICTOR A VASQUEZ M18
Algunos de los aspectos a identificar durante estaacute parte del trabajo son temas relacionados con organizacioacuten y administracioacuten de IT
Involucracioacuten de altos mandos Estrategia IT Gestioacuten del coste y la inversioacuten en IT Informes de gestioacuten del funcionamiento IT Gestioacuten a nivel de servicio Conformidad legal y regulatoria Gestioacuten de recursos humanos Informaacutetica a nivel de usuario Gestionar servicios de terceros Contabilidad de activos Gestioacuten de la infraestructura de seguridad Seguridad en descripcioacuten de trabajos y recursos
Metodologiacutea General para la revisioacuten de controles y sistemas de
IT
VICTOR A VASQUEZ M19
Metodologiacutea General para la revisioacuten de controles y sistemas de
IT
bullIdentificar el enfoquebullControlbullSustantivobullMixto
bullIdentificar principales sistemasbullERPbullNoacuteminabullFinancierobullComercial
bullIdentificar principales riesgos Depende directamente del tipo de negocio y objetivos estrateacutegicos de la Compantildeiacutea
bullDependenciasbullInformacioacutenbullCumplimiento LegalbullContinuidad
bullMapa de Sistemas e interfacesbullContabilidad-VentasbullContabilidad-ComprasbullContabilidad-Noacutemina
Planificacioacuten 2
VICTOR A VASQUEZ M20
Evaluacioacuten de Controles
bullRealizar ITGCbullGestioacuten Datos y ProgramasbullGestioacuten de CambiosbullDesarrollo de ProgramasbullOperaciones de ITbullComputacioacuten Usuario Final
bullRevisar procesos de Negocio DepenbullRevisar controles automaacuteticos
3
Metodologiacutea General para la revisioacuten de controles y sistemas de
IT
Acceso a Datos y Programas
Gestioacuten de Cambios
Desarrollo de ProgramasOperaciones de IT
Computacioacuten de Usuario Final
VICTOR A VASQUEZ M21
Metodologiacutea General para la revisioacuten de controles y sistemas de
IT
bullRealizacioacuten de TAACs (CAATs) Teacutecnicas de Auditoriacutea Asistidas por Ordenador
bullCalidad de la informacioacutenbullValidacioacuten de datosbullFacturas duplicadas
bullRecalculo de procesosbullFIFObullAmortizacioacutenbullPMPbullVNR
Pruebas Sustantivas 4H
E
R
R
A
M
I
E
N
T
A
S
D
A
T
A
A
N
A
L
I
S
I
S
S
I
M
U
L
A
C
I
O
N
VICTOR A VASQUEZ M22
Metodologiacutea General para la revisioacuten de controles y sistemas de
IT
VICTOR A VASQUEZ M
Caracteriacutesticas del control
Control
iquestQueacute
iquestQuieacuten
iquestCuaacutendo
FrecuenciaiquestCoacutemo
Evidencia
Riesgo
SalidasEntradas
VICTOR A VASQUEZ M24
Anaacutelisis de Riesgos y su importancia
La probabilidad de que una amenaza se concrete (accidentalmente o intencionalmente de activacioacuten explotar) aprovechando una vulnerabilidad del sistema de informacioacuten y generando un impacto econoacutemico
El impacto econoacutemico generado por el no cumplimiento de una ley o falta de responsabilidad legal
Algunos ejemplos de riesgo de IT son
No autorizada (intencionados o accidentales) la divulgacioacuten modificacioacuten o destruccioacuten de informacioacuten
Errores y omisiones no intencionales
Interrupciones por causas naturales o cataacutestrofes de origen humano
La falta de diligencia en la aplicacioacuten y el funcionamiento del sistema informaacutetico Proveer un nivel razonable de certeza de que los objetivos de cobertura del control interno son alcanzados
Porqueacute es importante
Para que no pase estohellip
VICTOR A VASQUEZ M
ROCA
NINtildeOS
CASA
AMENAZA
Algo que pueda explotar una vulnerabilidad intencional o accidentalmente y ocasionardantildeo o destruccioacuten del activo
Conceptos de riesgo
AMENAZA CONTROLVULNERABILIDAD RIESGO IMPACT0
VICTOR A VASQUEZ M
THREAT
ROCA
NINtildeOS
CASA
Debilidad o brecha que puedeser explotada por una amenaza en contra del activo
VULNERABILIDAD
Conceptos de riesgo
AMENAZA CONTROLVULNERABILIDAD RIESGO IMPACTO
VICTOR A VASQUEZ M
THREAT
ROCA
NINtildeOS
CASA
La peacuterdida dantildeo o destruccioacuten potencial sobre el active como resultado de laexplotacioacuten de vulnerabilidad
RIESGO Desprendimiento de la
piedra y caiacuteda sobre los nintildeos
AMENAZA CONTROLVULNERABILIDAD RIESGO IMPACTO
Conceptos de riesgo
VICTOR A VASQUEZ M
THREAT
ROCA
NINtildeOS
CASA
Cualquier accioacuten que ayude a reducir la probabilidad de que el riesgo ocurra o que ayuda a reducir el impacto si el riesgo ocurre
Conceptos de riesgo
AMENAZA CONTROLVULNERABILIDAD RIESGO IMPACTO
bull Riesgo residual depende del disentildeo y la eficacia
de los controles
IMPA
CT
O
PR
OB
AB
ILID
AD
VICTOR A VASQUEZ M
THREAT
ROCA
NINtildeOS
CASA
iquestCuaacuteles son las consecuencias y coacutemo se miden
Impacto peacuterdida de vidas o
dantildeo en la propiedad
Conceptos de riesgo
AMENAZA CONTROLVULNERABILIDAD RIESGO IMPACTO
VICTOR A VASQUEZ M30
Anaacutelisis de Riesgos y su importancia
VICTOR A VASQUEZ MDiapositiva No 31
Introduccioacuten a COBIT 5
VICTOR A VASQUEZ M
iquestPor queacute se desarrolloacute COBIT 5
El mandato de la Junta Directiva de ISACA ldquoUnir y reforzar todos los activos de conocimiento de ISACA con COBITrdquo
Proporcionar un marco de gobierno y de gestioacuten renovado y con la autoridad necesaria para la informacioacuten empresarial y las tecnologiacuteas relacionadas
Integrar los principales marcos y las guiacuteas de ISACA Alinearse con los principales marcos y estaacutendares en el
mercado
VICTOR A VASQUEZ M
Gobierno Empresarial de TI
COBIT 5
Gobierno
COBIT4041
Administracioacuten
COBIT 3
Control
COBIT 2
La evolucioacuten de COBIT 5
Auditoriacutea
COBIT 1
2005720001998
Evo
luci
oacuten
1996 2012
BMIS(2010)
Val IT 20(2008)
Risk IT(2009)
VICTOR A VASQUEZ M
Motivadores del desarrollo de COBIT 5
Proveer una guiacutea respecto a Arquitectura Empresarial
Gestioacuten de servicios y activos
Modelos organizacionales y de aprovisionamiento emergentes
Innovacioacuten y Tecnologiacuteas emergentes
Responsabilidades de punta a punta de TI y el negocio Controles para soluciones de TI iniciadas o controladas
por usuario Necesidades de las empresas de
Lograr la creacioacuten de valor
Obtener la satisfaccioacuten de los usuarios
Cumplir leyes relevantes regulaciones y poliacuteticas
Mejorar la relacioacuten entre TI y el Negocio
Mejorar el retorno del Gobierno Empresarial de TI
Conectarse y alinearse con otros frameworks y estaacutendares
VICTOR A VASQUEZ M
Beneficios para las empresas
Las Empresas y los Ejecutivos buscan Mantener informacioacuten de alta calidad que soporte las
decisiones del negocio Generar valor para el negocio de las inversiones habilitadas
por TI
Ej Alcanzar los objetivos estrateacutegicos y lograr beneficios a traveacutes del uso efectivo e innovador de la TI
Lograr la excelencia operacional a traveacutes de la aplicacioacuten confiable y eficiente de la tecnologiacutea
Mantener el riesgo relacionado con TI a un nivel aceptable Optimizar el costo de los servicios de TI y la tecnologiacutea
iquestCoacutemo pueden lograrse estos beneficios para crear valor a los stakeholders de una organizacioacuten
VICTOR A VASQUEZ M
Beneficios
COBIT 5
Define como punto inicial de las actividades de gobierno y gestioacuten las necesidades de los stakeholders relacionadas con la TI de la empresa
Crea una vista maacutes holiacutestica integrada y completa del gobierno y la gestioacuten de la TI de la empresa
Crea un lenguaje comuacuten entre TI y el negocio para el gobierno y la gestioacuten de la TI empresarial
Es consistente con estaacutendares de gobierno corporativo generalmente aceptados por lo que ayuda a cumplir los requerimientos regulatorios
copy 2012 ISACA All Rights Reserved
VICTOR A VASQUEZ M
Familia de Productos de COBIT 5
COBIT 5
Otras guiacuteas habilitadoras
COBIT 5 Procesos habilitadores
COBIT 5 Informacioacuten habilitadora
COBIT 5 Guiacuteas profesionales
Otras guiacuteas profesionales
COBIT 5 Implementacioacuten
COBIT 5Para seguridad de informacioacuten
COBIT 5Para riesgos
COBIT 5 ambiente colaborativo en liacutenea
COBIT 5 Guiacuteas habilitadoras
COBIT 5Para aseguramiento
VICTOR A VASQUEZ MDiapositiva No 38
Principios Baacutesicos de COBIT 5
VICTOR A VASQUEZ M
Principios de COBIT 5
Principios de
COBIT 5
1 Satisfacer las
necesidades de las partes interesadas
2 Cubrir la empresa de extremo a extremo
3 Aplicar un marco de referencia
uacutenico integrado
4 Hacer posible un
enfoque holiacutestico
5 Separar gobierno de
la gestioacuten
VICTOR A VASQUEZ M
5 Distinguir entre gobierno y gestioacuten
El gobierno asegura de que las necesidades condiciones y opciones de las partes interesadas
bull Son evaluadas para determinar las metas corporativas a alcanzar considerado que sean equilibradas y consensuadas
bull Establecen la direccioacuten por medio de la priorizacioacuten y la toma de decisiones
bull Mide el rendimiento cumplimiento y progreso contra las directrices y metas acordadas (EDM)
La gestioacuten planea construye ejecuta y monitorealas actividades de manera alineada con las directrices establecidas por el cuerpo de gobierno para el logro de las metas corporativas (PBRM) ndash Plan Build Run Monitor --- Plan Do Check Act
En la mayoriacutea de las empresas el gobierno es responsabilidad del
consejo de administracioacuten bajo el liderazgo de un Presidente
En la mayoriacutea de las empresas la gestioacuten es responsabilidad de la
Direccioacuten Ejecutiva bajo el liderazgo del Director General (CEO)
VICTOR A VASQUEZ M
5 Distinguir entre gobierno y gestioacuten
Modelo de referencia de procesos
P
1
2
34
5
APO02Gestionar la
estrategia
APO03Gestionar la arquitectura empresarial
APO04Gestionar la innovacioacuten
APO05Gestionar el
portafolio
APO06Gestionar el
presupuesto y los costos
APO07Gestionar los
recursos humanos
APO08Gestionar las
relaciones
APO09Gestionar los acuerdos del
servicio
APO10Gestionar los proveedores
APO11Gestionar
calidad
APO12Gestionar el
riesgo
APO13Gestionar la
seguridad
APO01Gestionar el
marco de gestioacuten de TI
PROCESOS PARA EL
GOBIERNO DE TIEVALUAR ORIENTAR Y
MONITOREAR
MEA01Supervisar evaluar
y valorar el rendimiento y cumplimiento
MEA02Supervisar evaluar y valorar el sistema de control interno
MEA03 Supervisar evaluar
y valorar la conformidad con
los requerimientos externos
DSS01Gestionar
operaciones
DSS02 Gestionar las
Peticiones y los Incidentes del
Servicio
DSS03Gestionar los
problemas
DSS04Gestionar la continuidad
DSS05Gestionar los servicios de seguridad
DSS06Gestionar los
controles de los procesos del
negocio
BAI02Gestionar la definicioacuten de
requisitos
BAI03Gestionar la
identificacioacuten y construccioacuten de
soluciones
BAI04Gestionar la
disponibilidad y capacidad
BAI05 Gestionar la
Introduccioacuten de Cambios
Organizativos
BAI06Gestionar los
cambios
BAI07Gestionar la
aceptacioacuten del cambio y la transicioacuten
BAI08Gestionar el
conocimiento
BAI09Gestionar los activos
BAI10Gestionar la
configuracioacuten
BAI01Gestionar
programas y proyectos
Alinear planear y organizar
Construir adquirir e implementar
Entregar dar servicio y soporte
Monitorear evaluar y
valorar
PROCESOS PARA LA GESTIOacuteN DE TI
EDM01 Asegurar el
Establecimiento y Mantenimiento del Marco de Gobierno
EDM02Asegurar la entrega
de beneficios
EDM03Asegurar la
optimizacioacuten de riesgos
EDM04Asegurar la
optimizacioacuten de recursos
EDM05Asegurar la
transparencia hacia las partes interesadas
VICTOR A VASQUEZ M
Resumen del mapeo de COBIT 5
copy 2012 ISACA All rights reserved
VICTOR A VASQUEZ M
VICTOR A VASQUEZ M 7
Importancia de los SI
La informacioacuten que actualmente utilizamos para realizar nuestro trabajo de auditoriacutea se encuentra soportada en los sistema de informacioacuten (ya sea informacioacuten de gestioacuten ERP Bases de Datos etc)
Interfaces
Bases de Datos
Software
Hardware
Comunicaciones
Personas
Infraestructura
Informacioacuten
Aplicaciones
VICTOR A VASQUEZ M
COSO- Actividades de control
8
COSO ndash Commitee of sponsoring organizations of the treadwaycommission ndash
Es una organizacioacuten del sector privado dedicada a mejorar la calidad de los reportes financieros mediante la eacutetica de los negocios un efectivo control interno y gobierno corporativo
COSO Framework
Es un marco integrado de control interno utilizado como base sobre el cual se implementan otros marcos de trabajo complementarios de control de TI como puede ser COBIT
COSO identifica cinco componentes esenciales para un efectivo control interno ambiente de control evaluacioacuten de riesgos actividades de control informacioacuten y comunicacioacuten y monitoreo
VICTOR A VASQUEZ M
COSO- Actividades de control
Ambiente de control (control environment)
Crear ambiente de control en la empresa
Evaluacioacuten de riesgos (risk assessment)
Identificar y analizar riesgos significativos que puedan evitar el alcanzar objetivos
Actividades de control (control activities)
Poliacuteticas procedimientos y praacutecticas que aseguren el logro de objetivos y mitiguen riesgos
Informacioacuten y comunicacioacuten (information amp communication) Identificar informacioacuten relevante y comunicarla a los grupos y niveles adecuados
Monitoreo (monitoring)
Revisioacuten y evaluacioacuten continua de los controles internos
VICTOR A VASQUEZ M
COBIT y el cumplimiento de la ley Sarbanes-Oxley
VICTOR A VASQUEZ M
Implicaciones normativas
11
En respuesta a una serie de fallas de negocios y escaacutendalos corporativos que empezaron con Enron en 2001 El Congreso de los EUA promulgoacute la Ley Sarbanes-Oxley de 2002 (SOX)
SOX introdujo muchas reformas de gobierno corporativo encaminadas a incrementar la confianza de los inversionistas en los mercados de capitales
La Ley ldquoSarbanes-Oxley Actrdquo requiere que las organizaciones seleccionen e implementen un modelo de control interno siendo COSO el modelo maacutes comuacutenmente adoptado
Las empresas registradas en la SEC han descubierto que COSO no provee el detalle suficiente sobre Control de TI
Como resultado la mayoriacutea de las empresas han adoptado COBIT como el modelo de control en TI como parte de su estrategia de cumplimiento con las disposiciones de SOX
VICTOR A VASQUEZ M
Sarbanes-oxley ndashSec 302
12
En respuesta a una serie de fallas de negocios y escaacutendalos corporativos que empezaron con Enron en 2001 El Congreso de los EUA promulgoacute la Ley Sarbanes-Oxley de 2002 (SOX)
SOX introdujo muchas reformas de gobierno corporativo encaminadas a incrementar la confianza de los inversionistas en los mercados de capitales
La Ley ldquoSarbanes-Oxley Actrdquo requiere que las organizaciones seleccionen e implementen un modelo de control interno siendo COSO el modelo maacutes comuacutenmente adoptado
Las empresas registradas en la SEC han descubierto que COSO no provee el detalle suficiente sobre Control de TI
Como resultado la mayoriacutea de las empresas han adoptado COBIT como el modelo de control en TI como parte de su estrategia de cumplimiento con las disposiciones de SOX
VICTOR A VASQUEZ M
Sarbanes-Oxley - Sec 404
La seccioacuten 404 requiere la evaluacioacuten y documentacioacuten por lo menos una vez al antildeo de todos los controles y procedimientos internos implantados que producen la informacioacuten financiera Los controles internes deben de ser documentado y sistemas deben de ser implantados para monitorear la efectividad de estos controles
Se establece la obligacioacuten de mantener poliacuteticas y procedimientos relacionados con la integridad de la informacioacuten y su disponibilidad
El uso de los sistemas de informacioacuten requeriraacute de un control maacutes estricto que preserve la confiabilidad de la informacioacuten que se maneja y que afecta a los reportes financieros de la empresa sin descuidar por supuesto aquellas cuestiones relacionadas con la confidencialidad disponibilidad e integridad de la informacioacuten
VICTOR A VASQUEZ M
Objetivos de control relacionados con SAROX
AI2 Adquirir y mantener software aplicativo
AI3 Adquirir y mantener infraestructura tecnoloacutegica
AI4 Facilitar operacioacuten y uso
AI6 Administrar cambios
AI7 Instalar y acreditar soluciones y cambios
DS1 Definir y administrar los niveles de servicio
DS2 Administrar los servicios de terceros
DS5 Garantizar la seguridad de los sistemas
DS8 Administrar la atencioacuten a usuarios y los incidentes
DS9 Administrar la configuracioacuten
DS10 Administrar los problemas
DS11 Administrar los datos
DS12 Administrar el ambiente fiacutesico
DS13 Administrar las operaciones
Fuente IT Control Objectives for Sarbanes-Oxley IT Governance Institute
VICTOR A VASQUEZ M15
Importancia de los SI en la Auditoriacutea
Aspectos que se deberiacutean tener en cuenta para realizar una auditoriacutea coherente con la relevancia de los Sistemas de Informacioacuten de cada empresa(ya sea realizada por nosotros mismos o bien aspectos que deberemos considerar al momento de revisar el trabajo de otros)
Controles Automaacuteticos
Interfaces Contables
Segregacioacuten de Funciones
Identificar Principales Aplicaciones
Una aplicacioacuten que administra determinadas compras de una empresa y que se comunica con los sistemas contables de la compantildeiacutea
Que debe y puede hacer una persona por las opciones del sistema Tiene un impacto relevante en todos los aplicativos de una compantildeiacutea
Seraacuten aquellos que impacten de forma significativa en los estados contables de la compantildeiacutea
Cuando se quiere realizar una prueba en el sistema de aprobaciones automaacuteticas validacioacuten automaacutetica de indicadores aplicacioacuten de acuerdos comerciales etc
VICTOR A VASQUEZ M16
Metodologiacutea General para la revisioacuten de controles y sistemas de
IT
bullIdentificar el enfoquebullIdentificar principales sistemasbullIdentificar principales riesgosbullMapa de Sistemas e interfaces
Entendimiento
bullRealizacioacuten de TAACs (CAATs)bullRecalculo de procesos
bullFIFObullAmortizacioacutenbullPMPbullVNR
Evaluacioacuten de Controles
Planificacioacuten
bullQue sistemas tiene la empresabullSistema contable (SO DB LP)bullPrincipales InterfacesbullIdentificar Cuentas por SistemabullProveedores (Comun Mantenimetc)
Pruebas Sustantivas
bullRealizar ITGCbullRevisar procesos de NegociobullRevisar controles automaacuteticos
Procedimientos Restantes
1 2
3 4
5
VICTOR A VASQUEZ M17
Metodologiacutea General para la revisioacuten de controles y sistemas de
IT
Entendimiento 1
bullQue sistemas tiene la empresa En la Compantildeiacutea X se identifican los siguientes aplicativos
bull Nomina plus (RRHH) Aplicativo adquirido a la empresa SW con DB SQL Server y desarrollado en VBNet
bull Contaplus (Contabilidad) Aplicativo adquirido a la empresa SW con DB SQL Server y desarrollado en VBNet
bullSistema contable (SO DB LP)bullPrincipales Interfaces Se identifican interfaces con RH y Ventas estas tienen componente automaacuteticobullIdentificar Cuentas por Sistema
bullNominaplus 41000001-200bullContaplus Todas
bullProveedores Los principales proveedores son
bullTelefoccedilonica Comunicaciones
VICTOR A VASQUEZ M18
Algunos de los aspectos a identificar durante estaacute parte del trabajo son temas relacionados con organizacioacuten y administracioacuten de IT
Involucracioacuten de altos mandos Estrategia IT Gestioacuten del coste y la inversioacuten en IT Informes de gestioacuten del funcionamiento IT Gestioacuten a nivel de servicio Conformidad legal y regulatoria Gestioacuten de recursos humanos Informaacutetica a nivel de usuario Gestionar servicios de terceros Contabilidad de activos Gestioacuten de la infraestructura de seguridad Seguridad en descripcioacuten de trabajos y recursos
Metodologiacutea General para la revisioacuten de controles y sistemas de
IT
VICTOR A VASQUEZ M19
Metodologiacutea General para la revisioacuten de controles y sistemas de
IT
bullIdentificar el enfoquebullControlbullSustantivobullMixto
bullIdentificar principales sistemasbullERPbullNoacuteminabullFinancierobullComercial
bullIdentificar principales riesgos Depende directamente del tipo de negocio y objetivos estrateacutegicos de la Compantildeiacutea
bullDependenciasbullInformacioacutenbullCumplimiento LegalbullContinuidad
bullMapa de Sistemas e interfacesbullContabilidad-VentasbullContabilidad-ComprasbullContabilidad-Noacutemina
Planificacioacuten 2
VICTOR A VASQUEZ M20
Evaluacioacuten de Controles
bullRealizar ITGCbullGestioacuten Datos y ProgramasbullGestioacuten de CambiosbullDesarrollo de ProgramasbullOperaciones de ITbullComputacioacuten Usuario Final
bullRevisar procesos de Negocio DepenbullRevisar controles automaacuteticos
3
Metodologiacutea General para la revisioacuten de controles y sistemas de
IT
Acceso a Datos y Programas
Gestioacuten de Cambios
Desarrollo de ProgramasOperaciones de IT
Computacioacuten de Usuario Final
VICTOR A VASQUEZ M21
Metodologiacutea General para la revisioacuten de controles y sistemas de
IT
bullRealizacioacuten de TAACs (CAATs) Teacutecnicas de Auditoriacutea Asistidas por Ordenador
bullCalidad de la informacioacutenbullValidacioacuten de datosbullFacturas duplicadas
bullRecalculo de procesosbullFIFObullAmortizacioacutenbullPMPbullVNR
Pruebas Sustantivas 4H
E
R
R
A
M
I
E
N
T
A
S
D
A
T
A
A
N
A
L
I
S
I
S
S
I
M
U
L
A
C
I
O
N
VICTOR A VASQUEZ M22
Metodologiacutea General para la revisioacuten de controles y sistemas de
IT
VICTOR A VASQUEZ M
Caracteriacutesticas del control
Control
iquestQueacute
iquestQuieacuten
iquestCuaacutendo
FrecuenciaiquestCoacutemo
Evidencia
Riesgo
SalidasEntradas
VICTOR A VASQUEZ M24
Anaacutelisis de Riesgos y su importancia
La probabilidad de que una amenaza se concrete (accidentalmente o intencionalmente de activacioacuten explotar) aprovechando una vulnerabilidad del sistema de informacioacuten y generando un impacto econoacutemico
El impacto econoacutemico generado por el no cumplimiento de una ley o falta de responsabilidad legal
Algunos ejemplos de riesgo de IT son
No autorizada (intencionados o accidentales) la divulgacioacuten modificacioacuten o destruccioacuten de informacioacuten
Errores y omisiones no intencionales
Interrupciones por causas naturales o cataacutestrofes de origen humano
La falta de diligencia en la aplicacioacuten y el funcionamiento del sistema informaacutetico Proveer un nivel razonable de certeza de que los objetivos de cobertura del control interno son alcanzados
Porqueacute es importante
Para que no pase estohellip
VICTOR A VASQUEZ M
ROCA
NINtildeOS
CASA
AMENAZA
Algo que pueda explotar una vulnerabilidad intencional o accidentalmente y ocasionardantildeo o destruccioacuten del activo
Conceptos de riesgo
AMENAZA CONTROLVULNERABILIDAD RIESGO IMPACT0
VICTOR A VASQUEZ M
THREAT
ROCA
NINtildeOS
CASA
Debilidad o brecha que puedeser explotada por una amenaza en contra del activo
VULNERABILIDAD
Conceptos de riesgo
AMENAZA CONTROLVULNERABILIDAD RIESGO IMPACTO
VICTOR A VASQUEZ M
THREAT
ROCA
NINtildeOS
CASA
La peacuterdida dantildeo o destruccioacuten potencial sobre el active como resultado de laexplotacioacuten de vulnerabilidad
RIESGO Desprendimiento de la
piedra y caiacuteda sobre los nintildeos
AMENAZA CONTROLVULNERABILIDAD RIESGO IMPACTO
Conceptos de riesgo
VICTOR A VASQUEZ M
THREAT
ROCA
NINtildeOS
CASA
Cualquier accioacuten que ayude a reducir la probabilidad de que el riesgo ocurra o que ayuda a reducir el impacto si el riesgo ocurre
Conceptos de riesgo
AMENAZA CONTROLVULNERABILIDAD RIESGO IMPACTO
bull Riesgo residual depende del disentildeo y la eficacia
de los controles
IMPA
CT
O
PR
OB
AB
ILID
AD
VICTOR A VASQUEZ M
THREAT
ROCA
NINtildeOS
CASA
iquestCuaacuteles son las consecuencias y coacutemo se miden
Impacto peacuterdida de vidas o
dantildeo en la propiedad
Conceptos de riesgo
AMENAZA CONTROLVULNERABILIDAD RIESGO IMPACTO
VICTOR A VASQUEZ M30
Anaacutelisis de Riesgos y su importancia
VICTOR A VASQUEZ MDiapositiva No 31
Introduccioacuten a COBIT 5
VICTOR A VASQUEZ M
iquestPor queacute se desarrolloacute COBIT 5
El mandato de la Junta Directiva de ISACA ldquoUnir y reforzar todos los activos de conocimiento de ISACA con COBITrdquo
Proporcionar un marco de gobierno y de gestioacuten renovado y con la autoridad necesaria para la informacioacuten empresarial y las tecnologiacuteas relacionadas
Integrar los principales marcos y las guiacuteas de ISACA Alinearse con los principales marcos y estaacutendares en el
mercado
VICTOR A VASQUEZ M
Gobierno Empresarial de TI
COBIT 5
Gobierno
COBIT4041
Administracioacuten
COBIT 3
Control
COBIT 2
La evolucioacuten de COBIT 5
Auditoriacutea
COBIT 1
2005720001998
Evo
luci
oacuten
1996 2012
BMIS(2010)
Val IT 20(2008)
Risk IT(2009)
VICTOR A VASQUEZ M
Motivadores del desarrollo de COBIT 5
Proveer una guiacutea respecto a Arquitectura Empresarial
Gestioacuten de servicios y activos
Modelos organizacionales y de aprovisionamiento emergentes
Innovacioacuten y Tecnologiacuteas emergentes
Responsabilidades de punta a punta de TI y el negocio Controles para soluciones de TI iniciadas o controladas
por usuario Necesidades de las empresas de
Lograr la creacioacuten de valor
Obtener la satisfaccioacuten de los usuarios
Cumplir leyes relevantes regulaciones y poliacuteticas
Mejorar la relacioacuten entre TI y el Negocio
Mejorar el retorno del Gobierno Empresarial de TI
Conectarse y alinearse con otros frameworks y estaacutendares
VICTOR A VASQUEZ M
Beneficios para las empresas
Las Empresas y los Ejecutivos buscan Mantener informacioacuten de alta calidad que soporte las
decisiones del negocio Generar valor para el negocio de las inversiones habilitadas
por TI
Ej Alcanzar los objetivos estrateacutegicos y lograr beneficios a traveacutes del uso efectivo e innovador de la TI
Lograr la excelencia operacional a traveacutes de la aplicacioacuten confiable y eficiente de la tecnologiacutea
Mantener el riesgo relacionado con TI a un nivel aceptable Optimizar el costo de los servicios de TI y la tecnologiacutea
iquestCoacutemo pueden lograrse estos beneficios para crear valor a los stakeholders de una organizacioacuten
VICTOR A VASQUEZ M
Beneficios
COBIT 5
Define como punto inicial de las actividades de gobierno y gestioacuten las necesidades de los stakeholders relacionadas con la TI de la empresa
Crea una vista maacutes holiacutestica integrada y completa del gobierno y la gestioacuten de la TI de la empresa
Crea un lenguaje comuacuten entre TI y el negocio para el gobierno y la gestioacuten de la TI empresarial
Es consistente con estaacutendares de gobierno corporativo generalmente aceptados por lo que ayuda a cumplir los requerimientos regulatorios
copy 2012 ISACA All Rights Reserved
VICTOR A VASQUEZ M
Familia de Productos de COBIT 5
COBIT 5
Otras guiacuteas habilitadoras
COBIT 5 Procesos habilitadores
COBIT 5 Informacioacuten habilitadora
COBIT 5 Guiacuteas profesionales
Otras guiacuteas profesionales
COBIT 5 Implementacioacuten
COBIT 5Para seguridad de informacioacuten
COBIT 5Para riesgos
COBIT 5 ambiente colaborativo en liacutenea
COBIT 5 Guiacuteas habilitadoras
COBIT 5Para aseguramiento
VICTOR A VASQUEZ MDiapositiva No 38
Principios Baacutesicos de COBIT 5
VICTOR A VASQUEZ M
Principios de COBIT 5
Principios de
COBIT 5
1 Satisfacer las
necesidades de las partes interesadas
2 Cubrir la empresa de extremo a extremo
3 Aplicar un marco de referencia
uacutenico integrado
4 Hacer posible un
enfoque holiacutestico
5 Separar gobierno de
la gestioacuten
VICTOR A VASQUEZ M
5 Distinguir entre gobierno y gestioacuten
El gobierno asegura de que las necesidades condiciones y opciones de las partes interesadas
bull Son evaluadas para determinar las metas corporativas a alcanzar considerado que sean equilibradas y consensuadas
bull Establecen la direccioacuten por medio de la priorizacioacuten y la toma de decisiones
bull Mide el rendimiento cumplimiento y progreso contra las directrices y metas acordadas (EDM)
La gestioacuten planea construye ejecuta y monitorealas actividades de manera alineada con las directrices establecidas por el cuerpo de gobierno para el logro de las metas corporativas (PBRM) ndash Plan Build Run Monitor --- Plan Do Check Act
En la mayoriacutea de las empresas el gobierno es responsabilidad del
consejo de administracioacuten bajo el liderazgo de un Presidente
En la mayoriacutea de las empresas la gestioacuten es responsabilidad de la
Direccioacuten Ejecutiva bajo el liderazgo del Director General (CEO)
VICTOR A VASQUEZ M
5 Distinguir entre gobierno y gestioacuten
Modelo de referencia de procesos
P
1
2
34
5
APO02Gestionar la
estrategia
APO03Gestionar la arquitectura empresarial
APO04Gestionar la innovacioacuten
APO05Gestionar el
portafolio
APO06Gestionar el
presupuesto y los costos
APO07Gestionar los
recursos humanos
APO08Gestionar las
relaciones
APO09Gestionar los acuerdos del
servicio
APO10Gestionar los proveedores
APO11Gestionar
calidad
APO12Gestionar el
riesgo
APO13Gestionar la
seguridad
APO01Gestionar el
marco de gestioacuten de TI
PROCESOS PARA EL
GOBIERNO DE TIEVALUAR ORIENTAR Y
MONITOREAR
MEA01Supervisar evaluar
y valorar el rendimiento y cumplimiento
MEA02Supervisar evaluar y valorar el sistema de control interno
MEA03 Supervisar evaluar
y valorar la conformidad con
los requerimientos externos
DSS01Gestionar
operaciones
DSS02 Gestionar las
Peticiones y los Incidentes del
Servicio
DSS03Gestionar los
problemas
DSS04Gestionar la continuidad
DSS05Gestionar los servicios de seguridad
DSS06Gestionar los
controles de los procesos del
negocio
BAI02Gestionar la definicioacuten de
requisitos
BAI03Gestionar la
identificacioacuten y construccioacuten de
soluciones
BAI04Gestionar la
disponibilidad y capacidad
BAI05 Gestionar la
Introduccioacuten de Cambios
Organizativos
BAI06Gestionar los
cambios
BAI07Gestionar la
aceptacioacuten del cambio y la transicioacuten
BAI08Gestionar el
conocimiento
BAI09Gestionar los activos
BAI10Gestionar la
configuracioacuten
BAI01Gestionar
programas y proyectos
Alinear planear y organizar
Construir adquirir e implementar
Entregar dar servicio y soporte
Monitorear evaluar y
valorar
PROCESOS PARA LA GESTIOacuteN DE TI
EDM01 Asegurar el
Establecimiento y Mantenimiento del Marco de Gobierno
EDM02Asegurar la entrega
de beneficios
EDM03Asegurar la
optimizacioacuten de riesgos
EDM04Asegurar la
optimizacioacuten de recursos
EDM05Asegurar la
transparencia hacia las partes interesadas
VICTOR A VASQUEZ M
Resumen del mapeo de COBIT 5
copy 2012 ISACA All rights reserved
VICTOR A VASQUEZ M
VICTOR A VASQUEZ M
COSO- Actividades de control
8
COSO ndash Commitee of sponsoring organizations of the treadwaycommission ndash
Es una organizacioacuten del sector privado dedicada a mejorar la calidad de los reportes financieros mediante la eacutetica de los negocios un efectivo control interno y gobierno corporativo
COSO Framework
Es un marco integrado de control interno utilizado como base sobre el cual se implementan otros marcos de trabajo complementarios de control de TI como puede ser COBIT
COSO identifica cinco componentes esenciales para un efectivo control interno ambiente de control evaluacioacuten de riesgos actividades de control informacioacuten y comunicacioacuten y monitoreo
VICTOR A VASQUEZ M
COSO- Actividades de control
Ambiente de control (control environment)
Crear ambiente de control en la empresa
Evaluacioacuten de riesgos (risk assessment)
Identificar y analizar riesgos significativos que puedan evitar el alcanzar objetivos
Actividades de control (control activities)
Poliacuteticas procedimientos y praacutecticas que aseguren el logro de objetivos y mitiguen riesgos
Informacioacuten y comunicacioacuten (information amp communication) Identificar informacioacuten relevante y comunicarla a los grupos y niveles adecuados
Monitoreo (monitoring)
Revisioacuten y evaluacioacuten continua de los controles internos
VICTOR A VASQUEZ M
COBIT y el cumplimiento de la ley Sarbanes-Oxley
VICTOR A VASQUEZ M
Implicaciones normativas
11
En respuesta a una serie de fallas de negocios y escaacutendalos corporativos que empezaron con Enron en 2001 El Congreso de los EUA promulgoacute la Ley Sarbanes-Oxley de 2002 (SOX)
SOX introdujo muchas reformas de gobierno corporativo encaminadas a incrementar la confianza de los inversionistas en los mercados de capitales
La Ley ldquoSarbanes-Oxley Actrdquo requiere que las organizaciones seleccionen e implementen un modelo de control interno siendo COSO el modelo maacutes comuacutenmente adoptado
Las empresas registradas en la SEC han descubierto que COSO no provee el detalle suficiente sobre Control de TI
Como resultado la mayoriacutea de las empresas han adoptado COBIT como el modelo de control en TI como parte de su estrategia de cumplimiento con las disposiciones de SOX
VICTOR A VASQUEZ M
Sarbanes-oxley ndashSec 302
12
En respuesta a una serie de fallas de negocios y escaacutendalos corporativos que empezaron con Enron en 2001 El Congreso de los EUA promulgoacute la Ley Sarbanes-Oxley de 2002 (SOX)
SOX introdujo muchas reformas de gobierno corporativo encaminadas a incrementar la confianza de los inversionistas en los mercados de capitales
La Ley ldquoSarbanes-Oxley Actrdquo requiere que las organizaciones seleccionen e implementen un modelo de control interno siendo COSO el modelo maacutes comuacutenmente adoptado
Las empresas registradas en la SEC han descubierto que COSO no provee el detalle suficiente sobre Control de TI
Como resultado la mayoriacutea de las empresas han adoptado COBIT como el modelo de control en TI como parte de su estrategia de cumplimiento con las disposiciones de SOX
VICTOR A VASQUEZ M
Sarbanes-Oxley - Sec 404
La seccioacuten 404 requiere la evaluacioacuten y documentacioacuten por lo menos una vez al antildeo de todos los controles y procedimientos internos implantados que producen la informacioacuten financiera Los controles internes deben de ser documentado y sistemas deben de ser implantados para monitorear la efectividad de estos controles
Se establece la obligacioacuten de mantener poliacuteticas y procedimientos relacionados con la integridad de la informacioacuten y su disponibilidad
El uso de los sistemas de informacioacuten requeriraacute de un control maacutes estricto que preserve la confiabilidad de la informacioacuten que se maneja y que afecta a los reportes financieros de la empresa sin descuidar por supuesto aquellas cuestiones relacionadas con la confidencialidad disponibilidad e integridad de la informacioacuten
VICTOR A VASQUEZ M
Objetivos de control relacionados con SAROX
AI2 Adquirir y mantener software aplicativo
AI3 Adquirir y mantener infraestructura tecnoloacutegica
AI4 Facilitar operacioacuten y uso
AI6 Administrar cambios
AI7 Instalar y acreditar soluciones y cambios
DS1 Definir y administrar los niveles de servicio
DS2 Administrar los servicios de terceros
DS5 Garantizar la seguridad de los sistemas
DS8 Administrar la atencioacuten a usuarios y los incidentes
DS9 Administrar la configuracioacuten
DS10 Administrar los problemas
DS11 Administrar los datos
DS12 Administrar el ambiente fiacutesico
DS13 Administrar las operaciones
Fuente IT Control Objectives for Sarbanes-Oxley IT Governance Institute
VICTOR A VASQUEZ M15
Importancia de los SI en la Auditoriacutea
Aspectos que se deberiacutean tener en cuenta para realizar una auditoriacutea coherente con la relevancia de los Sistemas de Informacioacuten de cada empresa(ya sea realizada por nosotros mismos o bien aspectos que deberemos considerar al momento de revisar el trabajo de otros)
Controles Automaacuteticos
Interfaces Contables
Segregacioacuten de Funciones
Identificar Principales Aplicaciones
Una aplicacioacuten que administra determinadas compras de una empresa y que se comunica con los sistemas contables de la compantildeiacutea
Que debe y puede hacer una persona por las opciones del sistema Tiene un impacto relevante en todos los aplicativos de una compantildeiacutea
Seraacuten aquellos que impacten de forma significativa en los estados contables de la compantildeiacutea
Cuando se quiere realizar una prueba en el sistema de aprobaciones automaacuteticas validacioacuten automaacutetica de indicadores aplicacioacuten de acuerdos comerciales etc
VICTOR A VASQUEZ M16
Metodologiacutea General para la revisioacuten de controles y sistemas de
IT
bullIdentificar el enfoquebullIdentificar principales sistemasbullIdentificar principales riesgosbullMapa de Sistemas e interfaces
Entendimiento
bullRealizacioacuten de TAACs (CAATs)bullRecalculo de procesos
bullFIFObullAmortizacioacutenbullPMPbullVNR
Evaluacioacuten de Controles
Planificacioacuten
bullQue sistemas tiene la empresabullSistema contable (SO DB LP)bullPrincipales InterfacesbullIdentificar Cuentas por SistemabullProveedores (Comun Mantenimetc)
Pruebas Sustantivas
bullRealizar ITGCbullRevisar procesos de NegociobullRevisar controles automaacuteticos
Procedimientos Restantes
1 2
3 4
5
VICTOR A VASQUEZ M17
Metodologiacutea General para la revisioacuten de controles y sistemas de
IT
Entendimiento 1
bullQue sistemas tiene la empresa En la Compantildeiacutea X se identifican los siguientes aplicativos
bull Nomina plus (RRHH) Aplicativo adquirido a la empresa SW con DB SQL Server y desarrollado en VBNet
bull Contaplus (Contabilidad) Aplicativo adquirido a la empresa SW con DB SQL Server y desarrollado en VBNet
bullSistema contable (SO DB LP)bullPrincipales Interfaces Se identifican interfaces con RH y Ventas estas tienen componente automaacuteticobullIdentificar Cuentas por Sistema
bullNominaplus 41000001-200bullContaplus Todas
bullProveedores Los principales proveedores son
bullTelefoccedilonica Comunicaciones
VICTOR A VASQUEZ M18
Algunos de los aspectos a identificar durante estaacute parte del trabajo son temas relacionados con organizacioacuten y administracioacuten de IT
Involucracioacuten de altos mandos Estrategia IT Gestioacuten del coste y la inversioacuten en IT Informes de gestioacuten del funcionamiento IT Gestioacuten a nivel de servicio Conformidad legal y regulatoria Gestioacuten de recursos humanos Informaacutetica a nivel de usuario Gestionar servicios de terceros Contabilidad de activos Gestioacuten de la infraestructura de seguridad Seguridad en descripcioacuten de trabajos y recursos
Metodologiacutea General para la revisioacuten de controles y sistemas de
IT
VICTOR A VASQUEZ M19
Metodologiacutea General para la revisioacuten de controles y sistemas de
IT
bullIdentificar el enfoquebullControlbullSustantivobullMixto
bullIdentificar principales sistemasbullERPbullNoacuteminabullFinancierobullComercial
bullIdentificar principales riesgos Depende directamente del tipo de negocio y objetivos estrateacutegicos de la Compantildeiacutea
bullDependenciasbullInformacioacutenbullCumplimiento LegalbullContinuidad
bullMapa de Sistemas e interfacesbullContabilidad-VentasbullContabilidad-ComprasbullContabilidad-Noacutemina
Planificacioacuten 2
VICTOR A VASQUEZ M20
Evaluacioacuten de Controles
bullRealizar ITGCbullGestioacuten Datos y ProgramasbullGestioacuten de CambiosbullDesarrollo de ProgramasbullOperaciones de ITbullComputacioacuten Usuario Final
bullRevisar procesos de Negocio DepenbullRevisar controles automaacuteticos
3
Metodologiacutea General para la revisioacuten de controles y sistemas de
IT
Acceso a Datos y Programas
Gestioacuten de Cambios
Desarrollo de ProgramasOperaciones de IT
Computacioacuten de Usuario Final
VICTOR A VASQUEZ M21
Metodologiacutea General para la revisioacuten de controles y sistemas de
IT
bullRealizacioacuten de TAACs (CAATs) Teacutecnicas de Auditoriacutea Asistidas por Ordenador
bullCalidad de la informacioacutenbullValidacioacuten de datosbullFacturas duplicadas
bullRecalculo de procesosbullFIFObullAmortizacioacutenbullPMPbullVNR
Pruebas Sustantivas 4H
E
R
R
A
M
I
E
N
T
A
S
D
A
T
A
A
N
A
L
I
S
I
S
S
I
M
U
L
A
C
I
O
N
VICTOR A VASQUEZ M22
Metodologiacutea General para la revisioacuten de controles y sistemas de
IT
VICTOR A VASQUEZ M
Caracteriacutesticas del control
Control
iquestQueacute
iquestQuieacuten
iquestCuaacutendo
FrecuenciaiquestCoacutemo
Evidencia
Riesgo
SalidasEntradas
VICTOR A VASQUEZ M24
Anaacutelisis de Riesgos y su importancia
La probabilidad de que una amenaza se concrete (accidentalmente o intencionalmente de activacioacuten explotar) aprovechando una vulnerabilidad del sistema de informacioacuten y generando un impacto econoacutemico
El impacto econoacutemico generado por el no cumplimiento de una ley o falta de responsabilidad legal
Algunos ejemplos de riesgo de IT son
No autorizada (intencionados o accidentales) la divulgacioacuten modificacioacuten o destruccioacuten de informacioacuten
Errores y omisiones no intencionales
Interrupciones por causas naturales o cataacutestrofes de origen humano
La falta de diligencia en la aplicacioacuten y el funcionamiento del sistema informaacutetico Proveer un nivel razonable de certeza de que los objetivos de cobertura del control interno son alcanzados
Porqueacute es importante
Para que no pase estohellip
VICTOR A VASQUEZ M
ROCA
NINtildeOS
CASA
AMENAZA
Algo que pueda explotar una vulnerabilidad intencional o accidentalmente y ocasionardantildeo o destruccioacuten del activo
Conceptos de riesgo
AMENAZA CONTROLVULNERABILIDAD RIESGO IMPACT0
VICTOR A VASQUEZ M
THREAT
ROCA
NINtildeOS
CASA
Debilidad o brecha que puedeser explotada por una amenaza en contra del activo
VULNERABILIDAD
Conceptos de riesgo
AMENAZA CONTROLVULNERABILIDAD RIESGO IMPACTO
VICTOR A VASQUEZ M
THREAT
ROCA
NINtildeOS
CASA
La peacuterdida dantildeo o destruccioacuten potencial sobre el active como resultado de laexplotacioacuten de vulnerabilidad
RIESGO Desprendimiento de la
piedra y caiacuteda sobre los nintildeos
AMENAZA CONTROLVULNERABILIDAD RIESGO IMPACTO
Conceptos de riesgo
VICTOR A VASQUEZ M
THREAT
ROCA
NINtildeOS
CASA
Cualquier accioacuten que ayude a reducir la probabilidad de que el riesgo ocurra o que ayuda a reducir el impacto si el riesgo ocurre
Conceptos de riesgo
AMENAZA CONTROLVULNERABILIDAD RIESGO IMPACTO
bull Riesgo residual depende del disentildeo y la eficacia
de los controles
IMPA
CT
O
PR
OB
AB
ILID
AD
VICTOR A VASQUEZ M
THREAT
ROCA
NINtildeOS
CASA
iquestCuaacuteles son las consecuencias y coacutemo se miden
Impacto peacuterdida de vidas o
dantildeo en la propiedad
Conceptos de riesgo
AMENAZA CONTROLVULNERABILIDAD RIESGO IMPACTO
VICTOR A VASQUEZ M30
Anaacutelisis de Riesgos y su importancia
VICTOR A VASQUEZ MDiapositiva No 31
Introduccioacuten a COBIT 5
VICTOR A VASQUEZ M
iquestPor queacute se desarrolloacute COBIT 5
El mandato de la Junta Directiva de ISACA ldquoUnir y reforzar todos los activos de conocimiento de ISACA con COBITrdquo
Proporcionar un marco de gobierno y de gestioacuten renovado y con la autoridad necesaria para la informacioacuten empresarial y las tecnologiacuteas relacionadas
Integrar los principales marcos y las guiacuteas de ISACA Alinearse con los principales marcos y estaacutendares en el
mercado
VICTOR A VASQUEZ M
Gobierno Empresarial de TI
COBIT 5
Gobierno
COBIT4041
Administracioacuten
COBIT 3
Control
COBIT 2
La evolucioacuten de COBIT 5
Auditoriacutea
COBIT 1
2005720001998
Evo
luci
oacuten
1996 2012
BMIS(2010)
Val IT 20(2008)
Risk IT(2009)
VICTOR A VASQUEZ M
Motivadores del desarrollo de COBIT 5
Proveer una guiacutea respecto a Arquitectura Empresarial
Gestioacuten de servicios y activos
Modelos organizacionales y de aprovisionamiento emergentes
Innovacioacuten y Tecnologiacuteas emergentes
Responsabilidades de punta a punta de TI y el negocio Controles para soluciones de TI iniciadas o controladas
por usuario Necesidades de las empresas de
Lograr la creacioacuten de valor
Obtener la satisfaccioacuten de los usuarios
Cumplir leyes relevantes regulaciones y poliacuteticas
Mejorar la relacioacuten entre TI y el Negocio
Mejorar el retorno del Gobierno Empresarial de TI
Conectarse y alinearse con otros frameworks y estaacutendares
VICTOR A VASQUEZ M
Beneficios para las empresas
Las Empresas y los Ejecutivos buscan Mantener informacioacuten de alta calidad que soporte las
decisiones del negocio Generar valor para el negocio de las inversiones habilitadas
por TI
Ej Alcanzar los objetivos estrateacutegicos y lograr beneficios a traveacutes del uso efectivo e innovador de la TI
Lograr la excelencia operacional a traveacutes de la aplicacioacuten confiable y eficiente de la tecnologiacutea
Mantener el riesgo relacionado con TI a un nivel aceptable Optimizar el costo de los servicios de TI y la tecnologiacutea
iquestCoacutemo pueden lograrse estos beneficios para crear valor a los stakeholders de una organizacioacuten
VICTOR A VASQUEZ M
Beneficios
COBIT 5
Define como punto inicial de las actividades de gobierno y gestioacuten las necesidades de los stakeholders relacionadas con la TI de la empresa
Crea una vista maacutes holiacutestica integrada y completa del gobierno y la gestioacuten de la TI de la empresa
Crea un lenguaje comuacuten entre TI y el negocio para el gobierno y la gestioacuten de la TI empresarial
Es consistente con estaacutendares de gobierno corporativo generalmente aceptados por lo que ayuda a cumplir los requerimientos regulatorios
copy 2012 ISACA All Rights Reserved
VICTOR A VASQUEZ M
Familia de Productos de COBIT 5
COBIT 5
Otras guiacuteas habilitadoras
COBIT 5 Procesos habilitadores
COBIT 5 Informacioacuten habilitadora
COBIT 5 Guiacuteas profesionales
Otras guiacuteas profesionales
COBIT 5 Implementacioacuten
COBIT 5Para seguridad de informacioacuten
COBIT 5Para riesgos
COBIT 5 ambiente colaborativo en liacutenea
COBIT 5 Guiacuteas habilitadoras
COBIT 5Para aseguramiento
VICTOR A VASQUEZ MDiapositiva No 38
Principios Baacutesicos de COBIT 5
VICTOR A VASQUEZ M
Principios de COBIT 5
Principios de
COBIT 5
1 Satisfacer las
necesidades de las partes interesadas
2 Cubrir la empresa de extremo a extremo
3 Aplicar un marco de referencia
uacutenico integrado
4 Hacer posible un
enfoque holiacutestico
5 Separar gobierno de
la gestioacuten
VICTOR A VASQUEZ M
5 Distinguir entre gobierno y gestioacuten
El gobierno asegura de que las necesidades condiciones y opciones de las partes interesadas
bull Son evaluadas para determinar las metas corporativas a alcanzar considerado que sean equilibradas y consensuadas
bull Establecen la direccioacuten por medio de la priorizacioacuten y la toma de decisiones
bull Mide el rendimiento cumplimiento y progreso contra las directrices y metas acordadas (EDM)
La gestioacuten planea construye ejecuta y monitorealas actividades de manera alineada con las directrices establecidas por el cuerpo de gobierno para el logro de las metas corporativas (PBRM) ndash Plan Build Run Monitor --- Plan Do Check Act
En la mayoriacutea de las empresas el gobierno es responsabilidad del
consejo de administracioacuten bajo el liderazgo de un Presidente
En la mayoriacutea de las empresas la gestioacuten es responsabilidad de la
Direccioacuten Ejecutiva bajo el liderazgo del Director General (CEO)
VICTOR A VASQUEZ M
5 Distinguir entre gobierno y gestioacuten
Modelo de referencia de procesos
P
1
2
34
5
APO02Gestionar la
estrategia
APO03Gestionar la arquitectura empresarial
APO04Gestionar la innovacioacuten
APO05Gestionar el
portafolio
APO06Gestionar el
presupuesto y los costos
APO07Gestionar los
recursos humanos
APO08Gestionar las
relaciones
APO09Gestionar los acuerdos del
servicio
APO10Gestionar los proveedores
APO11Gestionar
calidad
APO12Gestionar el
riesgo
APO13Gestionar la
seguridad
APO01Gestionar el
marco de gestioacuten de TI
PROCESOS PARA EL
GOBIERNO DE TIEVALUAR ORIENTAR Y
MONITOREAR
MEA01Supervisar evaluar
y valorar el rendimiento y cumplimiento
MEA02Supervisar evaluar y valorar el sistema de control interno
MEA03 Supervisar evaluar
y valorar la conformidad con
los requerimientos externos
DSS01Gestionar
operaciones
DSS02 Gestionar las
Peticiones y los Incidentes del
Servicio
DSS03Gestionar los
problemas
DSS04Gestionar la continuidad
DSS05Gestionar los servicios de seguridad
DSS06Gestionar los
controles de los procesos del
negocio
BAI02Gestionar la definicioacuten de
requisitos
BAI03Gestionar la
identificacioacuten y construccioacuten de
soluciones
BAI04Gestionar la
disponibilidad y capacidad
BAI05 Gestionar la
Introduccioacuten de Cambios
Organizativos
BAI06Gestionar los
cambios
BAI07Gestionar la
aceptacioacuten del cambio y la transicioacuten
BAI08Gestionar el
conocimiento
BAI09Gestionar los activos
BAI10Gestionar la
configuracioacuten
BAI01Gestionar
programas y proyectos
Alinear planear y organizar
Construir adquirir e implementar
Entregar dar servicio y soporte
Monitorear evaluar y
valorar
PROCESOS PARA LA GESTIOacuteN DE TI
EDM01 Asegurar el
Establecimiento y Mantenimiento del Marco de Gobierno
EDM02Asegurar la entrega
de beneficios
EDM03Asegurar la
optimizacioacuten de riesgos
EDM04Asegurar la
optimizacioacuten de recursos
EDM05Asegurar la
transparencia hacia las partes interesadas
VICTOR A VASQUEZ M
Resumen del mapeo de COBIT 5
copy 2012 ISACA All rights reserved
VICTOR A VASQUEZ M
VICTOR A VASQUEZ M
COSO- Actividades de control
Ambiente de control (control environment)
Crear ambiente de control en la empresa
Evaluacioacuten de riesgos (risk assessment)
Identificar y analizar riesgos significativos que puedan evitar el alcanzar objetivos
Actividades de control (control activities)
Poliacuteticas procedimientos y praacutecticas que aseguren el logro de objetivos y mitiguen riesgos
Informacioacuten y comunicacioacuten (information amp communication) Identificar informacioacuten relevante y comunicarla a los grupos y niveles adecuados
Monitoreo (monitoring)
Revisioacuten y evaluacioacuten continua de los controles internos
VICTOR A VASQUEZ M
COBIT y el cumplimiento de la ley Sarbanes-Oxley
VICTOR A VASQUEZ M
Implicaciones normativas
11
En respuesta a una serie de fallas de negocios y escaacutendalos corporativos que empezaron con Enron en 2001 El Congreso de los EUA promulgoacute la Ley Sarbanes-Oxley de 2002 (SOX)
SOX introdujo muchas reformas de gobierno corporativo encaminadas a incrementar la confianza de los inversionistas en los mercados de capitales
La Ley ldquoSarbanes-Oxley Actrdquo requiere que las organizaciones seleccionen e implementen un modelo de control interno siendo COSO el modelo maacutes comuacutenmente adoptado
Las empresas registradas en la SEC han descubierto que COSO no provee el detalle suficiente sobre Control de TI
Como resultado la mayoriacutea de las empresas han adoptado COBIT como el modelo de control en TI como parte de su estrategia de cumplimiento con las disposiciones de SOX
VICTOR A VASQUEZ M
Sarbanes-oxley ndashSec 302
12
En respuesta a una serie de fallas de negocios y escaacutendalos corporativos que empezaron con Enron en 2001 El Congreso de los EUA promulgoacute la Ley Sarbanes-Oxley de 2002 (SOX)
SOX introdujo muchas reformas de gobierno corporativo encaminadas a incrementar la confianza de los inversionistas en los mercados de capitales
La Ley ldquoSarbanes-Oxley Actrdquo requiere que las organizaciones seleccionen e implementen un modelo de control interno siendo COSO el modelo maacutes comuacutenmente adoptado
Las empresas registradas en la SEC han descubierto que COSO no provee el detalle suficiente sobre Control de TI
Como resultado la mayoriacutea de las empresas han adoptado COBIT como el modelo de control en TI como parte de su estrategia de cumplimiento con las disposiciones de SOX
VICTOR A VASQUEZ M
Sarbanes-Oxley - Sec 404
La seccioacuten 404 requiere la evaluacioacuten y documentacioacuten por lo menos una vez al antildeo de todos los controles y procedimientos internos implantados que producen la informacioacuten financiera Los controles internes deben de ser documentado y sistemas deben de ser implantados para monitorear la efectividad de estos controles
Se establece la obligacioacuten de mantener poliacuteticas y procedimientos relacionados con la integridad de la informacioacuten y su disponibilidad
El uso de los sistemas de informacioacuten requeriraacute de un control maacutes estricto que preserve la confiabilidad de la informacioacuten que se maneja y que afecta a los reportes financieros de la empresa sin descuidar por supuesto aquellas cuestiones relacionadas con la confidencialidad disponibilidad e integridad de la informacioacuten
VICTOR A VASQUEZ M
Objetivos de control relacionados con SAROX
AI2 Adquirir y mantener software aplicativo
AI3 Adquirir y mantener infraestructura tecnoloacutegica
AI4 Facilitar operacioacuten y uso
AI6 Administrar cambios
AI7 Instalar y acreditar soluciones y cambios
DS1 Definir y administrar los niveles de servicio
DS2 Administrar los servicios de terceros
DS5 Garantizar la seguridad de los sistemas
DS8 Administrar la atencioacuten a usuarios y los incidentes
DS9 Administrar la configuracioacuten
DS10 Administrar los problemas
DS11 Administrar los datos
DS12 Administrar el ambiente fiacutesico
DS13 Administrar las operaciones
Fuente IT Control Objectives for Sarbanes-Oxley IT Governance Institute
VICTOR A VASQUEZ M15
Importancia de los SI en la Auditoriacutea
Aspectos que se deberiacutean tener en cuenta para realizar una auditoriacutea coherente con la relevancia de los Sistemas de Informacioacuten de cada empresa(ya sea realizada por nosotros mismos o bien aspectos que deberemos considerar al momento de revisar el trabajo de otros)
Controles Automaacuteticos
Interfaces Contables
Segregacioacuten de Funciones
Identificar Principales Aplicaciones
Una aplicacioacuten que administra determinadas compras de una empresa y que se comunica con los sistemas contables de la compantildeiacutea
Que debe y puede hacer una persona por las opciones del sistema Tiene un impacto relevante en todos los aplicativos de una compantildeiacutea
Seraacuten aquellos que impacten de forma significativa en los estados contables de la compantildeiacutea
Cuando se quiere realizar una prueba en el sistema de aprobaciones automaacuteticas validacioacuten automaacutetica de indicadores aplicacioacuten de acuerdos comerciales etc
VICTOR A VASQUEZ M16
Metodologiacutea General para la revisioacuten de controles y sistemas de
IT
bullIdentificar el enfoquebullIdentificar principales sistemasbullIdentificar principales riesgosbullMapa de Sistemas e interfaces
Entendimiento
bullRealizacioacuten de TAACs (CAATs)bullRecalculo de procesos
bullFIFObullAmortizacioacutenbullPMPbullVNR
Evaluacioacuten de Controles
Planificacioacuten
bullQue sistemas tiene la empresabullSistema contable (SO DB LP)bullPrincipales InterfacesbullIdentificar Cuentas por SistemabullProveedores (Comun Mantenimetc)
Pruebas Sustantivas
bullRealizar ITGCbullRevisar procesos de NegociobullRevisar controles automaacuteticos
Procedimientos Restantes
1 2
3 4
5
VICTOR A VASQUEZ M17
Metodologiacutea General para la revisioacuten de controles y sistemas de
IT
Entendimiento 1
bullQue sistemas tiene la empresa En la Compantildeiacutea X se identifican los siguientes aplicativos
bull Nomina plus (RRHH) Aplicativo adquirido a la empresa SW con DB SQL Server y desarrollado en VBNet
bull Contaplus (Contabilidad) Aplicativo adquirido a la empresa SW con DB SQL Server y desarrollado en VBNet
bullSistema contable (SO DB LP)bullPrincipales Interfaces Se identifican interfaces con RH y Ventas estas tienen componente automaacuteticobullIdentificar Cuentas por Sistema
bullNominaplus 41000001-200bullContaplus Todas
bullProveedores Los principales proveedores son
bullTelefoccedilonica Comunicaciones
VICTOR A VASQUEZ M18
Algunos de los aspectos a identificar durante estaacute parte del trabajo son temas relacionados con organizacioacuten y administracioacuten de IT
Involucracioacuten de altos mandos Estrategia IT Gestioacuten del coste y la inversioacuten en IT Informes de gestioacuten del funcionamiento IT Gestioacuten a nivel de servicio Conformidad legal y regulatoria Gestioacuten de recursos humanos Informaacutetica a nivel de usuario Gestionar servicios de terceros Contabilidad de activos Gestioacuten de la infraestructura de seguridad Seguridad en descripcioacuten de trabajos y recursos
Metodologiacutea General para la revisioacuten de controles y sistemas de
IT
VICTOR A VASQUEZ M19
Metodologiacutea General para la revisioacuten de controles y sistemas de
IT
bullIdentificar el enfoquebullControlbullSustantivobullMixto
bullIdentificar principales sistemasbullERPbullNoacuteminabullFinancierobullComercial
bullIdentificar principales riesgos Depende directamente del tipo de negocio y objetivos estrateacutegicos de la Compantildeiacutea
bullDependenciasbullInformacioacutenbullCumplimiento LegalbullContinuidad
bullMapa de Sistemas e interfacesbullContabilidad-VentasbullContabilidad-ComprasbullContabilidad-Noacutemina
Planificacioacuten 2
VICTOR A VASQUEZ M20
Evaluacioacuten de Controles
bullRealizar ITGCbullGestioacuten Datos y ProgramasbullGestioacuten de CambiosbullDesarrollo de ProgramasbullOperaciones de ITbullComputacioacuten Usuario Final
bullRevisar procesos de Negocio DepenbullRevisar controles automaacuteticos
3
Metodologiacutea General para la revisioacuten de controles y sistemas de
IT
Acceso a Datos y Programas
Gestioacuten de Cambios
Desarrollo de ProgramasOperaciones de IT
Computacioacuten de Usuario Final
VICTOR A VASQUEZ M21
Metodologiacutea General para la revisioacuten de controles y sistemas de
IT
bullRealizacioacuten de TAACs (CAATs) Teacutecnicas de Auditoriacutea Asistidas por Ordenador
bullCalidad de la informacioacutenbullValidacioacuten de datosbullFacturas duplicadas
bullRecalculo de procesosbullFIFObullAmortizacioacutenbullPMPbullVNR
Pruebas Sustantivas 4H
E
R
R
A
M
I
E
N
T
A
S
D
A
T
A
A
N
A
L
I
S
I
S
S
I
M
U
L
A
C
I
O
N
VICTOR A VASQUEZ M22
Metodologiacutea General para la revisioacuten de controles y sistemas de
IT
VICTOR A VASQUEZ M
Caracteriacutesticas del control
Control
iquestQueacute
iquestQuieacuten
iquestCuaacutendo
FrecuenciaiquestCoacutemo
Evidencia
Riesgo
SalidasEntradas
VICTOR A VASQUEZ M24
Anaacutelisis de Riesgos y su importancia
La probabilidad de que una amenaza se concrete (accidentalmente o intencionalmente de activacioacuten explotar) aprovechando una vulnerabilidad del sistema de informacioacuten y generando un impacto econoacutemico
El impacto econoacutemico generado por el no cumplimiento de una ley o falta de responsabilidad legal
Algunos ejemplos de riesgo de IT son
No autorizada (intencionados o accidentales) la divulgacioacuten modificacioacuten o destruccioacuten de informacioacuten
Errores y omisiones no intencionales
Interrupciones por causas naturales o cataacutestrofes de origen humano
La falta de diligencia en la aplicacioacuten y el funcionamiento del sistema informaacutetico Proveer un nivel razonable de certeza de que los objetivos de cobertura del control interno son alcanzados
Porqueacute es importante
Para que no pase estohellip
VICTOR A VASQUEZ M
ROCA
NINtildeOS
CASA
AMENAZA
Algo que pueda explotar una vulnerabilidad intencional o accidentalmente y ocasionardantildeo o destruccioacuten del activo
Conceptos de riesgo
AMENAZA CONTROLVULNERABILIDAD RIESGO IMPACT0
VICTOR A VASQUEZ M
THREAT
ROCA
NINtildeOS
CASA
Debilidad o brecha que puedeser explotada por una amenaza en contra del activo
VULNERABILIDAD
Conceptos de riesgo
AMENAZA CONTROLVULNERABILIDAD RIESGO IMPACTO
VICTOR A VASQUEZ M
THREAT
ROCA
NINtildeOS
CASA
La peacuterdida dantildeo o destruccioacuten potencial sobre el active como resultado de laexplotacioacuten de vulnerabilidad
RIESGO Desprendimiento de la
piedra y caiacuteda sobre los nintildeos
AMENAZA CONTROLVULNERABILIDAD RIESGO IMPACTO
Conceptos de riesgo
VICTOR A VASQUEZ M
THREAT
ROCA
NINtildeOS
CASA
Cualquier accioacuten que ayude a reducir la probabilidad de que el riesgo ocurra o que ayuda a reducir el impacto si el riesgo ocurre
Conceptos de riesgo
AMENAZA CONTROLVULNERABILIDAD RIESGO IMPACTO
bull Riesgo residual depende del disentildeo y la eficacia
de los controles
IMPA
CT
O
PR
OB
AB
ILID
AD
VICTOR A VASQUEZ M
THREAT
ROCA
NINtildeOS
CASA
iquestCuaacuteles son las consecuencias y coacutemo se miden
Impacto peacuterdida de vidas o
dantildeo en la propiedad
Conceptos de riesgo
AMENAZA CONTROLVULNERABILIDAD RIESGO IMPACTO
VICTOR A VASQUEZ M30
Anaacutelisis de Riesgos y su importancia
VICTOR A VASQUEZ MDiapositiva No 31
Introduccioacuten a COBIT 5
VICTOR A VASQUEZ M
iquestPor queacute se desarrolloacute COBIT 5
El mandato de la Junta Directiva de ISACA ldquoUnir y reforzar todos los activos de conocimiento de ISACA con COBITrdquo
Proporcionar un marco de gobierno y de gestioacuten renovado y con la autoridad necesaria para la informacioacuten empresarial y las tecnologiacuteas relacionadas
Integrar los principales marcos y las guiacuteas de ISACA Alinearse con los principales marcos y estaacutendares en el
mercado
VICTOR A VASQUEZ M
Gobierno Empresarial de TI
COBIT 5
Gobierno
COBIT4041
Administracioacuten
COBIT 3
Control
COBIT 2
La evolucioacuten de COBIT 5
Auditoriacutea
COBIT 1
2005720001998
Evo
luci
oacuten
1996 2012
BMIS(2010)
Val IT 20(2008)
Risk IT(2009)
VICTOR A VASQUEZ M
Motivadores del desarrollo de COBIT 5
Proveer una guiacutea respecto a Arquitectura Empresarial
Gestioacuten de servicios y activos
Modelos organizacionales y de aprovisionamiento emergentes
Innovacioacuten y Tecnologiacuteas emergentes
Responsabilidades de punta a punta de TI y el negocio Controles para soluciones de TI iniciadas o controladas
por usuario Necesidades de las empresas de
Lograr la creacioacuten de valor
Obtener la satisfaccioacuten de los usuarios
Cumplir leyes relevantes regulaciones y poliacuteticas
Mejorar la relacioacuten entre TI y el Negocio
Mejorar el retorno del Gobierno Empresarial de TI
Conectarse y alinearse con otros frameworks y estaacutendares
VICTOR A VASQUEZ M
Beneficios para las empresas
Las Empresas y los Ejecutivos buscan Mantener informacioacuten de alta calidad que soporte las
decisiones del negocio Generar valor para el negocio de las inversiones habilitadas
por TI
Ej Alcanzar los objetivos estrateacutegicos y lograr beneficios a traveacutes del uso efectivo e innovador de la TI
Lograr la excelencia operacional a traveacutes de la aplicacioacuten confiable y eficiente de la tecnologiacutea
Mantener el riesgo relacionado con TI a un nivel aceptable Optimizar el costo de los servicios de TI y la tecnologiacutea
iquestCoacutemo pueden lograrse estos beneficios para crear valor a los stakeholders de una organizacioacuten
VICTOR A VASQUEZ M
Beneficios
COBIT 5
Define como punto inicial de las actividades de gobierno y gestioacuten las necesidades de los stakeholders relacionadas con la TI de la empresa
Crea una vista maacutes holiacutestica integrada y completa del gobierno y la gestioacuten de la TI de la empresa
Crea un lenguaje comuacuten entre TI y el negocio para el gobierno y la gestioacuten de la TI empresarial
Es consistente con estaacutendares de gobierno corporativo generalmente aceptados por lo que ayuda a cumplir los requerimientos regulatorios
copy 2012 ISACA All Rights Reserved
VICTOR A VASQUEZ M
Familia de Productos de COBIT 5
COBIT 5
Otras guiacuteas habilitadoras
COBIT 5 Procesos habilitadores
COBIT 5 Informacioacuten habilitadora
COBIT 5 Guiacuteas profesionales
Otras guiacuteas profesionales
COBIT 5 Implementacioacuten
COBIT 5Para seguridad de informacioacuten
COBIT 5Para riesgos
COBIT 5 ambiente colaborativo en liacutenea
COBIT 5 Guiacuteas habilitadoras
COBIT 5Para aseguramiento
VICTOR A VASQUEZ MDiapositiva No 38
Principios Baacutesicos de COBIT 5
VICTOR A VASQUEZ M
Principios de COBIT 5
Principios de
COBIT 5
1 Satisfacer las
necesidades de las partes interesadas
2 Cubrir la empresa de extremo a extremo
3 Aplicar un marco de referencia
uacutenico integrado
4 Hacer posible un
enfoque holiacutestico
5 Separar gobierno de
la gestioacuten
VICTOR A VASQUEZ M
5 Distinguir entre gobierno y gestioacuten
El gobierno asegura de que las necesidades condiciones y opciones de las partes interesadas
bull Son evaluadas para determinar las metas corporativas a alcanzar considerado que sean equilibradas y consensuadas
bull Establecen la direccioacuten por medio de la priorizacioacuten y la toma de decisiones
bull Mide el rendimiento cumplimiento y progreso contra las directrices y metas acordadas (EDM)
La gestioacuten planea construye ejecuta y monitorealas actividades de manera alineada con las directrices establecidas por el cuerpo de gobierno para el logro de las metas corporativas (PBRM) ndash Plan Build Run Monitor --- Plan Do Check Act
En la mayoriacutea de las empresas el gobierno es responsabilidad del
consejo de administracioacuten bajo el liderazgo de un Presidente
En la mayoriacutea de las empresas la gestioacuten es responsabilidad de la
Direccioacuten Ejecutiva bajo el liderazgo del Director General (CEO)
VICTOR A VASQUEZ M
5 Distinguir entre gobierno y gestioacuten
Modelo de referencia de procesos
P
1
2
34
5
APO02Gestionar la
estrategia
APO03Gestionar la arquitectura empresarial
APO04Gestionar la innovacioacuten
APO05Gestionar el
portafolio
APO06Gestionar el
presupuesto y los costos
APO07Gestionar los
recursos humanos
APO08Gestionar las
relaciones
APO09Gestionar los acuerdos del
servicio
APO10Gestionar los proveedores
APO11Gestionar
calidad
APO12Gestionar el
riesgo
APO13Gestionar la
seguridad
APO01Gestionar el
marco de gestioacuten de TI
PROCESOS PARA EL
GOBIERNO DE TIEVALUAR ORIENTAR Y
MONITOREAR
MEA01Supervisar evaluar
y valorar el rendimiento y cumplimiento
MEA02Supervisar evaluar y valorar el sistema de control interno
MEA03 Supervisar evaluar
y valorar la conformidad con
los requerimientos externos
DSS01Gestionar
operaciones
DSS02 Gestionar las
Peticiones y los Incidentes del
Servicio
DSS03Gestionar los
problemas
DSS04Gestionar la continuidad
DSS05Gestionar los servicios de seguridad
DSS06Gestionar los
controles de los procesos del
negocio
BAI02Gestionar la definicioacuten de
requisitos
BAI03Gestionar la
identificacioacuten y construccioacuten de
soluciones
BAI04Gestionar la
disponibilidad y capacidad
BAI05 Gestionar la
Introduccioacuten de Cambios
Organizativos
BAI06Gestionar los
cambios
BAI07Gestionar la
aceptacioacuten del cambio y la transicioacuten
BAI08Gestionar el
conocimiento
BAI09Gestionar los activos
BAI10Gestionar la
configuracioacuten
BAI01Gestionar
programas y proyectos
Alinear planear y organizar
Construir adquirir e implementar
Entregar dar servicio y soporte
Monitorear evaluar y
valorar
PROCESOS PARA LA GESTIOacuteN DE TI
EDM01 Asegurar el
Establecimiento y Mantenimiento del Marco de Gobierno
EDM02Asegurar la entrega
de beneficios
EDM03Asegurar la
optimizacioacuten de riesgos
EDM04Asegurar la
optimizacioacuten de recursos
EDM05Asegurar la
transparencia hacia las partes interesadas
VICTOR A VASQUEZ M
Resumen del mapeo de COBIT 5
copy 2012 ISACA All rights reserved
VICTOR A VASQUEZ M
VICTOR A VASQUEZ M
COBIT y el cumplimiento de la ley Sarbanes-Oxley
VICTOR A VASQUEZ M
Implicaciones normativas
11
En respuesta a una serie de fallas de negocios y escaacutendalos corporativos que empezaron con Enron en 2001 El Congreso de los EUA promulgoacute la Ley Sarbanes-Oxley de 2002 (SOX)
SOX introdujo muchas reformas de gobierno corporativo encaminadas a incrementar la confianza de los inversionistas en los mercados de capitales
La Ley ldquoSarbanes-Oxley Actrdquo requiere que las organizaciones seleccionen e implementen un modelo de control interno siendo COSO el modelo maacutes comuacutenmente adoptado
Las empresas registradas en la SEC han descubierto que COSO no provee el detalle suficiente sobre Control de TI
Como resultado la mayoriacutea de las empresas han adoptado COBIT como el modelo de control en TI como parte de su estrategia de cumplimiento con las disposiciones de SOX
VICTOR A VASQUEZ M
Sarbanes-oxley ndashSec 302
12
En respuesta a una serie de fallas de negocios y escaacutendalos corporativos que empezaron con Enron en 2001 El Congreso de los EUA promulgoacute la Ley Sarbanes-Oxley de 2002 (SOX)
SOX introdujo muchas reformas de gobierno corporativo encaminadas a incrementar la confianza de los inversionistas en los mercados de capitales
La Ley ldquoSarbanes-Oxley Actrdquo requiere que las organizaciones seleccionen e implementen un modelo de control interno siendo COSO el modelo maacutes comuacutenmente adoptado
Las empresas registradas en la SEC han descubierto que COSO no provee el detalle suficiente sobre Control de TI
Como resultado la mayoriacutea de las empresas han adoptado COBIT como el modelo de control en TI como parte de su estrategia de cumplimiento con las disposiciones de SOX
VICTOR A VASQUEZ M
Sarbanes-Oxley - Sec 404
La seccioacuten 404 requiere la evaluacioacuten y documentacioacuten por lo menos una vez al antildeo de todos los controles y procedimientos internos implantados que producen la informacioacuten financiera Los controles internes deben de ser documentado y sistemas deben de ser implantados para monitorear la efectividad de estos controles
Se establece la obligacioacuten de mantener poliacuteticas y procedimientos relacionados con la integridad de la informacioacuten y su disponibilidad
El uso de los sistemas de informacioacuten requeriraacute de un control maacutes estricto que preserve la confiabilidad de la informacioacuten que se maneja y que afecta a los reportes financieros de la empresa sin descuidar por supuesto aquellas cuestiones relacionadas con la confidencialidad disponibilidad e integridad de la informacioacuten
VICTOR A VASQUEZ M
Objetivos de control relacionados con SAROX
AI2 Adquirir y mantener software aplicativo
AI3 Adquirir y mantener infraestructura tecnoloacutegica
AI4 Facilitar operacioacuten y uso
AI6 Administrar cambios
AI7 Instalar y acreditar soluciones y cambios
DS1 Definir y administrar los niveles de servicio
DS2 Administrar los servicios de terceros
DS5 Garantizar la seguridad de los sistemas
DS8 Administrar la atencioacuten a usuarios y los incidentes
DS9 Administrar la configuracioacuten
DS10 Administrar los problemas
DS11 Administrar los datos
DS12 Administrar el ambiente fiacutesico
DS13 Administrar las operaciones
Fuente IT Control Objectives for Sarbanes-Oxley IT Governance Institute
VICTOR A VASQUEZ M15
Importancia de los SI en la Auditoriacutea
Aspectos que se deberiacutean tener en cuenta para realizar una auditoriacutea coherente con la relevancia de los Sistemas de Informacioacuten de cada empresa(ya sea realizada por nosotros mismos o bien aspectos que deberemos considerar al momento de revisar el trabajo de otros)
Controles Automaacuteticos
Interfaces Contables
Segregacioacuten de Funciones
Identificar Principales Aplicaciones
Una aplicacioacuten que administra determinadas compras de una empresa y que se comunica con los sistemas contables de la compantildeiacutea
Que debe y puede hacer una persona por las opciones del sistema Tiene un impacto relevante en todos los aplicativos de una compantildeiacutea
Seraacuten aquellos que impacten de forma significativa en los estados contables de la compantildeiacutea
Cuando se quiere realizar una prueba en el sistema de aprobaciones automaacuteticas validacioacuten automaacutetica de indicadores aplicacioacuten de acuerdos comerciales etc
VICTOR A VASQUEZ M16
Metodologiacutea General para la revisioacuten de controles y sistemas de
IT
bullIdentificar el enfoquebullIdentificar principales sistemasbullIdentificar principales riesgosbullMapa de Sistemas e interfaces
Entendimiento
bullRealizacioacuten de TAACs (CAATs)bullRecalculo de procesos
bullFIFObullAmortizacioacutenbullPMPbullVNR
Evaluacioacuten de Controles
Planificacioacuten
bullQue sistemas tiene la empresabullSistema contable (SO DB LP)bullPrincipales InterfacesbullIdentificar Cuentas por SistemabullProveedores (Comun Mantenimetc)
Pruebas Sustantivas
bullRealizar ITGCbullRevisar procesos de NegociobullRevisar controles automaacuteticos
Procedimientos Restantes
1 2
3 4
5
VICTOR A VASQUEZ M17
Metodologiacutea General para la revisioacuten de controles y sistemas de
IT
Entendimiento 1
bullQue sistemas tiene la empresa En la Compantildeiacutea X se identifican los siguientes aplicativos
bull Nomina plus (RRHH) Aplicativo adquirido a la empresa SW con DB SQL Server y desarrollado en VBNet
bull Contaplus (Contabilidad) Aplicativo adquirido a la empresa SW con DB SQL Server y desarrollado en VBNet
bullSistema contable (SO DB LP)bullPrincipales Interfaces Se identifican interfaces con RH y Ventas estas tienen componente automaacuteticobullIdentificar Cuentas por Sistema
bullNominaplus 41000001-200bullContaplus Todas
bullProveedores Los principales proveedores son
bullTelefoccedilonica Comunicaciones
VICTOR A VASQUEZ M18
Algunos de los aspectos a identificar durante estaacute parte del trabajo son temas relacionados con organizacioacuten y administracioacuten de IT
Involucracioacuten de altos mandos Estrategia IT Gestioacuten del coste y la inversioacuten en IT Informes de gestioacuten del funcionamiento IT Gestioacuten a nivel de servicio Conformidad legal y regulatoria Gestioacuten de recursos humanos Informaacutetica a nivel de usuario Gestionar servicios de terceros Contabilidad de activos Gestioacuten de la infraestructura de seguridad Seguridad en descripcioacuten de trabajos y recursos
Metodologiacutea General para la revisioacuten de controles y sistemas de
IT
VICTOR A VASQUEZ M19
Metodologiacutea General para la revisioacuten de controles y sistemas de
IT
bullIdentificar el enfoquebullControlbullSustantivobullMixto
bullIdentificar principales sistemasbullERPbullNoacuteminabullFinancierobullComercial
bullIdentificar principales riesgos Depende directamente del tipo de negocio y objetivos estrateacutegicos de la Compantildeiacutea
bullDependenciasbullInformacioacutenbullCumplimiento LegalbullContinuidad
bullMapa de Sistemas e interfacesbullContabilidad-VentasbullContabilidad-ComprasbullContabilidad-Noacutemina
Planificacioacuten 2
VICTOR A VASQUEZ M20
Evaluacioacuten de Controles
bullRealizar ITGCbullGestioacuten Datos y ProgramasbullGestioacuten de CambiosbullDesarrollo de ProgramasbullOperaciones de ITbullComputacioacuten Usuario Final
bullRevisar procesos de Negocio DepenbullRevisar controles automaacuteticos
3
Metodologiacutea General para la revisioacuten de controles y sistemas de
IT
Acceso a Datos y Programas
Gestioacuten de Cambios
Desarrollo de ProgramasOperaciones de IT
Computacioacuten de Usuario Final
VICTOR A VASQUEZ M21
Metodologiacutea General para la revisioacuten de controles y sistemas de
IT
bullRealizacioacuten de TAACs (CAATs) Teacutecnicas de Auditoriacutea Asistidas por Ordenador
bullCalidad de la informacioacutenbullValidacioacuten de datosbullFacturas duplicadas
bullRecalculo de procesosbullFIFObullAmortizacioacutenbullPMPbullVNR
Pruebas Sustantivas 4H
E
R
R
A
M
I
E
N
T
A
S
D
A
T
A
A
N
A
L
I
S
I
S
S
I
M
U
L
A
C
I
O
N
VICTOR A VASQUEZ M22
Metodologiacutea General para la revisioacuten de controles y sistemas de
IT
VICTOR A VASQUEZ M
Caracteriacutesticas del control
Control
iquestQueacute
iquestQuieacuten
iquestCuaacutendo
FrecuenciaiquestCoacutemo
Evidencia
Riesgo
SalidasEntradas
VICTOR A VASQUEZ M24
Anaacutelisis de Riesgos y su importancia
La probabilidad de que una amenaza se concrete (accidentalmente o intencionalmente de activacioacuten explotar) aprovechando una vulnerabilidad del sistema de informacioacuten y generando un impacto econoacutemico
El impacto econoacutemico generado por el no cumplimiento de una ley o falta de responsabilidad legal
Algunos ejemplos de riesgo de IT son
No autorizada (intencionados o accidentales) la divulgacioacuten modificacioacuten o destruccioacuten de informacioacuten
Errores y omisiones no intencionales
Interrupciones por causas naturales o cataacutestrofes de origen humano
La falta de diligencia en la aplicacioacuten y el funcionamiento del sistema informaacutetico Proveer un nivel razonable de certeza de que los objetivos de cobertura del control interno son alcanzados
Porqueacute es importante
Para que no pase estohellip
VICTOR A VASQUEZ M
ROCA
NINtildeOS
CASA
AMENAZA
Algo que pueda explotar una vulnerabilidad intencional o accidentalmente y ocasionardantildeo o destruccioacuten del activo
Conceptos de riesgo
AMENAZA CONTROLVULNERABILIDAD RIESGO IMPACT0
VICTOR A VASQUEZ M
THREAT
ROCA
NINtildeOS
CASA
Debilidad o brecha que puedeser explotada por una amenaza en contra del activo
VULNERABILIDAD
Conceptos de riesgo
AMENAZA CONTROLVULNERABILIDAD RIESGO IMPACTO
VICTOR A VASQUEZ M
THREAT
ROCA
NINtildeOS
CASA
La peacuterdida dantildeo o destruccioacuten potencial sobre el active como resultado de laexplotacioacuten de vulnerabilidad
RIESGO Desprendimiento de la
piedra y caiacuteda sobre los nintildeos
AMENAZA CONTROLVULNERABILIDAD RIESGO IMPACTO
Conceptos de riesgo
VICTOR A VASQUEZ M
THREAT
ROCA
NINtildeOS
CASA
Cualquier accioacuten que ayude a reducir la probabilidad de que el riesgo ocurra o que ayuda a reducir el impacto si el riesgo ocurre
Conceptos de riesgo
AMENAZA CONTROLVULNERABILIDAD RIESGO IMPACTO
bull Riesgo residual depende del disentildeo y la eficacia
de los controles
IMPA
CT
O
PR
OB
AB
ILID
AD
VICTOR A VASQUEZ M
THREAT
ROCA
NINtildeOS
CASA
iquestCuaacuteles son las consecuencias y coacutemo se miden
Impacto peacuterdida de vidas o
dantildeo en la propiedad
Conceptos de riesgo
AMENAZA CONTROLVULNERABILIDAD RIESGO IMPACTO
VICTOR A VASQUEZ M30
Anaacutelisis de Riesgos y su importancia
VICTOR A VASQUEZ MDiapositiva No 31
Introduccioacuten a COBIT 5
VICTOR A VASQUEZ M
iquestPor queacute se desarrolloacute COBIT 5
El mandato de la Junta Directiva de ISACA ldquoUnir y reforzar todos los activos de conocimiento de ISACA con COBITrdquo
Proporcionar un marco de gobierno y de gestioacuten renovado y con la autoridad necesaria para la informacioacuten empresarial y las tecnologiacuteas relacionadas
Integrar los principales marcos y las guiacuteas de ISACA Alinearse con los principales marcos y estaacutendares en el
mercado
VICTOR A VASQUEZ M
Gobierno Empresarial de TI
COBIT 5
Gobierno
COBIT4041
Administracioacuten
COBIT 3
Control
COBIT 2
La evolucioacuten de COBIT 5
Auditoriacutea
COBIT 1
2005720001998
Evo
luci
oacuten
1996 2012
BMIS(2010)
Val IT 20(2008)
Risk IT(2009)
VICTOR A VASQUEZ M
Motivadores del desarrollo de COBIT 5
Proveer una guiacutea respecto a Arquitectura Empresarial
Gestioacuten de servicios y activos
Modelos organizacionales y de aprovisionamiento emergentes
Innovacioacuten y Tecnologiacuteas emergentes
Responsabilidades de punta a punta de TI y el negocio Controles para soluciones de TI iniciadas o controladas
por usuario Necesidades de las empresas de
Lograr la creacioacuten de valor
Obtener la satisfaccioacuten de los usuarios
Cumplir leyes relevantes regulaciones y poliacuteticas
Mejorar la relacioacuten entre TI y el Negocio
Mejorar el retorno del Gobierno Empresarial de TI
Conectarse y alinearse con otros frameworks y estaacutendares
VICTOR A VASQUEZ M
Beneficios para las empresas
Las Empresas y los Ejecutivos buscan Mantener informacioacuten de alta calidad que soporte las
decisiones del negocio Generar valor para el negocio de las inversiones habilitadas
por TI
Ej Alcanzar los objetivos estrateacutegicos y lograr beneficios a traveacutes del uso efectivo e innovador de la TI
Lograr la excelencia operacional a traveacutes de la aplicacioacuten confiable y eficiente de la tecnologiacutea
Mantener el riesgo relacionado con TI a un nivel aceptable Optimizar el costo de los servicios de TI y la tecnologiacutea
iquestCoacutemo pueden lograrse estos beneficios para crear valor a los stakeholders de una organizacioacuten
VICTOR A VASQUEZ M
Beneficios
COBIT 5
Define como punto inicial de las actividades de gobierno y gestioacuten las necesidades de los stakeholders relacionadas con la TI de la empresa
Crea una vista maacutes holiacutestica integrada y completa del gobierno y la gestioacuten de la TI de la empresa
Crea un lenguaje comuacuten entre TI y el negocio para el gobierno y la gestioacuten de la TI empresarial
Es consistente con estaacutendares de gobierno corporativo generalmente aceptados por lo que ayuda a cumplir los requerimientos regulatorios
copy 2012 ISACA All Rights Reserved
VICTOR A VASQUEZ M
Familia de Productos de COBIT 5
COBIT 5
Otras guiacuteas habilitadoras
COBIT 5 Procesos habilitadores
COBIT 5 Informacioacuten habilitadora
COBIT 5 Guiacuteas profesionales
Otras guiacuteas profesionales
COBIT 5 Implementacioacuten
COBIT 5Para seguridad de informacioacuten
COBIT 5Para riesgos
COBIT 5 ambiente colaborativo en liacutenea
COBIT 5 Guiacuteas habilitadoras
COBIT 5Para aseguramiento
VICTOR A VASQUEZ MDiapositiva No 38
Principios Baacutesicos de COBIT 5
VICTOR A VASQUEZ M
Principios de COBIT 5
Principios de
COBIT 5
1 Satisfacer las
necesidades de las partes interesadas
2 Cubrir la empresa de extremo a extremo
3 Aplicar un marco de referencia
uacutenico integrado
4 Hacer posible un
enfoque holiacutestico
5 Separar gobierno de
la gestioacuten
VICTOR A VASQUEZ M
5 Distinguir entre gobierno y gestioacuten
El gobierno asegura de que las necesidades condiciones y opciones de las partes interesadas
bull Son evaluadas para determinar las metas corporativas a alcanzar considerado que sean equilibradas y consensuadas
bull Establecen la direccioacuten por medio de la priorizacioacuten y la toma de decisiones
bull Mide el rendimiento cumplimiento y progreso contra las directrices y metas acordadas (EDM)
La gestioacuten planea construye ejecuta y monitorealas actividades de manera alineada con las directrices establecidas por el cuerpo de gobierno para el logro de las metas corporativas (PBRM) ndash Plan Build Run Monitor --- Plan Do Check Act
En la mayoriacutea de las empresas el gobierno es responsabilidad del
consejo de administracioacuten bajo el liderazgo de un Presidente
En la mayoriacutea de las empresas la gestioacuten es responsabilidad de la
Direccioacuten Ejecutiva bajo el liderazgo del Director General (CEO)
VICTOR A VASQUEZ M
5 Distinguir entre gobierno y gestioacuten
Modelo de referencia de procesos
P
1
2
34
5
APO02Gestionar la
estrategia
APO03Gestionar la arquitectura empresarial
APO04Gestionar la innovacioacuten
APO05Gestionar el
portafolio
APO06Gestionar el
presupuesto y los costos
APO07Gestionar los
recursos humanos
APO08Gestionar las
relaciones
APO09Gestionar los acuerdos del
servicio
APO10Gestionar los proveedores
APO11Gestionar
calidad
APO12Gestionar el
riesgo
APO13Gestionar la
seguridad
APO01Gestionar el
marco de gestioacuten de TI
PROCESOS PARA EL
GOBIERNO DE TIEVALUAR ORIENTAR Y
MONITOREAR
MEA01Supervisar evaluar
y valorar el rendimiento y cumplimiento
MEA02Supervisar evaluar y valorar el sistema de control interno
MEA03 Supervisar evaluar
y valorar la conformidad con
los requerimientos externos
DSS01Gestionar
operaciones
DSS02 Gestionar las
Peticiones y los Incidentes del
Servicio
DSS03Gestionar los
problemas
DSS04Gestionar la continuidad
DSS05Gestionar los servicios de seguridad
DSS06Gestionar los
controles de los procesos del
negocio
BAI02Gestionar la definicioacuten de
requisitos
BAI03Gestionar la
identificacioacuten y construccioacuten de
soluciones
BAI04Gestionar la
disponibilidad y capacidad
BAI05 Gestionar la
Introduccioacuten de Cambios
Organizativos
BAI06Gestionar los
cambios
BAI07Gestionar la
aceptacioacuten del cambio y la transicioacuten
BAI08Gestionar el
conocimiento
BAI09Gestionar los activos
BAI10Gestionar la
configuracioacuten
BAI01Gestionar
programas y proyectos
Alinear planear y organizar
Construir adquirir e implementar
Entregar dar servicio y soporte
Monitorear evaluar y
valorar
PROCESOS PARA LA GESTIOacuteN DE TI
EDM01 Asegurar el
Establecimiento y Mantenimiento del Marco de Gobierno
EDM02Asegurar la entrega
de beneficios
EDM03Asegurar la
optimizacioacuten de riesgos
EDM04Asegurar la
optimizacioacuten de recursos
EDM05Asegurar la
transparencia hacia las partes interesadas
VICTOR A VASQUEZ M
Resumen del mapeo de COBIT 5
copy 2012 ISACA All rights reserved
VICTOR A VASQUEZ M
VICTOR A VASQUEZ M
Implicaciones normativas
11
En respuesta a una serie de fallas de negocios y escaacutendalos corporativos que empezaron con Enron en 2001 El Congreso de los EUA promulgoacute la Ley Sarbanes-Oxley de 2002 (SOX)
SOX introdujo muchas reformas de gobierno corporativo encaminadas a incrementar la confianza de los inversionistas en los mercados de capitales
La Ley ldquoSarbanes-Oxley Actrdquo requiere que las organizaciones seleccionen e implementen un modelo de control interno siendo COSO el modelo maacutes comuacutenmente adoptado
Las empresas registradas en la SEC han descubierto que COSO no provee el detalle suficiente sobre Control de TI
Como resultado la mayoriacutea de las empresas han adoptado COBIT como el modelo de control en TI como parte de su estrategia de cumplimiento con las disposiciones de SOX
VICTOR A VASQUEZ M
Sarbanes-oxley ndashSec 302
12
En respuesta a una serie de fallas de negocios y escaacutendalos corporativos que empezaron con Enron en 2001 El Congreso de los EUA promulgoacute la Ley Sarbanes-Oxley de 2002 (SOX)
SOX introdujo muchas reformas de gobierno corporativo encaminadas a incrementar la confianza de los inversionistas en los mercados de capitales
La Ley ldquoSarbanes-Oxley Actrdquo requiere que las organizaciones seleccionen e implementen un modelo de control interno siendo COSO el modelo maacutes comuacutenmente adoptado
Las empresas registradas en la SEC han descubierto que COSO no provee el detalle suficiente sobre Control de TI
Como resultado la mayoriacutea de las empresas han adoptado COBIT como el modelo de control en TI como parte de su estrategia de cumplimiento con las disposiciones de SOX
VICTOR A VASQUEZ M
Sarbanes-Oxley - Sec 404
La seccioacuten 404 requiere la evaluacioacuten y documentacioacuten por lo menos una vez al antildeo de todos los controles y procedimientos internos implantados que producen la informacioacuten financiera Los controles internes deben de ser documentado y sistemas deben de ser implantados para monitorear la efectividad de estos controles
Se establece la obligacioacuten de mantener poliacuteticas y procedimientos relacionados con la integridad de la informacioacuten y su disponibilidad
El uso de los sistemas de informacioacuten requeriraacute de un control maacutes estricto que preserve la confiabilidad de la informacioacuten que se maneja y que afecta a los reportes financieros de la empresa sin descuidar por supuesto aquellas cuestiones relacionadas con la confidencialidad disponibilidad e integridad de la informacioacuten
VICTOR A VASQUEZ M
Objetivos de control relacionados con SAROX
AI2 Adquirir y mantener software aplicativo
AI3 Adquirir y mantener infraestructura tecnoloacutegica
AI4 Facilitar operacioacuten y uso
AI6 Administrar cambios
AI7 Instalar y acreditar soluciones y cambios
DS1 Definir y administrar los niveles de servicio
DS2 Administrar los servicios de terceros
DS5 Garantizar la seguridad de los sistemas
DS8 Administrar la atencioacuten a usuarios y los incidentes
DS9 Administrar la configuracioacuten
DS10 Administrar los problemas
DS11 Administrar los datos
DS12 Administrar el ambiente fiacutesico
DS13 Administrar las operaciones
Fuente IT Control Objectives for Sarbanes-Oxley IT Governance Institute
VICTOR A VASQUEZ M15
Importancia de los SI en la Auditoriacutea
Aspectos que se deberiacutean tener en cuenta para realizar una auditoriacutea coherente con la relevancia de los Sistemas de Informacioacuten de cada empresa(ya sea realizada por nosotros mismos o bien aspectos que deberemos considerar al momento de revisar el trabajo de otros)
Controles Automaacuteticos
Interfaces Contables
Segregacioacuten de Funciones
Identificar Principales Aplicaciones
Una aplicacioacuten que administra determinadas compras de una empresa y que se comunica con los sistemas contables de la compantildeiacutea
Que debe y puede hacer una persona por las opciones del sistema Tiene un impacto relevante en todos los aplicativos de una compantildeiacutea
Seraacuten aquellos que impacten de forma significativa en los estados contables de la compantildeiacutea
Cuando se quiere realizar una prueba en el sistema de aprobaciones automaacuteticas validacioacuten automaacutetica de indicadores aplicacioacuten de acuerdos comerciales etc
VICTOR A VASQUEZ M16
Metodologiacutea General para la revisioacuten de controles y sistemas de
IT
bullIdentificar el enfoquebullIdentificar principales sistemasbullIdentificar principales riesgosbullMapa de Sistemas e interfaces
Entendimiento
bullRealizacioacuten de TAACs (CAATs)bullRecalculo de procesos
bullFIFObullAmortizacioacutenbullPMPbullVNR
Evaluacioacuten de Controles
Planificacioacuten
bullQue sistemas tiene la empresabullSistema contable (SO DB LP)bullPrincipales InterfacesbullIdentificar Cuentas por SistemabullProveedores (Comun Mantenimetc)
Pruebas Sustantivas
bullRealizar ITGCbullRevisar procesos de NegociobullRevisar controles automaacuteticos
Procedimientos Restantes
1 2
3 4
5
VICTOR A VASQUEZ M17
Metodologiacutea General para la revisioacuten de controles y sistemas de
IT
Entendimiento 1
bullQue sistemas tiene la empresa En la Compantildeiacutea X se identifican los siguientes aplicativos
bull Nomina plus (RRHH) Aplicativo adquirido a la empresa SW con DB SQL Server y desarrollado en VBNet
bull Contaplus (Contabilidad) Aplicativo adquirido a la empresa SW con DB SQL Server y desarrollado en VBNet
bullSistema contable (SO DB LP)bullPrincipales Interfaces Se identifican interfaces con RH y Ventas estas tienen componente automaacuteticobullIdentificar Cuentas por Sistema
bullNominaplus 41000001-200bullContaplus Todas
bullProveedores Los principales proveedores son
bullTelefoccedilonica Comunicaciones
VICTOR A VASQUEZ M18
Algunos de los aspectos a identificar durante estaacute parte del trabajo son temas relacionados con organizacioacuten y administracioacuten de IT
Involucracioacuten de altos mandos Estrategia IT Gestioacuten del coste y la inversioacuten en IT Informes de gestioacuten del funcionamiento IT Gestioacuten a nivel de servicio Conformidad legal y regulatoria Gestioacuten de recursos humanos Informaacutetica a nivel de usuario Gestionar servicios de terceros Contabilidad de activos Gestioacuten de la infraestructura de seguridad Seguridad en descripcioacuten de trabajos y recursos
Metodologiacutea General para la revisioacuten de controles y sistemas de
IT
VICTOR A VASQUEZ M19
Metodologiacutea General para la revisioacuten de controles y sistemas de
IT
bullIdentificar el enfoquebullControlbullSustantivobullMixto
bullIdentificar principales sistemasbullERPbullNoacuteminabullFinancierobullComercial
bullIdentificar principales riesgos Depende directamente del tipo de negocio y objetivos estrateacutegicos de la Compantildeiacutea
bullDependenciasbullInformacioacutenbullCumplimiento LegalbullContinuidad
bullMapa de Sistemas e interfacesbullContabilidad-VentasbullContabilidad-ComprasbullContabilidad-Noacutemina
Planificacioacuten 2
VICTOR A VASQUEZ M20
Evaluacioacuten de Controles
bullRealizar ITGCbullGestioacuten Datos y ProgramasbullGestioacuten de CambiosbullDesarrollo de ProgramasbullOperaciones de ITbullComputacioacuten Usuario Final
bullRevisar procesos de Negocio DepenbullRevisar controles automaacuteticos
3
Metodologiacutea General para la revisioacuten de controles y sistemas de
IT
Acceso a Datos y Programas
Gestioacuten de Cambios
Desarrollo de ProgramasOperaciones de IT
Computacioacuten de Usuario Final
VICTOR A VASQUEZ M21
Metodologiacutea General para la revisioacuten de controles y sistemas de
IT
bullRealizacioacuten de TAACs (CAATs) Teacutecnicas de Auditoriacutea Asistidas por Ordenador
bullCalidad de la informacioacutenbullValidacioacuten de datosbullFacturas duplicadas
bullRecalculo de procesosbullFIFObullAmortizacioacutenbullPMPbullVNR
Pruebas Sustantivas 4H
E
R
R
A
M
I
E
N
T
A
S
D
A
T
A
A
N
A
L
I
S
I
S
S
I
M
U
L
A
C
I
O
N
VICTOR A VASQUEZ M22
Metodologiacutea General para la revisioacuten de controles y sistemas de
IT
VICTOR A VASQUEZ M
Caracteriacutesticas del control
Control
iquestQueacute
iquestQuieacuten
iquestCuaacutendo
FrecuenciaiquestCoacutemo
Evidencia
Riesgo
SalidasEntradas
VICTOR A VASQUEZ M24
Anaacutelisis de Riesgos y su importancia
La probabilidad de que una amenaza se concrete (accidentalmente o intencionalmente de activacioacuten explotar) aprovechando una vulnerabilidad del sistema de informacioacuten y generando un impacto econoacutemico
El impacto econoacutemico generado por el no cumplimiento de una ley o falta de responsabilidad legal
Algunos ejemplos de riesgo de IT son
No autorizada (intencionados o accidentales) la divulgacioacuten modificacioacuten o destruccioacuten de informacioacuten
Errores y omisiones no intencionales
Interrupciones por causas naturales o cataacutestrofes de origen humano
La falta de diligencia en la aplicacioacuten y el funcionamiento del sistema informaacutetico Proveer un nivel razonable de certeza de que los objetivos de cobertura del control interno son alcanzados
Porqueacute es importante
Para que no pase estohellip
VICTOR A VASQUEZ M
ROCA
NINtildeOS
CASA
AMENAZA
Algo que pueda explotar una vulnerabilidad intencional o accidentalmente y ocasionardantildeo o destruccioacuten del activo
Conceptos de riesgo
AMENAZA CONTROLVULNERABILIDAD RIESGO IMPACT0
VICTOR A VASQUEZ M
THREAT
ROCA
NINtildeOS
CASA
Debilidad o brecha que puedeser explotada por una amenaza en contra del activo
VULNERABILIDAD
Conceptos de riesgo
AMENAZA CONTROLVULNERABILIDAD RIESGO IMPACTO
VICTOR A VASQUEZ M
THREAT
ROCA
NINtildeOS
CASA
La peacuterdida dantildeo o destruccioacuten potencial sobre el active como resultado de laexplotacioacuten de vulnerabilidad
RIESGO Desprendimiento de la
piedra y caiacuteda sobre los nintildeos
AMENAZA CONTROLVULNERABILIDAD RIESGO IMPACTO
Conceptos de riesgo
VICTOR A VASQUEZ M
THREAT
ROCA
NINtildeOS
CASA
Cualquier accioacuten que ayude a reducir la probabilidad de que el riesgo ocurra o que ayuda a reducir el impacto si el riesgo ocurre
Conceptos de riesgo
AMENAZA CONTROLVULNERABILIDAD RIESGO IMPACTO
bull Riesgo residual depende del disentildeo y la eficacia
de los controles
IMPA
CT
O
PR
OB
AB
ILID
AD
VICTOR A VASQUEZ M
THREAT
ROCA
NINtildeOS
CASA
iquestCuaacuteles son las consecuencias y coacutemo se miden
Impacto peacuterdida de vidas o
dantildeo en la propiedad
Conceptos de riesgo
AMENAZA CONTROLVULNERABILIDAD RIESGO IMPACTO
VICTOR A VASQUEZ M30
Anaacutelisis de Riesgos y su importancia
VICTOR A VASQUEZ MDiapositiva No 31
Introduccioacuten a COBIT 5
VICTOR A VASQUEZ M
iquestPor queacute se desarrolloacute COBIT 5
El mandato de la Junta Directiva de ISACA ldquoUnir y reforzar todos los activos de conocimiento de ISACA con COBITrdquo
Proporcionar un marco de gobierno y de gestioacuten renovado y con la autoridad necesaria para la informacioacuten empresarial y las tecnologiacuteas relacionadas
Integrar los principales marcos y las guiacuteas de ISACA Alinearse con los principales marcos y estaacutendares en el
mercado
VICTOR A VASQUEZ M
Gobierno Empresarial de TI
COBIT 5
Gobierno
COBIT4041
Administracioacuten
COBIT 3
Control
COBIT 2
La evolucioacuten de COBIT 5
Auditoriacutea
COBIT 1
2005720001998
Evo
luci
oacuten
1996 2012
BMIS(2010)
Val IT 20(2008)
Risk IT(2009)
VICTOR A VASQUEZ M
Motivadores del desarrollo de COBIT 5
Proveer una guiacutea respecto a Arquitectura Empresarial
Gestioacuten de servicios y activos
Modelos organizacionales y de aprovisionamiento emergentes
Innovacioacuten y Tecnologiacuteas emergentes
Responsabilidades de punta a punta de TI y el negocio Controles para soluciones de TI iniciadas o controladas
por usuario Necesidades de las empresas de
Lograr la creacioacuten de valor
Obtener la satisfaccioacuten de los usuarios
Cumplir leyes relevantes regulaciones y poliacuteticas
Mejorar la relacioacuten entre TI y el Negocio
Mejorar el retorno del Gobierno Empresarial de TI
Conectarse y alinearse con otros frameworks y estaacutendares
VICTOR A VASQUEZ M
Beneficios para las empresas
Las Empresas y los Ejecutivos buscan Mantener informacioacuten de alta calidad que soporte las
decisiones del negocio Generar valor para el negocio de las inversiones habilitadas
por TI
Ej Alcanzar los objetivos estrateacutegicos y lograr beneficios a traveacutes del uso efectivo e innovador de la TI
Lograr la excelencia operacional a traveacutes de la aplicacioacuten confiable y eficiente de la tecnologiacutea
Mantener el riesgo relacionado con TI a un nivel aceptable Optimizar el costo de los servicios de TI y la tecnologiacutea
iquestCoacutemo pueden lograrse estos beneficios para crear valor a los stakeholders de una organizacioacuten
VICTOR A VASQUEZ M
Beneficios
COBIT 5
Define como punto inicial de las actividades de gobierno y gestioacuten las necesidades de los stakeholders relacionadas con la TI de la empresa
Crea una vista maacutes holiacutestica integrada y completa del gobierno y la gestioacuten de la TI de la empresa
Crea un lenguaje comuacuten entre TI y el negocio para el gobierno y la gestioacuten de la TI empresarial
Es consistente con estaacutendares de gobierno corporativo generalmente aceptados por lo que ayuda a cumplir los requerimientos regulatorios
copy 2012 ISACA All Rights Reserved
VICTOR A VASQUEZ M
Familia de Productos de COBIT 5
COBIT 5
Otras guiacuteas habilitadoras
COBIT 5 Procesos habilitadores
COBIT 5 Informacioacuten habilitadora
COBIT 5 Guiacuteas profesionales
Otras guiacuteas profesionales
COBIT 5 Implementacioacuten
COBIT 5Para seguridad de informacioacuten
COBIT 5Para riesgos
COBIT 5 ambiente colaborativo en liacutenea
COBIT 5 Guiacuteas habilitadoras
COBIT 5Para aseguramiento
VICTOR A VASQUEZ MDiapositiva No 38
Principios Baacutesicos de COBIT 5
VICTOR A VASQUEZ M
Principios de COBIT 5
Principios de
COBIT 5
1 Satisfacer las
necesidades de las partes interesadas
2 Cubrir la empresa de extremo a extremo
3 Aplicar un marco de referencia
uacutenico integrado
4 Hacer posible un
enfoque holiacutestico
5 Separar gobierno de
la gestioacuten
VICTOR A VASQUEZ M
5 Distinguir entre gobierno y gestioacuten
El gobierno asegura de que las necesidades condiciones y opciones de las partes interesadas
bull Son evaluadas para determinar las metas corporativas a alcanzar considerado que sean equilibradas y consensuadas
bull Establecen la direccioacuten por medio de la priorizacioacuten y la toma de decisiones
bull Mide el rendimiento cumplimiento y progreso contra las directrices y metas acordadas (EDM)
La gestioacuten planea construye ejecuta y monitorealas actividades de manera alineada con las directrices establecidas por el cuerpo de gobierno para el logro de las metas corporativas (PBRM) ndash Plan Build Run Monitor --- Plan Do Check Act
En la mayoriacutea de las empresas el gobierno es responsabilidad del
consejo de administracioacuten bajo el liderazgo de un Presidente
En la mayoriacutea de las empresas la gestioacuten es responsabilidad de la
Direccioacuten Ejecutiva bajo el liderazgo del Director General (CEO)
VICTOR A VASQUEZ M
5 Distinguir entre gobierno y gestioacuten
Modelo de referencia de procesos
P
1
2
34
5
APO02Gestionar la
estrategia
APO03Gestionar la arquitectura empresarial
APO04Gestionar la innovacioacuten
APO05Gestionar el
portafolio
APO06Gestionar el
presupuesto y los costos
APO07Gestionar los
recursos humanos
APO08Gestionar las
relaciones
APO09Gestionar los acuerdos del
servicio
APO10Gestionar los proveedores
APO11Gestionar
calidad
APO12Gestionar el
riesgo
APO13Gestionar la
seguridad
APO01Gestionar el
marco de gestioacuten de TI
PROCESOS PARA EL
GOBIERNO DE TIEVALUAR ORIENTAR Y
MONITOREAR
MEA01Supervisar evaluar
y valorar el rendimiento y cumplimiento
MEA02Supervisar evaluar y valorar el sistema de control interno
MEA03 Supervisar evaluar
y valorar la conformidad con
los requerimientos externos
DSS01Gestionar
operaciones
DSS02 Gestionar las
Peticiones y los Incidentes del
Servicio
DSS03Gestionar los
problemas
DSS04Gestionar la continuidad
DSS05Gestionar los servicios de seguridad
DSS06Gestionar los
controles de los procesos del
negocio
BAI02Gestionar la definicioacuten de
requisitos
BAI03Gestionar la
identificacioacuten y construccioacuten de
soluciones
BAI04Gestionar la
disponibilidad y capacidad
BAI05 Gestionar la
Introduccioacuten de Cambios
Organizativos
BAI06Gestionar los
cambios
BAI07Gestionar la
aceptacioacuten del cambio y la transicioacuten
BAI08Gestionar el
conocimiento
BAI09Gestionar los activos
BAI10Gestionar la
configuracioacuten
BAI01Gestionar
programas y proyectos
Alinear planear y organizar
Construir adquirir e implementar
Entregar dar servicio y soporte
Monitorear evaluar y
valorar
PROCESOS PARA LA GESTIOacuteN DE TI
EDM01 Asegurar el
Establecimiento y Mantenimiento del Marco de Gobierno
EDM02Asegurar la entrega
de beneficios
EDM03Asegurar la
optimizacioacuten de riesgos
EDM04Asegurar la
optimizacioacuten de recursos
EDM05Asegurar la
transparencia hacia las partes interesadas
VICTOR A VASQUEZ M
Resumen del mapeo de COBIT 5
copy 2012 ISACA All rights reserved
VICTOR A VASQUEZ M
VICTOR A VASQUEZ M
Sarbanes-oxley ndashSec 302
12
En respuesta a una serie de fallas de negocios y escaacutendalos corporativos que empezaron con Enron en 2001 El Congreso de los EUA promulgoacute la Ley Sarbanes-Oxley de 2002 (SOX)
SOX introdujo muchas reformas de gobierno corporativo encaminadas a incrementar la confianza de los inversionistas en los mercados de capitales
La Ley ldquoSarbanes-Oxley Actrdquo requiere que las organizaciones seleccionen e implementen un modelo de control interno siendo COSO el modelo maacutes comuacutenmente adoptado
Las empresas registradas en la SEC han descubierto que COSO no provee el detalle suficiente sobre Control de TI
Como resultado la mayoriacutea de las empresas han adoptado COBIT como el modelo de control en TI como parte de su estrategia de cumplimiento con las disposiciones de SOX
VICTOR A VASQUEZ M
Sarbanes-Oxley - Sec 404
La seccioacuten 404 requiere la evaluacioacuten y documentacioacuten por lo menos una vez al antildeo de todos los controles y procedimientos internos implantados que producen la informacioacuten financiera Los controles internes deben de ser documentado y sistemas deben de ser implantados para monitorear la efectividad de estos controles
Se establece la obligacioacuten de mantener poliacuteticas y procedimientos relacionados con la integridad de la informacioacuten y su disponibilidad
El uso de los sistemas de informacioacuten requeriraacute de un control maacutes estricto que preserve la confiabilidad de la informacioacuten que se maneja y que afecta a los reportes financieros de la empresa sin descuidar por supuesto aquellas cuestiones relacionadas con la confidencialidad disponibilidad e integridad de la informacioacuten
VICTOR A VASQUEZ M
Objetivos de control relacionados con SAROX
AI2 Adquirir y mantener software aplicativo
AI3 Adquirir y mantener infraestructura tecnoloacutegica
AI4 Facilitar operacioacuten y uso
AI6 Administrar cambios
AI7 Instalar y acreditar soluciones y cambios
DS1 Definir y administrar los niveles de servicio
DS2 Administrar los servicios de terceros
DS5 Garantizar la seguridad de los sistemas
DS8 Administrar la atencioacuten a usuarios y los incidentes
DS9 Administrar la configuracioacuten
DS10 Administrar los problemas
DS11 Administrar los datos
DS12 Administrar el ambiente fiacutesico
DS13 Administrar las operaciones
Fuente IT Control Objectives for Sarbanes-Oxley IT Governance Institute
VICTOR A VASQUEZ M15
Importancia de los SI en la Auditoriacutea
Aspectos que se deberiacutean tener en cuenta para realizar una auditoriacutea coherente con la relevancia de los Sistemas de Informacioacuten de cada empresa(ya sea realizada por nosotros mismos o bien aspectos que deberemos considerar al momento de revisar el trabajo de otros)
Controles Automaacuteticos
Interfaces Contables
Segregacioacuten de Funciones
Identificar Principales Aplicaciones
Una aplicacioacuten que administra determinadas compras de una empresa y que se comunica con los sistemas contables de la compantildeiacutea
Que debe y puede hacer una persona por las opciones del sistema Tiene un impacto relevante en todos los aplicativos de una compantildeiacutea
Seraacuten aquellos que impacten de forma significativa en los estados contables de la compantildeiacutea
Cuando se quiere realizar una prueba en el sistema de aprobaciones automaacuteticas validacioacuten automaacutetica de indicadores aplicacioacuten de acuerdos comerciales etc
VICTOR A VASQUEZ M16
Metodologiacutea General para la revisioacuten de controles y sistemas de
IT
bullIdentificar el enfoquebullIdentificar principales sistemasbullIdentificar principales riesgosbullMapa de Sistemas e interfaces
Entendimiento
bullRealizacioacuten de TAACs (CAATs)bullRecalculo de procesos
bullFIFObullAmortizacioacutenbullPMPbullVNR
Evaluacioacuten de Controles
Planificacioacuten
bullQue sistemas tiene la empresabullSistema contable (SO DB LP)bullPrincipales InterfacesbullIdentificar Cuentas por SistemabullProveedores (Comun Mantenimetc)
Pruebas Sustantivas
bullRealizar ITGCbullRevisar procesos de NegociobullRevisar controles automaacuteticos
Procedimientos Restantes
1 2
3 4
5
VICTOR A VASQUEZ M17
Metodologiacutea General para la revisioacuten de controles y sistemas de
IT
Entendimiento 1
bullQue sistemas tiene la empresa En la Compantildeiacutea X se identifican los siguientes aplicativos
bull Nomina plus (RRHH) Aplicativo adquirido a la empresa SW con DB SQL Server y desarrollado en VBNet
bull Contaplus (Contabilidad) Aplicativo adquirido a la empresa SW con DB SQL Server y desarrollado en VBNet
bullSistema contable (SO DB LP)bullPrincipales Interfaces Se identifican interfaces con RH y Ventas estas tienen componente automaacuteticobullIdentificar Cuentas por Sistema
bullNominaplus 41000001-200bullContaplus Todas
bullProveedores Los principales proveedores son
bullTelefoccedilonica Comunicaciones
VICTOR A VASQUEZ M18
Algunos de los aspectos a identificar durante estaacute parte del trabajo son temas relacionados con organizacioacuten y administracioacuten de IT
Involucracioacuten de altos mandos Estrategia IT Gestioacuten del coste y la inversioacuten en IT Informes de gestioacuten del funcionamiento IT Gestioacuten a nivel de servicio Conformidad legal y regulatoria Gestioacuten de recursos humanos Informaacutetica a nivel de usuario Gestionar servicios de terceros Contabilidad de activos Gestioacuten de la infraestructura de seguridad Seguridad en descripcioacuten de trabajos y recursos
Metodologiacutea General para la revisioacuten de controles y sistemas de
IT
VICTOR A VASQUEZ M19
Metodologiacutea General para la revisioacuten de controles y sistemas de
IT
bullIdentificar el enfoquebullControlbullSustantivobullMixto
bullIdentificar principales sistemasbullERPbullNoacuteminabullFinancierobullComercial
bullIdentificar principales riesgos Depende directamente del tipo de negocio y objetivos estrateacutegicos de la Compantildeiacutea
bullDependenciasbullInformacioacutenbullCumplimiento LegalbullContinuidad
bullMapa de Sistemas e interfacesbullContabilidad-VentasbullContabilidad-ComprasbullContabilidad-Noacutemina
Planificacioacuten 2
VICTOR A VASQUEZ M20
Evaluacioacuten de Controles
bullRealizar ITGCbullGestioacuten Datos y ProgramasbullGestioacuten de CambiosbullDesarrollo de ProgramasbullOperaciones de ITbullComputacioacuten Usuario Final
bullRevisar procesos de Negocio DepenbullRevisar controles automaacuteticos
3
Metodologiacutea General para la revisioacuten de controles y sistemas de
IT
Acceso a Datos y Programas
Gestioacuten de Cambios
Desarrollo de ProgramasOperaciones de IT
Computacioacuten de Usuario Final
VICTOR A VASQUEZ M21
Metodologiacutea General para la revisioacuten de controles y sistemas de
IT
bullRealizacioacuten de TAACs (CAATs) Teacutecnicas de Auditoriacutea Asistidas por Ordenador
bullCalidad de la informacioacutenbullValidacioacuten de datosbullFacturas duplicadas
bullRecalculo de procesosbullFIFObullAmortizacioacutenbullPMPbullVNR
Pruebas Sustantivas 4H
E
R
R
A
M
I
E
N
T
A
S
D
A
T
A
A
N
A
L
I
S
I
S
S
I
M
U
L
A
C
I
O
N
VICTOR A VASQUEZ M22
Metodologiacutea General para la revisioacuten de controles y sistemas de
IT
VICTOR A VASQUEZ M
Caracteriacutesticas del control
Control
iquestQueacute
iquestQuieacuten
iquestCuaacutendo
FrecuenciaiquestCoacutemo
Evidencia
Riesgo
SalidasEntradas
VICTOR A VASQUEZ M24
Anaacutelisis de Riesgos y su importancia
La probabilidad de que una amenaza se concrete (accidentalmente o intencionalmente de activacioacuten explotar) aprovechando una vulnerabilidad del sistema de informacioacuten y generando un impacto econoacutemico
El impacto econoacutemico generado por el no cumplimiento de una ley o falta de responsabilidad legal
Algunos ejemplos de riesgo de IT son
No autorizada (intencionados o accidentales) la divulgacioacuten modificacioacuten o destruccioacuten de informacioacuten
Errores y omisiones no intencionales
Interrupciones por causas naturales o cataacutestrofes de origen humano
La falta de diligencia en la aplicacioacuten y el funcionamiento del sistema informaacutetico Proveer un nivel razonable de certeza de que los objetivos de cobertura del control interno son alcanzados
Porqueacute es importante
Para que no pase estohellip
VICTOR A VASQUEZ M
ROCA
NINtildeOS
CASA
AMENAZA
Algo que pueda explotar una vulnerabilidad intencional o accidentalmente y ocasionardantildeo o destruccioacuten del activo
Conceptos de riesgo
AMENAZA CONTROLVULNERABILIDAD RIESGO IMPACT0
VICTOR A VASQUEZ M
THREAT
ROCA
NINtildeOS
CASA
Debilidad o brecha que puedeser explotada por una amenaza en contra del activo
VULNERABILIDAD
Conceptos de riesgo
AMENAZA CONTROLVULNERABILIDAD RIESGO IMPACTO
VICTOR A VASQUEZ M
THREAT
ROCA
NINtildeOS
CASA
La peacuterdida dantildeo o destruccioacuten potencial sobre el active como resultado de laexplotacioacuten de vulnerabilidad
RIESGO Desprendimiento de la
piedra y caiacuteda sobre los nintildeos
AMENAZA CONTROLVULNERABILIDAD RIESGO IMPACTO
Conceptos de riesgo
VICTOR A VASQUEZ M
THREAT
ROCA
NINtildeOS
CASA
Cualquier accioacuten que ayude a reducir la probabilidad de que el riesgo ocurra o que ayuda a reducir el impacto si el riesgo ocurre
Conceptos de riesgo
AMENAZA CONTROLVULNERABILIDAD RIESGO IMPACTO
bull Riesgo residual depende del disentildeo y la eficacia
de los controles
IMPA
CT
O
PR
OB
AB
ILID
AD
VICTOR A VASQUEZ M
THREAT
ROCA
NINtildeOS
CASA
iquestCuaacuteles son las consecuencias y coacutemo se miden
Impacto peacuterdida de vidas o
dantildeo en la propiedad
Conceptos de riesgo
AMENAZA CONTROLVULNERABILIDAD RIESGO IMPACTO
VICTOR A VASQUEZ M30
Anaacutelisis de Riesgos y su importancia
VICTOR A VASQUEZ MDiapositiva No 31
Introduccioacuten a COBIT 5
VICTOR A VASQUEZ M
iquestPor queacute se desarrolloacute COBIT 5
El mandato de la Junta Directiva de ISACA ldquoUnir y reforzar todos los activos de conocimiento de ISACA con COBITrdquo
Proporcionar un marco de gobierno y de gestioacuten renovado y con la autoridad necesaria para la informacioacuten empresarial y las tecnologiacuteas relacionadas
Integrar los principales marcos y las guiacuteas de ISACA Alinearse con los principales marcos y estaacutendares en el
mercado
VICTOR A VASQUEZ M
Gobierno Empresarial de TI
COBIT 5
Gobierno
COBIT4041
Administracioacuten
COBIT 3
Control
COBIT 2
La evolucioacuten de COBIT 5
Auditoriacutea
COBIT 1
2005720001998
Evo
luci
oacuten
1996 2012
BMIS(2010)
Val IT 20(2008)
Risk IT(2009)
VICTOR A VASQUEZ M
Motivadores del desarrollo de COBIT 5
Proveer una guiacutea respecto a Arquitectura Empresarial
Gestioacuten de servicios y activos
Modelos organizacionales y de aprovisionamiento emergentes
Innovacioacuten y Tecnologiacuteas emergentes
Responsabilidades de punta a punta de TI y el negocio Controles para soluciones de TI iniciadas o controladas
por usuario Necesidades de las empresas de
Lograr la creacioacuten de valor
Obtener la satisfaccioacuten de los usuarios
Cumplir leyes relevantes regulaciones y poliacuteticas
Mejorar la relacioacuten entre TI y el Negocio
Mejorar el retorno del Gobierno Empresarial de TI
Conectarse y alinearse con otros frameworks y estaacutendares
VICTOR A VASQUEZ M
Beneficios para las empresas
Las Empresas y los Ejecutivos buscan Mantener informacioacuten de alta calidad que soporte las
decisiones del negocio Generar valor para el negocio de las inversiones habilitadas
por TI
Ej Alcanzar los objetivos estrateacutegicos y lograr beneficios a traveacutes del uso efectivo e innovador de la TI
Lograr la excelencia operacional a traveacutes de la aplicacioacuten confiable y eficiente de la tecnologiacutea
Mantener el riesgo relacionado con TI a un nivel aceptable Optimizar el costo de los servicios de TI y la tecnologiacutea
iquestCoacutemo pueden lograrse estos beneficios para crear valor a los stakeholders de una organizacioacuten
VICTOR A VASQUEZ M
Beneficios
COBIT 5
Define como punto inicial de las actividades de gobierno y gestioacuten las necesidades de los stakeholders relacionadas con la TI de la empresa
Crea una vista maacutes holiacutestica integrada y completa del gobierno y la gestioacuten de la TI de la empresa
Crea un lenguaje comuacuten entre TI y el negocio para el gobierno y la gestioacuten de la TI empresarial
Es consistente con estaacutendares de gobierno corporativo generalmente aceptados por lo que ayuda a cumplir los requerimientos regulatorios
copy 2012 ISACA All Rights Reserved
VICTOR A VASQUEZ M
Familia de Productos de COBIT 5
COBIT 5
Otras guiacuteas habilitadoras
COBIT 5 Procesos habilitadores
COBIT 5 Informacioacuten habilitadora
COBIT 5 Guiacuteas profesionales
Otras guiacuteas profesionales
COBIT 5 Implementacioacuten
COBIT 5Para seguridad de informacioacuten
COBIT 5Para riesgos
COBIT 5 ambiente colaborativo en liacutenea
COBIT 5 Guiacuteas habilitadoras
COBIT 5Para aseguramiento
VICTOR A VASQUEZ MDiapositiva No 38
Principios Baacutesicos de COBIT 5
VICTOR A VASQUEZ M
Principios de COBIT 5
Principios de
COBIT 5
1 Satisfacer las
necesidades de las partes interesadas
2 Cubrir la empresa de extremo a extremo
3 Aplicar un marco de referencia
uacutenico integrado
4 Hacer posible un
enfoque holiacutestico
5 Separar gobierno de
la gestioacuten
VICTOR A VASQUEZ M
5 Distinguir entre gobierno y gestioacuten
El gobierno asegura de que las necesidades condiciones y opciones de las partes interesadas
bull Son evaluadas para determinar las metas corporativas a alcanzar considerado que sean equilibradas y consensuadas
bull Establecen la direccioacuten por medio de la priorizacioacuten y la toma de decisiones
bull Mide el rendimiento cumplimiento y progreso contra las directrices y metas acordadas (EDM)
La gestioacuten planea construye ejecuta y monitorealas actividades de manera alineada con las directrices establecidas por el cuerpo de gobierno para el logro de las metas corporativas (PBRM) ndash Plan Build Run Monitor --- Plan Do Check Act
En la mayoriacutea de las empresas el gobierno es responsabilidad del
consejo de administracioacuten bajo el liderazgo de un Presidente
En la mayoriacutea de las empresas la gestioacuten es responsabilidad de la
Direccioacuten Ejecutiva bajo el liderazgo del Director General (CEO)
VICTOR A VASQUEZ M
5 Distinguir entre gobierno y gestioacuten
Modelo de referencia de procesos
P
1
2
34
5
APO02Gestionar la
estrategia
APO03Gestionar la arquitectura empresarial
APO04Gestionar la innovacioacuten
APO05Gestionar el
portafolio
APO06Gestionar el
presupuesto y los costos
APO07Gestionar los
recursos humanos
APO08Gestionar las
relaciones
APO09Gestionar los acuerdos del
servicio
APO10Gestionar los proveedores
APO11Gestionar
calidad
APO12Gestionar el
riesgo
APO13Gestionar la
seguridad
APO01Gestionar el
marco de gestioacuten de TI
PROCESOS PARA EL
GOBIERNO DE TIEVALUAR ORIENTAR Y
MONITOREAR
MEA01Supervisar evaluar
y valorar el rendimiento y cumplimiento
MEA02Supervisar evaluar y valorar el sistema de control interno
MEA03 Supervisar evaluar
y valorar la conformidad con
los requerimientos externos
DSS01Gestionar
operaciones
DSS02 Gestionar las
Peticiones y los Incidentes del
Servicio
DSS03Gestionar los
problemas
DSS04Gestionar la continuidad
DSS05Gestionar los servicios de seguridad
DSS06Gestionar los
controles de los procesos del
negocio
BAI02Gestionar la definicioacuten de
requisitos
BAI03Gestionar la
identificacioacuten y construccioacuten de
soluciones
BAI04Gestionar la
disponibilidad y capacidad
BAI05 Gestionar la
Introduccioacuten de Cambios
Organizativos
BAI06Gestionar los
cambios
BAI07Gestionar la
aceptacioacuten del cambio y la transicioacuten
BAI08Gestionar el
conocimiento
BAI09Gestionar los activos
BAI10Gestionar la
configuracioacuten
BAI01Gestionar
programas y proyectos
Alinear planear y organizar
Construir adquirir e implementar
Entregar dar servicio y soporte
Monitorear evaluar y
valorar
PROCESOS PARA LA GESTIOacuteN DE TI
EDM01 Asegurar el
Establecimiento y Mantenimiento del Marco de Gobierno
EDM02Asegurar la entrega
de beneficios
EDM03Asegurar la
optimizacioacuten de riesgos
EDM04Asegurar la
optimizacioacuten de recursos
EDM05Asegurar la
transparencia hacia las partes interesadas
VICTOR A VASQUEZ M
Resumen del mapeo de COBIT 5
copy 2012 ISACA All rights reserved
VICTOR A VASQUEZ M
VICTOR A VASQUEZ M
Sarbanes-Oxley - Sec 404
La seccioacuten 404 requiere la evaluacioacuten y documentacioacuten por lo menos una vez al antildeo de todos los controles y procedimientos internos implantados que producen la informacioacuten financiera Los controles internes deben de ser documentado y sistemas deben de ser implantados para monitorear la efectividad de estos controles
Se establece la obligacioacuten de mantener poliacuteticas y procedimientos relacionados con la integridad de la informacioacuten y su disponibilidad
El uso de los sistemas de informacioacuten requeriraacute de un control maacutes estricto que preserve la confiabilidad de la informacioacuten que se maneja y que afecta a los reportes financieros de la empresa sin descuidar por supuesto aquellas cuestiones relacionadas con la confidencialidad disponibilidad e integridad de la informacioacuten
VICTOR A VASQUEZ M
Objetivos de control relacionados con SAROX
AI2 Adquirir y mantener software aplicativo
AI3 Adquirir y mantener infraestructura tecnoloacutegica
AI4 Facilitar operacioacuten y uso
AI6 Administrar cambios
AI7 Instalar y acreditar soluciones y cambios
DS1 Definir y administrar los niveles de servicio
DS2 Administrar los servicios de terceros
DS5 Garantizar la seguridad de los sistemas
DS8 Administrar la atencioacuten a usuarios y los incidentes
DS9 Administrar la configuracioacuten
DS10 Administrar los problemas
DS11 Administrar los datos
DS12 Administrar el ambiente fiacutesico
DS13 Administrar las operaciones
Fuente IT Control Objectives for Sarbanes-Oxley IT Governance Institute
VICTOR A VASQUEZ M15
Importancia de los SI en la Auditoriacutea
Aspectos que se deberiacutean tener en cuenta para realizar una auditoriacutea coherente con la relevancia de los Sistemas de Informacioacuten de cada empresa(ya sea realizada por nosotros mismos o bien aspectos que deberemos considerar al momento de revisar el trabajo de otros)
Controles Automaacuteticos
Interfaces Contables
Segregacioacuten de Funciones
Identificar Principales Aplicaciones
Una aplicacioacuten que administra determinadas compras de una empresa y que se comunica con los sistemas contables de la compantildeiacutea
Que debe y puede hacer una persona por las opciones del sistema Tiene un impacto relevante en todos los aplicativos de una compantildeiacutea
Seraacuten aquellos que impacten de forma significativa en los estados contables de la compantildeiacutea
Cuando se quiere realizar una prueba en el sistema de aprobaciones automaacuteticas validacioacuten automaacutetica de indicadores aplicacioacuten de acuerdos comerciales etc
VICTOR A VASQUEZ M16
Metodologiacutea General para la revisioacuten de controles y sistemas de
IT
bullIdentificar el enfoquebullIdentificar principales sistemasbullIdentificar principales riesgosbullMapa de Sistemas e interfaces
Entendimiento
bullRealizacioacuten de TAACs (CAATs)bullRecalculo de procesos
bullFIFObullAmortizacioacutenbullPMPbullVNR
Evaluacioacuten de Controles
Planificacioacuten
bullQue sistemas tiene la empresabullSistema contable (SO DB LP)bullPrincipales InterfacesbullIdentificar Cuentas por SistemabullProveedores (Comun Mantenimetc)
Pruebas Sustantivas
bullRealizar ITGCbullRevisar procesos de NegociobullRevisar controles automaacuteticos
Procedimientos Restantes
1 2
3 4
5
VICTOR A VASQUEZ M17
Metodologiacutea General para la revisioacuten de controles y sistemas de
IT
Entendimiento 1
bullQue sistemas tiene la empresa En la Compantildeiacutea X se identifican los siguientes aplicativos
bull Nomina plus (RRHH) Aplicativo adquirido a la empresa SW con DB SQL Server y desarrollado en VBNet
bull Contaplus (Contabilidad) Aplicativo adquirido a la empresa SW con DB SQL Server y desarrollado en VBNet
bullSistema contable (SO DB LP)bullPrincipales Interfaces Se identifican interfaces con RH y Ventas estas tienen componente automaacuteticobullIdentificar Cuentas por Sistema
bullNominaplus 41000001-200bullContaplus Todas
bullProveedores Los principales proveedores son
bullTelefoccedilonica Comunicaciones
VICTOR A VASQUEZ M18
Algunos de los aspectos a identificar durante estaacute parte del trabajo son temas relacionados con organizacioacuten y administracioacuten de IT
Involucracioacuten de altos mandos Estrategia IT Gestioacuten del coste y la inversioacuten en IT Informes de gestioacuten del funcionamiento IT Gestioacuten a nivel de servicio Conformidad legal y regulatoria Gestioacuten de recursos humanos Informaacutetica a nivel de usuario Gestionar servicios de terceros Contabilidad de activos Gestioacuten de la infraestructura de seguridad Seguridad en descripcioacuten de trabajos y recursos
Metodologiacutea General para la revisioacuten de controles y sistemas de
IT
VICTOR A VASQUEZ M19
Metodologiacutea General para la revisioacuten de controles y sistemas de
IT
bullIdentificar el enfoquebullControlbullSustantivobullMixto
bullIdentificar principales sistemasbullERPbullNoacuteminabullFinancierobullComercial
bullIdentificar principales riesgos Depende directamente del tipo de negocio y objetivos estrateacutegicos de la Compantildeiacutea
bullDependenciasbullInformacioacutenbullCumplimiento LegalbullContinuidad
bullMapa de Sistemas e interfacesbullContabilidad-VentasbullContabilidad-ComprasbullContabilidad-Noacutemina
Planificacioacuten 2
VICTOR A VASQUEZ M20
Evaluacioacuten de Controles
bullRealizar ITGCbullGestioacuten Datos y ProgramasbullGestioacuten de CambiosbullDesarrollo de ProgramasbullOperaciones de ITbullComputacioacuten Usuario Final
bullRevisar procesos de Negocio DepenbullRevisar controles automaacuteticos
3
Metodologiacutea General para la revisioacuten de controles y sistemas de
IT
Acceso a Datos y Programas
Gestioacuten de Cambios
Desarrollo de ProgramasOperaciones de IT
Computacioacuten de Usuario Final
VICTOR A VASQUEZ M21
Metodologiacutea General para la revisioacuten de controles y sistemas de
IT
bullRealizacioacuten de TAACs (CAATs) Teacutecnicas de Auditoriacutea Asistidas por Ordenador
bullCalidad de la informacioacutenbullValidacioacuten de datosbullFacturas duplicadas
bullRecalculo de procesosbullFIFObullAmortizacioacutenbullPMPbullVNR
Pruebas Sustantivas 4H
E
R
R
A
M
I
E
N
T
A
S
D
A
T
A
A
N
A
L
I
S
I
S
S
I
M
U
L
A
C
I
O
N
VICTOR A VASQUEZ M22
Metodologiacutea General para la revisioacuten de controles y sistemas de
IT
VICTOR A VASQUEZ M
Caracteriacutesticas del control
Control
iquestQueacute
iquestQuieacuten
iquestCuaacutendo
FrecuenciaiquestCoacutemo
Evidencia
Riesgo
SalidasEntradas
VICTOR A VASQUEZ M24
Anaacutelisis de Riesgos y su importancia
La probabilidad de que una amenaza se concrete (accidentalmente o intencionalmente de activacioacuten explotar) aprovechando una vulnerabilidad del sistema de informacioacuten y generando un impacto econoacutemico
El impacto econoacutemico generado por el no cumplimiento de una ley o falta de responsabilidad legal
Algunos ejemplos de riesgo de IT son
No autorizada (intencionados o accidentales) la divulgacioacuten modificacioacuten o destruccioacuten de informacioacuten
Errores y omisiones no intencionales
Interrupciones por causas naturales o cataacutestrofes de origen humano
La falta de diligencia en la aplicacioacuten y el funcionamiento del sistema informaacutetico Proveer un nivel razonable de certeza de que los objetivos de cobertura del control interno son alcanzados
Porqueacute es importante
Para que no pase estohellip
VICTOR A VASQUEZ M
ROCA
NINtildeOS
CASA
AMENAZA
Algo que pueda explotar una vulnerabilidad intencional o accidentalmente y ocasionardantildeo o destruccioacuten del activo
Conceptos de riesgo
AMENAZA CONTROLVULNERABILIDAD RIESGO IMPACT0
VICTOR A VASQUEZ M
THREAT
ROCA
NINtildeOS
CASA
Debilidad o brecha que puedeser explotada por una amenaza en contra del activo
VULNERABILIDAD
Conceptos de riesgo
AMENAZA CONTROLVULNERABILIDAD RIESGO IMPACTO
VICTOR A VASQUEZ M
THREAT
ROCA
NINtildeOS
CASA
La peacuterdida dantildeo o destruccioacuten potencial sobre el active como resultado de laexplotacioacuten de vulnerabilidad
RIESGO Desprendimiento de la
piedra y caiacuteda sobre los nintildeos
AMENAZA CONTROLVULNERABILIDAD RIESGO IMPACTO
Conceptos de riesgo
VICTOR A VASQUEZ M
THREAT
ROCA
NINtildeOS
CASA
Cualquier accioacuten que ayude a reducir la probabilidad de que el riesgo ocurra o que ayuda a reducir el impacto si el riesgo ocurre
Conceptos de riesgo
AMENAZA CONTROLVULNERABILIDAD RIESGO IMPACTO
bull Riesgo residual depende del disentildeo y la eficacia
de los controles
IMPA
CT
O
PR
OB
AB
ILID
AD
VICTOR A VASQUEZ M
THREAT
ROCA
NINtildeOS
CASA
iquestCuaacuteles son las consecuencias y coacutemo se miden
Impacto peacuterdida de vidas o
dantildeo en la propiedad
Conceptos de riesgo
AMENAZA CONTROLVULNERABILIDAD RIESGO IMPACTO
VICTOR A VASQUEZ M30
Anaacutelisis de Riesgos y su importancia
VICTOR A VASQUEZ MDiapositiva No 31
Introduccioacuten a COBIT 5
VICTOR A VASQUEZ M
iquestPor queacute se desarrolloacute COBIT 5
El mandato de la Junta Directiva de ISACA ldquoUnir y reforzar todos los activos de conocimiento de ISACA con COBITrdquo
Proporcionar un marco de gobierno y de gestioacuten renovado y con la autoridad necesaria para la informacioacuten empresarial y las tecnologiacuteas relacionadas
Integrar los principales marcos y las guiacuteas de ISACA Alinearse con los principales marcos y estaacutendares en el
mercado
VICTOR A VASQUEZ M
Gobierno Empresarial de TI
COBIT 5
Gobierno
COBIT4041
Administracioacuten
COBIT 3
Control
COBIT 2
La evolucioacuten de COBIT 5
Auditoriacutea
COBIT 1
2005720001998
Evo
luci
oacuten
1996 2012
BMIS(2010)
Val IT 20(2008)
Risk IT(2009)
VICTOR A VASQUEZ M
Motivadores del desarrollo de COBIT 5
Proveer una guiacutea respecto a Arquitectura Empresarial
Gestioacuten de servicios y activos
Modelos organizacionales y de aprovisionamiento emergentes
Innovacioacuten y Tecnologiacuteas emergentes
Responsabilidades de punta a punta de TI y el negocio Controles para soluciones de TI iniciadas o controladas
por usuario Necesidades de las empresas de
Lograr la creacioacuten de valor
Obtener la satisfaccioacuten de los usuarios
Cumplir leyes relevantes regulaciones y poliacuteticas
Mejorar la relacioacuten entre TI y el Negocio
Mejorar el retorno del Gobierno Empresarial de TI
Conectarse y alinearse con otros frameworks y estaacutendares
VICTOR A VASQUEZ M
Beneficios para las empresas
Las Empresas y los Ejecutivos buscan Mantener informacioacuten de alta calidad que soporte las
decisiones del negocio Generar valor para el negocio de las inversiones habilitadas
por TI
Ej Alcanzar los objetivos estrateacutegicos y lograr beneficios a traveacutes del uso efectivo e innovador de la TI
Lograr la excelencia operacional a traveacutes de la aplicacioacuten confiable y eficiente de la tecnologiacutea
Mantener el riesgo relacionado con TI a un nivel aceptable Optimizar el costo de los servicios de TI y la tecnologiacutea
iquestCoacutemo pueden lograrse estos beneficios para crear valor a los stakeholders de una organizacioacuten
VICTOR A VASQUEZ M
Beneficios
COBIT 5
Define como punto inicial de las actividades de gobierno y gestioacuten las necesidades de los stakeholders relacionadas con la TI de la empresa
Crea una vista maacutes holiacutestica integrada y completa del gobierno y la gestioacuten de la TI de la empresa
Crea un lenguaje comuacuten entre TI y el negocio para el gobierno y la gestioacuten de la TI empresarial
Es consistente con estaacutendares de gobierno corporativo generalmente aceptados por lo que ayuda a cumplir los requerimientos regulatorios
copy 2012 ISACA All Rights Reserved
VICTOR A VASQUEZ M
Familia de Productos de COBIT 5
COBIT 5
Otras guiacuteas habilitadoras
COBIT 5 Procesos habilitadores
COBIT 5 Informacioacuten habilitadora
COBIT 5 Guiacuteas profesionales
Otras guiacuteas profesionales
COBIT 5 Implementacioacuten
COBIT 5Para seguridad de informacioacuten
COBIT 5Para riesgos
COBIT 5 ambiente colaborativo en liacutenea
COBIT 5 Guiacuteas habilitadoras
COBIT 5Para aseguramiento
VICTOR A VASQUEZ MDiapositiva No 38
Principios Baacutesicos de COBIT 5
VICTOR A VASQUEZ M
Principios de COBIT 5
Principios de
COBIT 5
1 Satisfacer las
necesidades de las partes interesadas
2 Cubrir la empresa de extremo a extremo
3 Aplicar un marco de referencia
uacutenico integrado
4 Hacer posible un
enfoque holiacutestico
5 Separar gobierno de
la gestioacuten
VICTOR A VASQUEZ M
5 Distinguir entre gobierno y gestioacuten
El gobierno asegura de que las necesidades condiciones y opciones de las partes interesadas
bull Son evaluadas para determinar las metas corporativas a alcanzar considerado que sean equilibradas y consensuadas
bull Establecen la direccioacuten por medio de la priorizacioacuten y la toma de decisiones
bull Mide el rendimiento cumplimiento y progreso contra las directrices y metas acordadas (EDM)
La gestioacuten planea construye ejecuta y monitorealas actividades de manera alineada con las directrices establecidas por el cuerpo de gobierno para el logro de las metas corporativas (PBRM) ndash Plan Build Run Monitor --- Plan Do Check Act
En la mayoriacutea de las empresas el gobierno es responsabilidad del
consejo de administracioacuten bajo el liderazgo de un Presidente
En la mayoriacutea de las empresas la gestioacuten es responsabilidad de la
Direccioacuten Ejecutiva bajo el liderazgo del Director General (CEO)
VICTOR A VASQUEZ M
5 Distinguir entre gobierno y gestioacuten
Modelo de referencia de procesos
P
1
2
34
5
APO02Gestionar la
estrategia
APO03Gestionar la arquitectura empresarial
APO04Gestionar la innovacioacuten
APO05Gestionar el
portafolio
APO06Gestionar el
presupuesto y los costos
APO07Gestionar los
recursos humanos
APO08Gestionar las
relaciones
APO09Gestionar los acuerdos del
servicio
APO10Gestionar los proveedores
APO11Gestionar
calidad
APO12Gestionar el
riesgo
APO13Gestionar la
seguridad
APO01Gestionar el
marco de gestioacuten de TI
PROCESOS PARA EL
GOBIERNO DE TIEVALUAR ORIENTAR Y
MONITOREAR
MEA01Supervisar evaluar
y valorar el rendimiento y cumplimiento
MEA02Supervisar evaluar y valorar el sistema de control interno
MEA03 Supervisar evaluar
y valorar la conformidad con
los requerimientos externos
DSS01Gestionar
operaciones
DSS02 Gestionar las
Peticiones y los Incidentes del
Servicio
DSS03Gestionar los
problemas
DSS04Gestionar la continuidad
DSS05Gestionar los servicios de seguridad
DSS06Gestionar los
controles de los procesos del
negocio
BAI02Gestionar la definicioacuten de
requisitos
BAI03Gestionar la
identificacioacuten y construccioacuten de
soluciones
BAI04Gestionar la
disponibilidad y capacidad
BAI05 Gestionar la
Introduccioacuten de Cambios
Organizativos
BAI06Gestionar los
cambios
BAI07Gestionar la
aceptacioacuten del cambio y la transicioacuten
BAI08Gestionar el
conocimiento
BAI09Gestionar los activos
BAI10Gestionar la
configuracioacuten
BAI01Gestionar
programas y proyectos
Alinear planear y organizar
Construir adquirir e implementar
Entregar dar servicio y soporte
Monitorear evaluar y
valorar
PROCESOS PARA LA GESTIOacuteN DE TI
EDM01 Asegurar el
Establecimiento y Mantenimiento del Marco de Gobierno
EDM02Asegurar la entrega
de beneficios
EDM03Asegurar la
optimizacioacuten de riesgos
EDM04Asegurar la
optimizacioacuten de recursos
EDM05Asegurar la
transparencia hacia las partes interesadas
VICTOR A VASQUEZ M
Resumen del mapeo de COBIT 5
copy 2012 ISACA All rights reserved
VICTOR A VASQUEZ M
VICTOR A VASQUEZ M
Objetivos de control relacionados con SAROX
AI2 Adquirir y mantener software aplicativo
AI3 Adquirir y mantener infraestructura tecnoloacutegica
AI4 Facilitar operacioacuten y uso
AI6 Administrar cambios
AI7 Instalar y acreditar soluciones y cambios
DS1 Definir y administrar los niveles de servicio
DS2 Administrar los servicios de terceros
DS5 Garantizar la seguridad de los sistemas
DS8 Administrar la atencioacuten a usuarios y los incidentes
DS9 Administrar la configuracioacuten
DS10 Administrar los problemas
DS11 Administrar los datos
DS12 Administrar el ambiente fiacutesico
DS13 Administrar las operaciones
Fuente IT Control Objectives for Sarbanes-Oxley IT Governance Institute
VICTOR A VASQUEZ M15
Importancia de los SI en la Auditoriacutea
Aspectos que se deberiacutean tener en cuenta para realizar una auditoriacutea coherente con la relevancia de los Sistemas de Informacioacuten de cada empresa(ya sea realizada por nosotros mismos o bien aspectos que deberemos considerar al momento de revisar el trabajo de otros)
Controles Automaacuteticos
Interfaces Contables
Segregacioacuten de Funciones
Identificar Principales Aplicaciones
Una aplicacioacuten que administra determinadas compras de una empresa y que se comunica con los sistemas contables de la compantildeiacutea
Que debe y puede hacer una persona por las opciones del sistema Tiene un impacto relevante en todos los aplicativos de una compantildeiacutea
Seraacuten aquellos que impacten de forma significativa en los estados contables de la compantildeiacutea
Cuando se quiere realizar una prueba en el sistema de aprobaciones automaacuteticas validacioacuten automaacutetica de indicadores aplicacioacuten de acuerdos comerciales etc
VICTOR A VASQUEZ M16
Metodologiacutea General para la revisioacuten de controles y sistemas de
IT
bullIdentificar el enfoquebullIdentificar principales sistemasbullIdentificar principales riesgosbullMapa de Sistemas e interfaces
Entendimiento
bullRealizacioacuten de TAACs (CAATs)bullRecalculo de procesos
bullFIFObullAmortizacioacutenbullPMPbullVNR
Evaluacioacuten de Controles
Planificacioacuten
bullQue sistemas tiene la empresabullSistema contable (SO DB LP)bullPrincipales InterfacesbullIdentificar Cuentas por SistemabullProveedores (Comun Mantenimetc)
Pruebas Sustantivas
bullRealizar ITGCbullRevisar procesos de NegociobullRevisar controles automaacuteticos
Procedimientos Restantes
1 2
3 4
5
VICTOR A VASQUEZ M17
Metodologiacutea General para la revisioacuten de controles y sistemas de
IT
Entendimiento 1
bullQue sistemas tiene la empresa En la Compantildeiacutea X se identifican los siguientes aplicativos
bull Nomina plus (RRHH) Aplicativo adquirido a la empresa SW con DB SQL Server y desarrollado en VBNet
bull Contaplus (Contabilidad) Aplicativo adquirido a la empresa SW con DB SQL Server y desarrollado en VBNet
bullSistema contable (SO DB LP)bullPrincipales Interfaces Se identifican interfaces con RH y Ventas estas tienen componente automaacuteticobullIdentificar Cuentas por Sistema
bullNominaplus 41000001-200bullContaplus Todas
bullProveedores Los principales proveedores son
bullTelefoccedilonica Comunicaciones
VICTOR A VASQUEZ M18
Algunos de los aspectos a identificar durante estaacute parte del trabajo son temas relacionados con organizacioacuten y administracioacuten de IT
Involucracioacuten de altos mandos Estrategia IT Gestioacuten del coste y la inversioacuten en IT Informes de gestioacuten del funcionamiento IT Gestioacuten a nivel de servicio Conformidad legal y regulatoria Gestioacuten de recursos humanos Informaacutetica a nivel de usuario Gestionar servicios de terceros Contabilidad de activos Gestioacuten de la infraestructura de seguridad Seguridad en descripcioacuten de trabajos y recursos
Metodologiacutea General para la revisioacuten de controles y sistemas de
IT
VICTOR A VASQUEZ M19
Metodologiacutea General para la revisioacuten de controles y sistemas de
IT
bullIdentificar el enfoquebullControlbullSustantivobullMixto
bullIdentificar principales sistemasbullERPbullNoacuteminabullFinancierobullComercial
bullIdentificar principales riesgos Depende directamente del tipo de negocio y objetivos estrateacutegicos de la Compantildeiacutea
bullDependenciasbullInformacioacutenbullCumplimiento LegalbullContinuidad
bullMapa de Sistemas e interfacesbullContabilidad-VentasbullContabilidad-ComprasbullContabilidad-Noacutemina
Planificacioacuten 2
VICTOR A VASQUEZ M20
Evaluacioacuten de Controles
bullRealizar ITGCbullGestioacuten Datos y ProgramasbullGestioacuten de CambiosbullDesarrollo de ProgramasbullOperaciones de ITbullComputacioacuten Usuario Final
bullRevisar procesos de Negocio DepenbullRevisar controles automaacuteticos
3
Metodologiacutea General para la revisioacuten de controles y sistemas de
IT
Acceso a Datos y Programas
Gestioacuten de Cambios
Desarrollo de ProgramasOperaciones de IT
Computacioacuten de Usuario Final
VICTOR A VASQUEZ M21
Metodologiacutea General para la revisioacuten de controles y sistemas de
IT
bullRealizacioacuten de TAACs (CAATs) Teacutecnicas de Auditoriacutea Asistidas por Ordenador
bullCalidad de la informacioacutenbullValidacioacuten de datosbullFacturas duplicadas
bullRecalculo de procesosbullFIFObullAmortizacioacutenbullPMPbullVNR
Pruebas Sustantivas 4H
E
R
R
A
M
I
E
N
T
A
S
D
A
T
A
A
N
A
L
I
S
I
S
S
I
M
U
L
A
C
I
O
N
VICTOR A VASQUEZ M22
Metodologiacutea General para la revisioacuten de controles y sistemas de
IT
VICTOR A VASQUEZ M
Caracteriacutesticas del control
Control
iquestQueacute
iquestQuieacuten
iquestCuaacutendo
FrecuenciaiquestCoacutemo
Evidencia
Riesgo
SalidasEntradas
VICTOR A VASQUEZ M24
Anaacutelisis de Riesgos y su importancia
La probabilidad de que una amenaza se concrete (accidentalmente o intencionalmente de activacioacuten explotar) aprovechando una vulnerabilidad del sistema de informacioacuten y generando un impacto econoacutemico
El impacto econoacutemico generado por el no cumplimiento de una ley o falta de responsabilidad legal
Algunos ejemplos de riesgo de IT son
No autorizada (intencionados o accidentales) la divulgacioacuten modificacioacuten o destruccioacuten de informacioacuten
Errores y omisiones no intencionales
Interrupciones por causas naturales o cataacutestrofes de origen humano
La falta de diligencia en la aplicacioacuten y el funcionamiento del sistema informaacutetico Proveer un nivel razonable de certeza de que los objetivos de cobertura del control interno son alcanzados
Porqueacute es importante
Para que no pase estohellip
VICTOR A VASQUEZ M
ROCA
NINtildeOS
CASA
AMENAZA
Algo que pueda explotar una vulnerabilidad intencional o accidentalmente y ocasionardantildeo o destruccioacuten del activo
Conceptos de riesgo
AMENAZA CONTROLVULNERABILIDAD RIESGO IMPACT0
VICTOR A VASQUEZ M
THREAT
ROCA
NINtildeOS
CASA
Debilidad o brecha que puedeser explotada por una amenaza en contra del activo
VULNERABILIDAD
Conceptos de riesgo
AMENAZA CONTROLVULNERABILIDAD RIESGO IMPACTO
VICTOR A VASQUEZ M
THREAT
ROCA
NINtildeOS
CASA
La peacuterdida dantildeo o destruccioacuten potencial sobre el active como resultado de laexplotacioacuten de vulnerabilidad
RIESGO Desprendimiento de la
piedra y caiacuteda sobre los nintildeos
AMENAZA CONTROLVULNERABILIDAD RIESGO IMPACTO
Conceptos de riesgo
VICTOR A VASQUEZ M
THREAT
ROCA
NINtildeOS
CASA
Cualquier accioacuten que ayude a reducir la probabilidad de que el riesgo ocurra o que ayuda a reducir el impacto si el riesgo ocurre
Conceptos de riesgo
AMENAZA CONTROLVULNERABILIDAD RIESGO IMPACTO
bull Riesgo residual depende del disentildeo y la eficacia
de los controles
IMPA
CT
O
PR
OB
AB
ILID
AD
VICTOR A VASQUEZ M
THREAT
ROCA
NINtildeOS
CASA
iquestCuaacuteles son las consecuencias y coacutemo se miden
Impacto peacuterdida de vidas o
dantildeo en la propiedad
Conceptos de riesgo
AMENAZA CONTROLVULNERABILIDAD RIESGO IMPACTO
VICTOR A VASQUEZ M30
Anaacutelisis de Riesgos y su importancia
VICTOR A VASQUEZ MDiapositiva No 31
Introduccioacuten a COBIT 5
VICTOR A VASQUEZ M
iquestPor queacute se desarrolloacute COBIT 5
El mandato de la Junta Directiva de ISACA ldquoUnir y reforzar todos los activos de conocimiento de ISACA con COBITrdquo
Proporcionar un marco de gobierno y de gestioacuten renovado y con la autoridad necesaria para la informacioacuten empresarial y las tecnologiacuteas relacionadas
Integrar los principales marcos y las guiacuteas de ISACA Alinearse con los principales marcos y estaacutendares en el
mercado
VICTOR A VASQUEZ M
Gobierno Empresarial de TI
COBIT 5
Gobierno
COBIT4041
Administracioacuten
COBIT 3
Control
COBIT 2
La evolucioacuten de COBIT 5
Auditoriacutea
COBIT 1
2005720001998
Evo
luci
oacuten
1996 2012
BMIS(2010)
Val IT 20(2008)
Risk IT(2009)
VICTOR A VASQUEZ M
Motivadores del desarrollo de COBIT 5
Proveer una guiacutea respecto a Arquitectura Empresarial
Gestioacuten de servicios y activos
Modelos organizacionales y de aprovisionamiento emergentes
Innovacioacuten y Tecnologiacuteas emergentes
Responsabilidades de punta a punta de TI y el negocio Controles para soluciones de TI iniciadas o controladas
por usuario Necesidades de las empresas de
Lograr la creacioacuten de valor
Obtener la satisfaccioacuten de los usuarios
Cumplir leyes relevantes regulaciones y poliacuteticas
Mejorar la relacioacuten entre TI y el Negocio
Mejorar el retorno del Gobierno Empresarial de TI
Conectarse y alinearse con otros frameworks y estaacutendares
VICTOR A VASQUEZ M
Beneficios para las empresas
Las Empresas y los Ejecutivos buscan Mantener informacioacuten de alta calidad que soporte las
decisiones del negocio Generar valor para el negocio de las inversiones habilitadas
por TI
Ej Alcanzar los objetivos estrateacutegicos y lograr beneficios a traveacutes del uso efectivo e innovador de la TI
Lograr la excelencia operacional a traveacutes de la aplicacioacuten confiable y eficiente de la tecnologiacutea
Mantener el riesgo relacionado con TI a un nivel aceptable Optimizar el costo de los servicios de TI y la tecnologiacutea
iquestCoacutemo pueden lograrse estos beneficios para crear valor a los stakeholders de una organizacioacuten
VICTOR A VASQUEZ M
Beneficios
COBIT 5
Define como punto inicial de las actividades de gobierno y gestioacuten las necesidades de los stakeholders relacionadas con la TI de la empresa
Crea una vista maacutes holiacutestica integrada y completa del gobierno y la gestioacuten de la TI de la empresa
Crea un lenguaje comuacuten entre TI y el negocio para el gobierno y la gestioacuten de la TI empresarial
Es consistente con estaacutendares de gobierno corporativo generalmente aceptados por lo que ayuda a cumplir los requerimientos regulatorios
copy 2012 ISACA All Rights Reserved
VICTOR A VASQUEZ M
Familia de Productos de COBIT 5
COBIT 5
Otras guiacuteas habilitadoras
COBIT 5 Procesos habilitadores
COBIT 5 Informacioacuten habilitadora
COBIT 5 Guiacuteas profesionales
Otras guiacuteas profesionales
COBIT 5 Implementacioacuten
COBIT 5Para seguridad de informacioacuten
COBIT 5Para riesgos
COBIT 5 ambiente colaborativo en liacutenea
COBIT 5 Guiacuteas habilitadoras
COBIT 5Para aseguramiento
VICTOR A VASQUEZ MDiapositiva No 38
Principios Baacutesicos de COBIT 5
VICTOR A VASQUEZ M
Principios de COBIT 5
Principios de
COBIT 5
1 Satisfacer las
necesidades de las partes interesadas
2 Cubrir la empresa de extremo a extremo
3 Aplicar un marco de referencia
uacutenico integrado
4 Hacer posible un
enfoque holiacutestico
5 Separar gobierno de
la gestioacuten
VICTOR A VASQUEZ M
5 Distinguir entre gobierno y gestioacuten
El gobierno asegura de que las necesidades condiciones y opciones de las partes interesadas
bull Son evaluadas para determinar las metas corporativas a alcanzar considerado que sean equilibradas y consensuadas
bull Establecen la direccioacuten por medio de la priorizacioacuten y la toma de decisiones
bull Mide el rendimiento cumplimiento y progreso contra las directrices y metas acordadas (EDM)
La gestioacuten planea construye ejecuta y monitorealas actividades de manera alineada con las directrices establecidas por el cuerpo de gobierno para el logro de las metas corporativas (PBRM) ndash Plan Build Run Monitor --- Plan Do Check Act
En la mayoriacutea de las empresas el gobierno es responsabilidad del
consejo de administracioacuten bajo el liderazgo de un Presidente
En la mayoriacutea de las empresas la gestioacuten es responsabilidad de la
Direccioacuten Ejecutiva bajo el liderazgo del Director General (CEO)
VICTOR A VASQUEZ M
5 Distinguir entre gobierno y gestioacuten
Modelo de referencia de procesos
P
1
2
34
5
APO02Gestionar la
estrategia
APO03Gestionar la arquitectura empresarial
APO04Gestionar la innovacioacuten
APO05Gestionar el
portafolio
APO06Gestionar el
presupuesto y los costos
APO07Gestionar los
recursos humanos
APO08Gestionar las
relaciones
APO09Gestionar los acuerdos del
servicio
APO10Gestionar los proveedores
APO11Gestionar
calidad
APO12Gestionar el
riesgo
APO13Gestionar la
seguridad
APO01Gestionar el
marco de gestioacuten de TI
PROCESOS PARA EL
GOBIERNO DE TIEVALUAR ORIENTAR Y
MONITOREAR
MEA01Supervisar evaluar
y valorar el rendimiento y cumplimiento
MEA02Supervisar evaluar y valorar el sistema de control interno
MEA03 Supervisar evaluar
y valorar la conformidad con
los requerimientos externos
DSS01Gestionar
operaciones
DSS02 Gestionar las
Peticiones y los Incidentes del
Servicio
DSS03Gestionar los
problemas
DSS04Gestionar la continuidad
DSS05Gestionar los servicios de seguridad
DSS06Gestionar los
controles de los procesos del
negocio
BAI02Gestionar la definicioacuten de
requisitos
BAI03Gestionar la
identificacioacuten y construccioacuten de
soluciones
BAI04Gestionar la
disponibilidad y capacidad
BAI05 Gestionar la
Introduccioacuten de Cambios
Organizativos
BAI06Gestionar los
cambios
BAI07Gestionar la
aceptacioacuten del cambio y la transicioacuten
BAI08Gestionar el
conocimiento
BAI09Gestionar los activos
BAI10Gestionar la
configuracioacuten
BAI01Gestionar
programas y proyectos
Alinear planear y organizar
Construir adquirir e implementar
Entregar dar servicio y soporte
Monitorear evaluar y
valorar
PROCESOS PARA LA GESTIOacuteN DE TI
EDM01 Asegurar el
Establecimiento y Mantenimiento del Marco de Gobierno
EDM02Asegurar la entrega
de beneficios
EDM03Asegurar la
optimizacioacuten de riesgos
EDM04Asegurar la
optimizacioacuten de recursos
EDM05Asegurar la
transparencia hacia las partes interesadas
VICTOR A VASQUEZ M
Resumen del mapeo de COBIT 5
copy 2012 ISACA All rights reserved
VICTOR A VASQUEZ M
VICTOR A VASQUEZ M15
Importancia de los SI en la Auditoriacutea
Aspectos que se deberiacutean tener en cuenta para realizar una auditoriacutea coherente con la relevancia de los Sistemas de Informacioacuten de cada empresa(ya sea realizada por nosotros mismos o bien aspectos que deberemos considerar al momento de revisar el trabajo de otros)
Controles Automaacuteticos
Interfaces Contables
Segregacioacuten de Funciones
Identificar Principales Aplicaciones
Una aplicacioacuten que administra determinadas compras de una empresa y que se comunica con los sistemas contables de la compantildeiacutea
Que debe y puede hacer una persona por las opciones del sistema Tiene un impacto relevante en todos los aplicativos de una compantildeiacutea
Seraacuten aquellos que impacten de forma significativa en los estados contables de la compantildeiacutea
Cuando se quiere realizar una prueba en el sistema de aprobaciones automaacuteticas validacioacuten automaacutetica de indicadores aplicacioacuten de acuerdos comerciales etc
VICTOR A VASQUEZ M16
Metodologiacutea General para la revisioacuten de controles y sistemas de
IT
bullIdentificar el enfoquebullIdentificar principales sistemasbullIdentificar principales riesgosbullMapa de Sistemas e interfaces
Entendimiento
bullRealizacioacuten de TAACs (CAATs)bullRecalculo de procesos
bullFIFObullAmortizacioacutenbullPMPbullVNR
Evaluacioacuten de Controles
Planificacioacuten
bullQue sistemas tiene la empresabullSistema contable (SO DB LP)bullPrincipales InterfacesbullIdentificar Cuentas por SistemabullProveedores (Comun Mantenimetc)
Pruebas Sustantivas
bullRealizar ITGCbullRevisar procesos de NegociobullRevisar controles automaacuteticos
Procedimientos Restantes
1 2
3 4
5
VICTOR A VASQUEZ M17
Metodologiacutea General para la revisioacuten de controles y sistemas de
IT
Entendimiento 1
bullQue sistemas tiene la empresa En la Compantildeiacutea X se identifican los siguientes aplicativos
bull Nomina plus (RRHH) Aplicativo adquirido a la empresa SW con DB SQL Server y desarrollado en VBNet
bull Contaplus (Contabilidad) Aplicativo adquirido a la empresa SW con DB SQL Server y desarrollado en VBNet
bullSistema contable (SO DB LP)bullPrincipales Interfaces Se identifican interfaces con RH y Ventas estas tienen componente automaacuteticobullIdentificar Cuentas por Sistema
bullNominaplus 41000001-200bullContaplus Todas
bullProveedores Los principales proveedores son
bullTelefoccedilonica Comunicaciones
VICTOR A VASQUEZ M18
Algunos de los aspectos a identificar durante estaacute parte del trabajo son temas relacionados con organizacioacuten y administracioacuten de IT
Involucracioacuten de altos mandos Estrategia IT Gestioacuten del coste y la inversioacuten en IT Informes de gestioacuten del funcionamiento IT Gestioacuten a nivel de servicio Conformidad legal y regulatoria Gestioacuten de recursos humanos Informaacutetica a nivel de usuario Gestionar servicios de terceros Contabilidad de activos Gestioacuten de la infraestructura de seguridad Seguridad en descripcioacuten de trabajos y recursos
Metodologiacutea General para la revisioacuten de controles y sistemas de
IT
VICTOR A VASQUEZ M19
Metodologiacutea General para la revisioacuten de controles y sistemas de
IT
bullIdentificar el enfoquebullControlbullSustantivobullMixto
bullIdentificar principales sistemasbullERPbullNoacuteminabullFinancierobullComercial
bullIdentificar principales riesgos Depende directamente del tipo de negocio y objetivos estrateacutegicos de la Compantildeiacutea
bullDependenciasbullInformacioacutenbullCumplimiento LegalbullContinuidad
bullMapa de Sistemas e interfacesbullContabilidad-VentasbullContabilidad-ComprasbullContabilidad-Noacutemina
Planificacioacuten 2
VICTOR A VASQUEZ M20
Evaluacioacuten de Controles
bullRealizar ITGCbullGestioacuten Datos y ProgramasbullGestioacuten de CambiosbullDesarrollo de ProgramasbullOperaciones de ITbullComputacioacuten Usuario Final
bullRevisar procesos de Negocio DepenbullRevisar controles automaacuteticos
3
Metodologiacutea General para la revisioacuten de controles y sistemas de
IT
Acceso a Datos y Programas
Gestioacuten de Cambios
Desarrollo de ProgramasOperaciones de IT
Computacioacuten de Usuario Final
VICTOR A VASQUEZ M21
Metodologiacutea General para la revisioacuten de controles y sistemas de
IT
bullRealizacioacuten de TAACs (CAATs) Teacutecnicas de Auditoriacutea Asistidas por Ordenador
bullCalidad de la informacioacutenbullValidacioacuten de datosbullFacturas duplicadas
bullRecalculo de procesosbullFIFObullAmortizacioacutenbullPMPbullVNR
Pruebas Sustantivas 4H
E
R
R
A
M
I
E
N
T
A
S
D
A
T
A
A
N
A
L
I
S
I
S
S
I
M
U
L
A
C
I
O
N
VICTOR A VASQUEZ M22
Metodologiacutea General para la revisioacuten de controles y sistemas de
IT
VICTOR A VASQUEZ M
Caracteriacutesticas del control
Control
iquestQueacute
iquestQuieacuten
iquestCuaacutendo
FrecuenciaiquestCoacutemo
Evidencia
Riesgo
SalidasEntradas
VICTOR A VASQUEZ M24
Anaacutelisis de Riesgos y su importancia
La probabilidad de que una amenaza se concrete (accidentalmente o intencionalmente de activacioacuten explotar) aprovechando una vulnerabilidad del sistema de informacioacuten y generando un impacto econoacutemico
El impacto econoacutemico generado por el no cumplimiento de una ley o falta de responsabilidad legal
Algunos ejemplos de riesgo de IT son
No autorizada (intencionados o accidentales) la divulgacioacuten modificacioacuten o destruccioacuten de informacioacuten
Errores y omisiones no intencionales
Interrupciones por causas naturales o cataacutestrofes de origen humano
La falta de diligencia en la aplicacioacuten y el funcionamiento del sistema informaacutetico Proveer un nivel razonable de certeza de que los objetivos de cobertura del control interno son alcanzados
Porqueacute es importante
Para que no pase estohellip
VICTOR A VASQUEZ M
ROCA
NINtildeOS
CASA
AMENAZA
Algo que pueda explotar una vulnerabilidad intencional o accidentalmente y ocasionardantildeo o destruccioacuten del activo
Conceptos de riesgo
AMENAZA CONTROLVULNERABILIDAD RIESGO IMPACT0
VICTOR A VASQUEZ M
THREAT
ROCA
NINtildeOS
CASA
Debilidad o brecha que puedeser explotada por una amenaza en contra del activo
VULNERABILIDAD
Conceptos de riesgo
AMENAZA CONTROLVULNERABILIDAD RIESGO IMPACTO
VICTOR A VASQUEZ M
THREAT
ROCA
NINtildeOS
CASA
La peacuterdida dantildeo o destruccioacuten potencial sobre el active como resultado de laexplotacioacuten de vulnerabilidad
RIESGO Desprendimiento de la
piedra y caiacuteda sobre los nintildeos
AMENAZA CONTROLVULNERABILIDAD RIESGO IMPACTO
Conceptos de riesgo
VICTOR A VASQUEZ M
THREAT
ROCA
NINtildeOS
CASA
Cualquier accioacuten que ayude a reducir la probabilidad de que el riesgo ocurra o que ayuda a reducir el impacto si el riesgo ocurre
Conceptos de riesgo
AMENAZA CONTROLVULNERABILIDAD RIESGO IMPACTO
bull Riesgo residual depende del disentildeo y la eficacia
de los controles
IMPA
CT
O
PR
OB
AB
ILID
AD
VICTOR A VASQUEZ M
THREAT
ROCA
NINtildeOS
CASA
iquestCuaacuteles son las consecuencias y coacutemo se miden
Impacto peacuterdida de vidas o
dantildeo en la propiedad
Conceptos de riesgo
AMENAZA CONTROLVULNERABILIDAD RIESGO IMPACTO
VICTOR A VASQUEZ M30
Anaacutelisis de Riesgos y su importancia
VICTOR A VASQUEZ MDiapositiva No 31
Introduccioacuten a COBIT 5
VICTOR A VASQUEZ M
iquestPor queacute se desarrolloacute COBIT 5
El mandato de la Junta Directiva de ISACA ldquoUnir y reforzar todos los activos de conocimiento de ISACA con COBITrdquo
Proporcionar un marco de gobierno y de gestioacuten renovado y con la autoridad necesaria para la informacioacuten empresarial y las tecnologiacuteas relacionadas
Integrar los principales marcos y las guiacuteas de ISACA Alinearse con los principales marcos y estaacutendares en el
mercado
VICTOR A VASQUEZ M
Gobierno Empresarial de TI
COBIT 5
Gobierno
COBIT4041
Administracioacuten
COBIT 3
Control
COBIT 2
La evolucioacuten de COBIT 5
Auditoriacutea
COBIT 1
2005720001998
Evo
luci
oacuten
1996 2012
BMIS(2010)
Val IT 20(2008)
Risk IT(2009)
VICTOR A VASQUEZ M
Motivadores del desarrollo de COBIT 5
Proveer una guiacutea respecto a Arquitectura Empresarial
Gestioacuten de servicios y activos
Modelos organizacionales y de aprovisionamiento emergentes
Innovacioacuten y Tecnologiacuteas emergentes
Responsabilidades de punta a punta de TI y el negocio Controles para soluciones de TI iniciadas o controladas
por usuario Necesidades de las empresas de
Lograr la creacioacuten de valor
Obtener la satisfaccioacuten de los usuarios
Cumplir leyes relevantes regulaciones y poliacuteticas
Mejorar la relacioacuten entre TI y el Negocio
Mejorar el retorno del Gobierno Empresarial de TI
Conectarse y alinearse con otros frameworks y estaacutendares
VICTOR A VASQUEZ M
Beneficios para las empresas
Las Empresas y los Ejecutivos buscan Mantener informacioacuten de alta calidad que soporte las
decisiones del negocio Generar valor para el negocio de las inversiones habilitadas
por TI
Ej Alcanzar los objetivos estrateacutegicos y lograr beneficios a traveacutes del uso efectivo e innovador de la TI
Lograr la excelencia operacional a traveacutes de la aplicacioacuten confiable y eficiente de la tecnologiacutea
Mantener el riesgo relacionado con TI a un nivel aceptable Optimizar el costo de los servicios de TI y la tecnologiacutea
iquestCoacutemo pueden lograrse estos beneficios para crear valor a los stakeholders de una organizacioacuten
VICTOR A VASQUEZ M
Beneficios
COBIT 5
Define como punto inicial de las actividades de gobierno y gestioacuten las necesidades de los stakeholders relacionadas con la TI de la empresa
Crea una vista maacutes holiacutestica integrada y completa del gobierno y la gestioacuten de la TI de la empresa
Crea un lenguaje comuacuten entre TI y el negocio para el gobierno y la gestioacuten de la TI empresarial
Es consistente con estaacutendares de gobierno corporativo generalmente aceptados por lo que ayuda a cumplir los requerimientos regulatorios
copy 2012 ISACA All Rights Reserved
VICTOR A VASQUEZ M
Familia de Productos de COBIT 5
COBIT 5
Otras guiacuteas habilitadoras
COBIT 5 Procesos habilitadores
COBIT 5 Informacioacuten habilitadora
COBIT 5 Guiacuteas profesionales
Otras guiacuteas profesionales
COBIT 5 Implementacioacuten
COBIT 5Para seguridad de informacioacuten
COBIT 5Para riesgos
COBIT 5 ambiente colaborativo en liacutenea
COBIT 5 Guiacuteas habilitadoras
COBIT 5Para aseguramiento
VICTOR A VASQUEZ MDiapositiva No 38
Principios Baacutesicos de COBIT 5
VICTOR A VASQUEZ M
Principios de COBIT 5
Principios de
COBIT 5
1 Satisfacer las
necesidades de las partes interesadas
2 Cubrir la empresa de extremo a extremo
3 Aplicar un marco de referencia
uacutenico integrado
4 Hacer posible un
enfoque holiacutestico
5 Separar gobierno de
la gestioacuten
VICTOR A VASQUEZ M
5 Distinguir entre gobierno y gestioacuten
El gobierno asegura de que las necesidades condiciones y opciones de las partes interesadas
bull Son evaluadas para determinar las metas corporativas a alcanzar considerado que sean equilibradas y consensuadas
bull Establecen la direccioacuten por medio de la priorizacioacuten y la toma de decisiones
bull Mide el rendimiento cumplimiento y progreso contra las directrices y metas acordadas (EDM)
La gestioacuten planea construye ejecuta y monitorealas actividades de manera alineada con las directrices establecidas por el cuerpo de gobierno para el logro de las metas corporativas (PBRM) ndash Plan Build Run Monitor --- Plan Do Check Act
En la mayoriacutea de las empresas el gobierno es responsabilidad del
consejo de administracioacuten bajo el liderazgo de un Presidente
En la mayoriacutea de las empresas la gestioacuten es responsabilidad de la
Direccioacuten Ejecutiva bajo el liderazgo del Director General (CEO)
VICTOR A VASQUEZ M
5 Distinguir entre gobierno y gestioacuten
Modelo de referencia de procesos
P
1
2
34
5
APO02Gestionar la
estrategia
APO03Gestionar la arquitectura empresarial
APO04Gestionar la innovacioacuten
APO05Gestionar el
portafolio
APO06Gestionar el
presupuesto y los costos
APO07Gestionar los
recursos humanos
APO08Gestionar las
relaciones
APO09Gestionar los acuerdos del
servicio
APO10Gestionar los proveedores
APO11Gestionar
calidad
APO12Gestionar el
riesgo
APO13Gestionar la
seguridad
APO01Gestionar el
marco de gestioacuten de TI
PROCESOS PARA EL
GOBIERNO DE TIEVALUAR ORIENTAR Y
MONITOREAR
MEA01Supervisar evaluar
y valorar el rendimiento y cumplimiento
MEA02Supervisar evaluar y valorar el sistema de control interno
MEA03 Supervisar evaluar
y valorar la conformidad con
los requerimientos externos
DSS01Gestionar
operaciones
DSS02 Gestionar las
Peticiones y los Incidentes del
Servicio
DSS03Gestionar los
problemas
DSS04Gestionar la continuidad
DSS05Gestionar los servicios de seguridad
DSS06Gestionar los
controles de los procesos del
negocio
BAI02Gestionar la definicioacuten de
requisitos
BAI03Gestionar la
identificacioacuten y construccioacuten de
soluciones
BAI04Gestionar la
disponibilidad y capacidad
BAI05 Gestionar la
Introduccioacuten de Cambios
Organizativos
BAI06Gestionar los
cambios
BAI07Gestionar la
aceptacioacuten del cambio y la transicioacuten
BAI08Gestionar el
conocimiento
BAI09Gestionar los activos
BAI10Gestionar la
configuracioacuten
BAI01Gestionar
programas y proyectos
Alinear planear y organizar
Construir adquirir e implementar
Entregar dar servicio y soporte
Monitorear evaluar y
valorar
PROCESOS PARA LA GESTIOacuteN DE TI
EDM01 Asegurar el
Establecimiento y Mantenimiento del Marco de Gobierno
EDM02Asegurar la entrega
de beneficios
EDM03Asegurar la
optimizacioacuten de riesgos
EDM04Asegurar la
optimizacioacuten de recursos
EDM05Asegurar la
transparencia hacia las partes interesadas
VICTOR A VASQUEZ M
Resumen del mapeo de COBIT 5
copy 2012 ISACA All rights reserved
VICTOR A VASQUEZ M
VICTOR A VASQUEZ M16
Metodologiacutea General para la revisioacuten de controles y sistemas de
IT
bullIdentificar el enfoquebullIdentificar principales sistemasbullIdentificar principales riesgosbullMapa de Sistemas e interfaces
Entendimiento
bullRealizacioacuten de TAACs (CAATs)bullRecalculo de procesos
bullFIFObullAmortizacioacutenbullPMPbullVNR
Evaluacioacuten de Controles
Planificacioacuten
bullQue sistemas tiene la empresabullSistema contable (SO DB LP)bullPrincipales InterfacesbullIdentificar Cuentas por SistemabullProveedores (Comun Mantenimetc)
Pruebas Sustantivas
bullRealizar ITGCbullRevisar procesos de NegociobullRevisar controles automaacuteticos
Procedimientos Restantes
1 2
3 4
5
VICTOR A VASQUEZ M17
Metodologiacutea General para la revisioacuten de controles y sistemas de
IT
Entendimiento 1
bullQue sistemas tiene la empresa En la Compantildeiacutea X se identifican los siguientes aplicativos
bull Nomina plus (RRHH) Aplicativo adquirido a la empresa SW con DB SQL Server y desarrollado en VBNet
bull Contaplus (Contabilidad) Aplicativo adquirido a la empresa SW con DB SQL Server y desarrollado en VBNet
bullSistema contable (SO DB LP)bullPrincipales Interfaces Se identifican interfaces con RH y Ventas estas tienen componente automaacuteticobullIdentificar Cuentas por Sistema
bullNominaplus 41000001-200bullContaplus Todas
bullProveedores Los principales proveedores son
bullTelefoccedilonica Comunicaciones
VICTOR A VASQUEZ M18
Algunos de los aspectos a identificar durante estaacute parte del trabajo son temas relacionados con organizacioacuten y administracioacuten de IT
Involucracioacuten de altos mandos Estrategia IT Gestioacuten del coste y la inversioacuten en IT Informes de gestioacuten del funcionamiento IT Gestioacuten a nivel de servicio Conformidad legal y regulatoria Gestioacuten de recursos humanos Informaacutetica a nivel de usuario Gestionar servicios de terceros Contabilidad de activos Gestioacuten de la infraestructura de seguridad Seguridad en descripcioacuten de trabajos y recursos
Metodologiacutea General para la revisioacuten de controles y sistemas de
IT
VICTOR A VASQUEZ M19
Metodologiacutea General para la revisioacuten de controles y sistemas de
IT
bullIdentificar el enfoquebullControlbullSustantivobullMixto
bullIdentificar principales sistemasbullERPbullNoacuteminabullFinancierobullComercial
bullIdentificar principales riesgos Depende directamente del tipo de negocio y objetivos estrateacutegicos de la Compantildeiacutea
bullDependenciasbullInformacioacutenbullCumplimiento LegalbullContinuidad
bullMapa de Sistemas e interfacesbullContabilidad-VentasbullContabilidad-ComprasbullContabilidad-Noacutemina
Planificacioacuten 2
VICTOR A VASQUEZ M20
Evaluacioacuten de Controles
bullRealizar ITGCbullGestioacuten Datos y ProgramasbullGestioacuten de CambiosbullDesarrollo de ProgramasbullOperaciones de ITbullComputacioacuten Usuario Final
bullRevisar procesos de Negocio DepenbullRevisar controles automaacuteticos
3
Metodologiacutea General para la revisioacuten de controles y sistemas de
IT
Acceso a Datos y Programas
Gestioacuten de Cambios
Desarrollo de ProgramasOperaciones de IT
Computacioacuten de Usuario Final
VICTOR A VASQUEZ M21
Metodologiacutea General para la revisioacuten de controles y sistemas de
IT
bullRealizacioacuten de TAACs (CAATs) Teacutecnicas de Auditoriacutea Asistidas por Ordenador
bullCalidad de la informacioacutenbullValidacioacuten de datosbullFacturas duplicadas
bullRecalculo de procesosbullFIFObullAmortizacioacutenbullPMPbullVNR
Pruebas Sustantivas 4H
E
R
R
A
M
I
E
N
T
A
S
D
A
T
A
A
N
A
L
I
S
I
S
S
I
M
U
L
A
C
I
O
N
VICTOR A VASQUEZ M22
Metodologiacutea General para la revisioacuten de controles y sistemas de
IT
VICTOR A VASQUEZ M
Caracteriacutesticas del control
Control
iquestQueacute
iquestQuieacuten
iquestCuaacutendo
FrecuenciaiquestCoacutemo
Evidencia
Riesgo
SalidasEntradas
VICTOR A VASQUEZ M24
Anaacutelisis de Riesgos y su importancia
La probabilidad de que una amenaza se concrete (accidentalmente o intencionalmente de activacioacuten explotar) aprovechando una vulnerabilidad del sistema de informacioacuten y generando un impacto econoacutemico
El impacto econoacutemico generado por el no cumplimiento de una ley o falta de responsabilidad legal
Algunos ejemplos de riesgo de IT son
No autorizada (intencionados o accidentales) la divulgacioacuten modificacioacuten o destruccioacuten de informacioacuten
Errores y omisiones no intencionales
Interrupciones por causas naturales o cataacutestrofes de origen humano
La falta de diligencia en la aplicacioacuten y el funcionamiento del sistema informaacutetico Proveer un nivel razonable de certeza de que los objetivos de cobertura del control interno son alcanzados
Porqueacute es importante
Para que no pase estohellip
VICTOR A VASQUEZ M
ROCA
NINtildeOS
CASA
AMENAZA
Algo que pueda explotar una vulnerabilidad intencional o accidentalmente y ocasionardantildeo o destruccioacuten del activo
Conceptos de riesgo
AMENAZA CONTROLVULNERABILIDAD RIESGO IMPACT0
VICTOR A VASQUEZ M
THREAT
ROCA
NINtildeOS
CASA
Debilidad o brecha que puedeser explotada por una amenaza en contra del activo
VULNERABILIDAD
Conceptos de riesgo
AMENAZA CONTROLVULNERABILIDAD RIESGO IMPACTO
VICTOR A VASQUEZ M
THREAT
ROCA
NINtildeOS
CASA
La peacuterdida dantildeo o destruccioacuten potencial sobre el active como resultado de laexplotacioacuten de vulnerabilidad
RIESGO Desprendimiento de la
piedra y caiacuteda sobre los nintildeos
AMENAZA CONTROLVULNERABILIDAD RIESGO IMPACTO
Conceptos de riesgo
VICTOR A VASQUEZ M
THREAT
ROCA
NINtildeOS
CASA
Cualquier accioacuten que ayude a reducir la probabilidad de que el riesgo ocurra o que ayuda a reducir el impacto si el riesgo ocurre
Conceptos de riesgo
AMENAZA CONTROLVULNERABILIDAD RIESGO IMPACTO
bull Riesgo residual depende del disentildeo y la eficacia
de los controles
IMPA
CT
O
PR
OB
AB
ILID
AD
VICTOR A VASQUEZ M
THREAT
ROCA
NINtildeOS
CASA
iquestCuaacuteles son las consecuencias y coacutemo se miden
Impacto peacuterdida de vidas o
dantildeo en la propiedad
Conceptos de riesgo
AMENAZA CONTROLVULNERABILIDAD RIESGO IMPACTO
VICTOR A VASQUEZ M30
Anaacutelisis de Riesgos y su importancia
VICTOR A VASQUEZ MDiapositiva No 31
Introduccioacuten a COBIT 5
VICTOR A VASQUEZ M
iquestPor queacute se desarrolloacute COBIT 5
El mandato de la Junta Directiva de ISACA ldquoUnir y reforzar todos los activos de conocimiento de ISACA con COBITrdquo
Proporcionar un marco de gobierno y de gestioacuten renovado y con la autoridad necesaria para la informacioacuten empresarial y las tecnologiacuteas relacionadas
Integrar los principales marcos y las guiacuteas de ISACA Alinearse con los principales marcos y estaacutendares en el
mercado
VICTOR A VASQUEZ M
Gobierno Empresarial de TI
COBIT 5
Gobierno
COBIT4041
Administracioacuten
COBIT 3
Control
COBIT 2
La evolucioacuten de COBIT 5
Auditoriacutea
COBIT 1
2005720001998
Evo
luci
oacuten
1996 2012
BMIS(2010)
Val IT 20(2008)
Risk IT(2009)
VICTOR A VASQUEZ M
Motivadores del desarrollo de COBIT 5
Proveer una guiacutea respecto a Arquitectura Empresarial
Gestioacuten de servicios y activos
Modelos organizacionales y de aprovisionamiento emergentes
Innovacioacuten y Tecnologiacuteas emergentes
Responsabilidades de punta a punta de TI y el negocio Controles para soluciones de TI iniciadas o controladas
por usuario Necesidades de las empresas de
Lograr la creacioacuten de valor
Obtener la satisfaccioacuten de los usuarios
Cumplir leyes relevantes regulaciones y poliacuteticas
Mejorar la relacioacuten entre TI y el Negocio
Mejorar el retorno del Gobierno Empresarial de TI
Conectarse y alinearse con otros frameworks y estaacutendares
VICTOR A VASQUEZ M
Beneficios para las empresas
Las Empresas y los Ejecutivos buscan Mantener informacioacuten de alta calidad que soporte las
decisiones del negocio Generar valor para el negocio de las inversiones habilitadas
por TI
Ej Alcanzar los objetivos estrateacutegicos y lograr beneficios a traveacutes del uso efectivo e innovador de la TI
Lograr la excelencia operacional a traveacutes de la aplicacioacuten confiable y eficiente de la tecnologiacutea
Mantener el riesgo relacionado con TI a un nivel aceptable Optimizar el costo de los servicios de TI y la tecnologiacutea
iquestCoacutemo pueden lograrse estos beneficios para crear valor a los stakeholders de una organizacioacuten
VICTOR A VASQUEZ M
Beneficios
COBIT 5
Define como punto inicial de las actividades de gobierno y gestioacuten las necesidades de los stakeholders relacionadas con la TI de la empresa
Crea una vista maacutes holiacutestica integrada y completa del gobierno y la gestioacuten de la TI de la empresa
Crea un lenguaje comuacuten entre TI y el negocio para el gobierno y la gestioacuten de la TI empresarial
Es consistente con estaacutendares de gobierno corporativo generalmente aceptados por lo que ayuda a cumplir los requerimientos regulatorios
copy 2012 ISACA All Rights Reserved
VICTOR A VASQUEZ M
Familia de Productos de COBIT 5
COBIT 5
Otras guiacuteas habilitadoras
COBIT 5 Procesos habilitadores
COBIT 5 Informacioacuten habilitadora
COBIT 5 Guiacuteas profesionales
Otras guiacuteas profesionales
COBIT 5 Implementacioacuten
COBIT 5Para seguridad de informacioacuten
COBIT 5Para riesgos
COBIT 5 ambiente colaborativo en liacutenea
COBIT 5 Guiacuteas habilitadoras
COBIT 5Para aseguramiento
VICTOR A VASQUEZ MDiapositiva No 38
Principios Baacutesicos de COBIT 5
VICTOR A VASQUEZ M
Principios de COBIT 5
Principios de
COBIT 5
1 Satisfacer las
necesidades de las partes interesadas
2 Cubrir la empresa de extremo a extremo
3 Aplicar un marco de referencia
uacutenico integrado
4 Hacer posible un
enfoque holiacutestico
5 Separar gobierno de
la gestioacuten
VICTOR A VASQUEZ M
5 Distinguir entre gobierno y gestioacuten
El gobierno asegura de que las necesidades condiciones y opciones de las partes interesadas
bull Son evaluadas para determinar las metas corporativas a alcanzar considerado que sean equilibradas y consensuadas
bull Establecen la direccioacuten por medio de la priorizacioacuten y la toma de decisiones
bull Mide el rendimiento cumplimiento y progreso contra las directrices y metas acordadas (EDM)
La gestioacuten planea construye ejecuta y monitorealas actividades de manera alineada con las directrices establecidas por el cuerpo de gobierno para el logro de las metas corporativas (PBRM) ndash Plan Build Run Monitor --- Plan Do Check Act
En la mayoriacutea de las empresas el gobierno es responsabilidad del
consejo de administracioacuten bajo el liderazgo de un Presidente
En la mayoriacutea de las empresas la gestioacuten es responsabilidad de la
Direccioacuten Ejecutiva bajo el liderazgo del Director General (CEO)
VICTOR A VASQUEZ M
5 Distinguir entre gobierno y gestioacuten
Modelo de referencia de procesos
P
1
2
34
5
APO02Gestionar la
estrategia
APO03Gestionar la arquitectura empresarial
APO04Gestionar la innovacioacuten
APO05Gestionar el
portafolio
APO06Gestionar el
presupuesto y los costos
APO07Gestionar los
recursos humanos
APO08Gestionar las
relaciones
APO09Gestionar los acuerdos del
servicio
APO10Gestionar los proveedores
APO11Gestionar
calidad
APO12Gestionar el
riesgo
APO13Gestionar la
seguridad
APO01Gestionar el
marco de gestioacuten de TI
PROCESOS PARA EL
GOBIERNO DE TIEVALUAR ORIENTAR Y
MONITOREAR
MEA01Supervisar evaluar
y valorar el rendimiento y cumplimiento
MEA02Supervisar evaluar y valorar el sistema de control interno
MEA03 Supervisar evaluar
y valorar la conformidad con
los requerimientos externos
DSS01Gestionar
operaciones
DSS02 Gestionar las
Peticiones y los Incidentes del
Servicio
DSS03Gestionar los
problemas
DSS04Gestionar la continuidad
DSS05Gestionar los servicios de seguridad
DSS06Gestionar los
controles de los procesos del
negocio
BAI02Gestionar la definicioacuten de
requisitos
BAI03Gestionar la
identificacioacuten y construccioacuten de
soluciones
BAI04Gestionar la
disponibilidad y capacidad
BAI05 Gestionar la
Introduccioacuten de Cambios
Organizativos
BAI06Gestionar los
cambios
BAI07Gestionar la
aceptacioacuten del cambio y la transicioacuten
BAI08Gestionar el
conocimiento
BAI09Gestionar los activos
BAI10Gestionar la
configuracioacuten
BAI01Gestionar
programas y proyectos
Alinear planear y organizar
Construir adquirir e implementar
Entregar dar servicio y soporte
Monitorear evaluar y
valorar
PROCESOS PARA LA GESTIOacuteN DE TI
EDM01 Asegurar el
Establecimiento y Mantenimiento del Marco de Gobierno
EDM02Asegurar la entrega
de beneficios
EDM03Asegurar la
optimizacioacuten de riesgos
EDM04Asegurar la
optimizacioacuten de recursos
EDM05Asegurar la
transparencia hacia las partes interesadas
VICTOR A VASQUEZ M
Resumen del mapeo de COBIT 5
copy 2012 ISACA All rights reserved
VICTOR A VASQUEZ M
VICTOR A VASQUEZ M17
Metodologiacutea General para la revisioacuten de controles y sistemas de
IT
Entendimiento 1
bullQue sistemas tiene la empresa En la Compantildeiacutea X se identifican los siguientes aplicativos
bull Nomina plus (RRHH) Aplicativo adquirido a la empresa SW con DB SQL Server y desarrollado en VBNet
bull Contaplus (Contabilidad) Aplicativo adquirido a la empresa SW con DB SQL Server y desarrollado en VBNet
bullSistema contable (SO DB LP)bullPrincipales Interfaces Se identifican interfaces con RH y Ventas estas tienen componente automaacuteticobullIdentificar Cuentas por Sistema
bullNominaplus 41000001-200bullContaplus Todas
bullProveedores Los principales proveedores son
bullTelefoccedilonica Comunicaciones
VICTOR A VASQUEZ M18
Algunos de los aspectos a identificar durante estaacute parte del trabajo son temas relacionados con organizacioacuten y administracioacuten de IT
Involucracioacuten de altos mandos Estrategia IT Gestioacuten del coste y la inversioacuten en IT Informes de gestioacuten del funcionamiento IT Gestioacuten a nivel de servicio Conformidad legal y regulatoria Gestioacuten de recursos humanos Informaacutetica a nivel de usuario Gestionar servicios de terceros Contabilidad de activos Gestioacuten de la infraestructura de seguridad Seguridad en descripcioacuten de trabajos y recursos
Metodologiacutea General para la revisioacuten de controles y sistemas de
IT
VICTOR A VASQUEZ M19
Metodologiacutea General para la revisioacuten de controles y sistemas de
IT
bullIdentificar el enfoquebullControlbullSustantivobullMixto
bullIdentificar principales sistemasbullERPbullNoacuteminabullFinancierobullComercial
bullIdentificar principales riesgos Depende directamente del tipo de negocio y objetivos estrateacutegicos de la Compantildeiacutea
bullDependenciasbullInformacioacutenbullCumplimiento LegalbullContinuidad
bullMapa de Sistemas e interfacesbullContabilidad-VentasbullContabilidad-ComprasbullContabilidad-Noacutemina
Planificacioacuten 2
VICTOR A VASQUEZ M20
Evaluacioacuten de Controles
bullRealizar ITGCbullGestioacuten Datos y ProgramasbullGestioacuten de CambiosbullDesarrollo de ProgramasbullOperaciones de ITbullComputacioacuten Usuario Final
bullRevisar procesos de Negocio DepenbullRevisar controles automaacuteticos
3
Metodologiacutea General para la revisioacuten de controles y sistemas de
IT
Acceso a Datos y Programas
Gestioacuten de Cambios
Desarrollo de ProgramasOperaciones de IT
Computacioacuten de Usuario Final
VICTOR A VASQUEZ M21
Metodologiacutea General para la revisioacuten de controles y sistemas de
IT
bullRealizacioacuten de TAACs (CAATs) Teacutecnicas de Auditoriacutea Asistidas por Ordenador
bullCalidad de la informacioacutenbullValidacioacuten de datosbullFacturas duplicadas
bullRecalculo de procesosbullFIFObullAmortizacioacutenbullPMPbullVNR
Pruebas Sustantivas 4H
E
R
R
A
M
I
E
N
T
A
S
D
A
T
A
A
N
A
L
I
S
I
S
S
I
M
U
L
A
C
I
O
N
VICTOR A VASQUEZ M22
Metodologiacutea General para la revisioacuten de controles y sistemas de
IT
VICTOR A VASQUEZ M
Caracteriacutesticas del control
Control
iquestQueacute
iquestQuieacuten
iquestCuaacutendo
FrecuenciaiquestCoacutemo
Evidencia
Riesgo
SalidasEntradas
VICTOR A VASQUEZ M24
Anaacutelisis de Riesgos y su importancia
La probabilidad de que una amenaza se concrete (accidentalmente o intencionalmente de activacioacuten explotar) aprovechando una vulnerabilidad del sistema de informacioacuten y generando un impacto econoacutemico
El impacto econoacutemico generado por el no cumplimiento de una ley o falta de responsabilidad legal
Algunos ejemplos de riesgo de IT son
No autorizada (intencionados o accidentales) la divulgacioacuten modificacioacuten o destruccioacuten de informacioacuten
Errores y omisiones no intencionales
Interrupciones por causas naturales o cataacutestrofes de origen humano
La falta de diligencia en la aplicacioacuten y el funcionamiento del sistema informaacutetico Proveer un nivel razonable de certeza de que los objetivos de cobertura del control interno son alcanzados
Porqueacute es importante
Para que no pase estohellip
VICTOR A VASQUEZ M
ROCA
NINtildeOS
CASA
AMENAZA
Algo que pueda explotar una vulnerabilidad intencional o accidentalmente y ocasionardantildeo o destruccioacuten del activo
Conceptos de riesgo
AMENAZA CONTROLVULNERABILIDAD RIESGO IMPACT0
VICTOR A VASQUEZ M
THREAT
ROCA
NINtildeOS
CASA
Debilidad o brecha que puedeser explotada por una amenaza en contra del activo
VULNERABILIDAD
Conceptos de riesgo
AMENAZA CONTROLVULNERABILIDAD RIESGO IMPACTO
VICTOR A VASQUEZ M
THREAT
ROCA
NINtildeOS
CASA
La peacuterdida dantildeo o destruccioacuten potencial sobre el active como resultado de laexplotacioacuten de vulnerabilidad
RIESGO Desprendimiento de la
piedra y caiacuteda sobre los nintildeos
AMENAZA CONTROLVULNERABILIDAD RIESGO IMPACTO
Conceptos de riesgo
VICTOR A VASQUEZ M
THREAT
ROCA
NINtildeOS
CASA
Cualquier accioacuten que ayude a reducir la probabilidad de que el riesgo ocurra o que ayuda a reducir el impacto si el riesgo ocurre
Conceptos de riesgo
AMENAZA CONTROLVULNERABILIDAD RIESGO IMPACTO
bull Riesgo residual depende del disentildeo y la eficacia
de los controles
IMPA
CT
O
PR
OB
AB
ILID
AD
VICTOR A VASQUEZ M
THREAT
ROCA
NINtildeOS
CASA
iquestCuaacuteles son las consecuencias y coacutemo se miden
Impacto peacuterdida de vidas o
dantildeo en la propiedad
Conceptos de riesgo
AMENAZA CONTROLVULNERABILIDAD RIESGO IMPACTO
VICTOR A VASQUEZ M30
Anaacutelisis de Riesgos y su importancia
VICTOR A VASQUEZ MDiapositiva No 31
Introduccioacuten a COBIT 5
VICTOR A VASQUEZ M
iquestPor queacute se desarrolloacute COBIT 5
El mandato de la Junta Directiva de ISACA ldquoUnir y reforzar todos los activos de conocimiento de ISACA con COBITrdquo
Proporcionar un marco de gobierno y de gestioacuten renovado y con la autoridad necesaria para la informacioacuten empresarial y las tecnologiacuteas relacionadas
Integrar los principales marcos y las guiacuteas de ISACA Alinearse con los principales marcos y estaacutendares en el
mercado
VICTOR A VASQUEZ M
Gobierno Empresarial de TI
COBIT 5
Gobierno
COBIT4041
Administracioacuten
COBIT 3
Control
COBIT 2
La evolucioacuten de COBIT 5
Auditoriacutea
COBIT 1
2005720001998
Evo
luci
oacuten
1996 2012
BMIS(2010)
Val IT 20(2008)
Risk IT(2009)
VICTOR A VASQUEZ M
Motivadores del desarrollo de COBIT 5
Proveer una guiacutea respecto a Arquitectura Empresarial
Gestioacuten de servicios y activos
Modelos organizacionales y de aprovisionamiento emergentes
Innovacioacuten y Tecnologiacuteas emergentes
Responsabilidades de punta a punta de TI y el negocio Controles para soluciones de TI iniciadas o controladas
por usuario Necesidades de las empresas de
Lograr la creacioacuten de valor
Obtener la satisfaccioacuten de los usuarios
Cumplir leyes relevantes regulaciones y poliacuteticas
Mejorar la relacioacuten entre TI y el Negocio
Mejorar el retorno del Gobierno Empresarial de TI
Conectarse y alinearse con otros frameworks y estaacutendares
VICTOR A VASQUEZ M
Beneficios para las empresas
Las Empresas y los Ejecutivos buscan Mantener informacioacuten de alta calidad que soporte las
decisiones del negocio Generar valor para el negocio de las inversiones habilitadas
por TI
Ej Alcanzar los objetivos estrateacutegicos y lograr beneficios a traveacutes del uso efectivo e innovador de la TI
Lograr la excelencia operacional a traveacutes de la aplicacioacuten confiable y eficiente de la tecnologiacutea
Mantener el riesgo relacionado con TI a un nivel aceptable Optimizar el costo de los servicios de TI y la tecnologiacutea
iquestCoacutemo pueden lograrse estos beneficios para crear valor a los stakeholders de una organizacioacuten
VICTOR A VASQUEZ M
Beneficios
COBIT 5
Define como punto inicial de las actividades de gobierno y gestioacuten las necesidades de los stakeholders relacionadas con la TI de la empresa
Crea una vista maacutes holiacutestica integrada y completa del gobierno y la gestioacuten de la TI de la empresa
Crea un lenguaje comuacuten entre TI y el negocio para el gobierno y la gestioacuten de la TI empresarial
Es consistente con estaacutendares de gobierno corporativo generalmente aceptados por lo que ayuda a cumplir los requerimientos regulatorios
copy 2012 ISACA All Rights Reserved
VICTOR A VASQUEZ M
Familia de Productos de COBIT 5
COBIT 5
Otras guiacuteas habilitadoras
COBIT 5 Procesos habilitadores
COBIT 5 Informacioacuten habilitadora
COBIT 5 Guiacuteas profesionales
Otras guiacuteas profesionales
COBIT 5 Implementacioacuten
COBIT 5Para seguridad de informacioacuten
COBIT 5Para riesgos
COBIT 5 ambiente colaborativo en liacutenea
COBIT 5 Guiacuteas habilitadoras
COBIT 5Para aseguramiento
VICTOR A VASQUEZ MDiapositiva No 38
Principios Baacutesicos de COBIT 5
VICTOR A VASQUEZ M
Principios de COBIT 5
Principios de
COBIT 5
1 Satisfacer las
necesidades de las partes interesadas
2 Cubrir la empresa de extremo a extremo
3 Aplicar un marco de referencia
uacutenico integrado
4 Hacer posible un
enfoque holiacutestico
5 Separar gobierno de
la gestioacuten
VICTOR A VASQUEZ M
5 Distinguir entre gobierno y gestioacuten
El gobierno asegura de que las necesidades condiciones y opciones de las partes interesadas
bull Son evaluadas para determinar las metas corporativas a alcanzar considerado que sean equilibradas y consensuadas
bull Establecen la direccioacuten por medio de la priorizacioacuten y la toma de decisiones
bull Mide el rendimiento cumplimiento y progreso contra las directrices y metas acordadas (EDM)
La gestioacuten planea construye ejecuta y monitorealas actividades de manera alineada con las directrices establecidas por el cuerpo de gobierno para el logro de las metas corporativas (PBRM) ndash Plan Build Run Monitor --- Plan Do Check Act
En la mayoriacutea de las empresas el gobierno es responsabilidad del
consejo de administracioacuten bajo el liderazgo de un Presidente
En la mayoriacutea de las empresas la gestioacuten es responsabilidad de la
Direccioacuten Ejecutiva bajo el liderazgo del Director General (CEO)
VICTOR A VASQUEZ M
5 Distinguir entre gobierno y gestioacuten
Modelo de referencia de procesos
P
1
2
34
5
APO02Gestionar la
estrategia
APO03Gestionar la arquitectura empresarial
APO04Gestionar la innovacioacuten
APO05Gestionar el
portafolio
APO06Gestionar el
presupuesto y los costos
APO07Gestionar los
recursos humanos
APO08Gestionar las
relaciones
APO09Gestionar los acuerdos del
servicio
APO10Gestionar los proveedores
APO11Gestionar
calidad
APO12Gestionar el
riesgo
APO13Gestionar la
seguridad
APO01Gestionar el
marco de gestioacuten de TI
PROCESOS PARA EL
GOBIERNO DE TIEVALUAR ORIENTAR Y
MONITOREAR
MEA01Supervisar evaluar
y valorar el rendimiento y cumplimiento
MEA02Supervisar evaluar y valorar el sistema de control interno
MEA03 Supervisar evaluar
y valorar la conformidad con
los requerimientos externos
DSS01Gestionar
operaciones
DSS02 Gestionar las
Peticiones y los Incidentes del
Servicio
DSS03Gestionar los
problemas
DSS04Gestionar la continuidad
DSS05Gestionar los servicios de seguridad
DSS06Gestionar los
controles de los procesos del
negocio
BAI02Gestionar la definicioacuten de
requisitos
BAI03Gestionar la
identificacioacuten y construccioacuten de
soluciones
BAI04Gestionar la
disponibilidad y capacidad
BAI05 Gestionar la
Introduccioacuten de Cambios
Organizativos
BAI06Gestionar los
cambios
BAI07Gestionar la
aceptacioacuten del cambio y la transicioacuten
BAI08Gestionar el
conocimiento
BAI09Gestionar los activos
BAI10Gestionar la
configuracioacuten
BAI01Gestionar
programas y proyectos
Alinear planear y organizar
Construir adquirir e implementar
Entregar dar servicio y soporte
Monitorear evaluar y
valorar
PROCESOS PARA LA GESTIOacuteN DE TI
EDM01 Asegurar el
Establecimiento y Mantenimiento del Marco de Gobierno
EDM02Asegurar la entrega
de beneficios
EDM03Asegurar la
optimizacioacuten de riesgos
EDM04Asegurar la
optimizacioacuten de recursos
EDM05Asegurar la
transparencia hacia las partes interesadas
VICTOR A VASQUEZ M
Resumen del mapeo de COBIT 5
copy 2012 ISACA All rights reserved
VICTOR A VASQUEZ M
VICTOR A VASQUEZ M18
Algunos de los aspectos a identificar durante estaacute parte del trabajo son temas relacionados con organizacioacuten y administracioacuten de IT
Involucracioacuten de altos mandos Estrategia IT Gestioacuten del coste y la inversioacuten en IT Informes de gestioacuten del funcionamiento IT Gestioacuten a nivel de servicio Conformidad legal y regulatoria Gestioacuten de recursos humanos Informaacutetica a nivel de usuario Gestionar servicios de terceros Contabilidad de activos Gestioacuten de la infraestructura de seguridad Seguridad en descripcioacuten de trabajos y recursos
Metodologiacutea General para la revisioacuten de controles y sistemas de
IT
VICTOR A VASQUEZ M19
Metodologiacutea General para la revisioacuten de controles y sistemas de
IT
bullIdentificar el enfoquebullControlbullSustantivobullMixto
bullIdentificar principales sistemasbullERPbullNoacuteminabullFinancierobullComercial
bullIdentificar principales riesgos Depende directamente del tipo de negocio y objetivos estrateacutegicos de la Compantildeiacutea
bullDependenciasbullInformacioacutenbullCumplimiento LegalbullContinuidad
bullMapa de Sistemas e interfacesbullContabilidad-VentasbullContabilidad-ComprasbullContabilidad-Noacutemina
Planificacioacuten 2
VICTOR A VASQUEZ M20
Evaluacioacuten de Controles
bullRealizar ITGCbullGestioacuten Datos y ProgramasbullGestioacuten de CambiosbullDesarrollo de ProgramasbullOperaciones de ITbullComputacioacuten Usuario Final
bullRevisar procesos de Negocio DepenbullRevisar controles automaacuteticos
3
Metodologiacutea General para la revisioacuten de controles y sistemas de
IT
Acceso a Datos y Programas
Gestioacuten de Cambios
Desarrollo de ProgramasOperaciones de IT
Computacioacuten de Usuario Final
VICTOR A VASQUEZ M21
Metodologiacutea General para la revisioacuten de controles y sistemas de
IT
bullRealizacioacuten de TAACs (CAATs) Teacutecnicas de Auditoriacutea Asistidas por Ordenador
bullCalidad de la informacioacutenbullValidacioacuten de datosbullFacturas duplicadas
bullRecalculo de procesosbullFIFObullAmortizacioacutenbullPMPbullVNR
Pruebas Sustantivas 4H
E
R
R
A
M
I
E
N
T
A
S
D
A
T
A
A
N
A
L
I
S
I
S
S
I
M
U
L
A
C
I
O
N
VICTOR A VASQUEZ M22
Metodologiacutea General para la revisioacuten de controles y sistemas de
IT
VICTOR A VASQUEZ M
Caracteriacutesticas del control
Control
iquestQueacute
iquestQuieacuten
iquestCuaacutendo
FrecuenciaiquestCoacutemo
Evidencia
Riesgo
SalidasEntradas
VICTOR A VASQUEZ M24
Anaacutelisis de Riesgos y su importancia
La probabilidad de que una amenaza se concrete (accidentalmente o intencionalmente de activacioacuten explotar) aprovechando una vulnerabilidad del sistema de informacioacuten y generando un impacto econoacutemico
El impacto econoacutemico generado por el no cumplimiento de una ley o falta de responsabilidad legal
Algunos ejemplos de riesgo de IT son
No autorizada (intencionados o accidentales) la divulgacioacuten modificacioacuten o destruccioacuten de informacioacuten
Errores y omisiones no intencionales
Interrupciones por causas naturales o cataacutestrofes de origen humano
La falta de diligencia en la aplicacioacuten y el funcionamiento del sistema informaacutetico Proveer un nivel razonable de certeza de que los objetivos de cobertura del control interno son alcanzados
Porqueacute es importante
Para que no pase estohellip
VICTOR A VASQUEZ M
ROCA
NINtildeOS
CASA
AMENAZA
Algo que pueda explotar una vulnerabilidad intencional o accidentalmente y ocasionardantildeo o destruccioacuten del activo
Conceptos de riesgo
AMENAZA CONTROLVULNERABILIDAD RIESGO IMPACT0
VICTOR A VASQUEZ M
THREAT
ROCA
NINtildeOS
CASA
Debilidad o brecha que puedeser explotada por una amenaza en contra del activo
VULNERABILIDAD
Conceptos de riesgo
AMENAZA CONTROLVULNERABILIDAD RIESGO IMPACTO
VICTOR A VASQUEZ M
THREAT
ROCA
NINtildeOS
CASA
La peacuterdida dantildeo o destruccioacuten potencial sobre el active como resultado de laexplotacioacuten de vulnerabilidad
RIESGO Desprendimiento de la
piedra y caiacuteda sobre los nintildeos
AMENAZA CONTROLVULNERABILIDAD RIESGO IMPACTO
Conceptos de riesgo
VICTOR A VASQUEZ M
THREAT
ROCA
NINtildeOS
CASA
Cualquier accioacuten que ayude a reducir la probabilidad de que el riesgo ocurra o que ayuda a reducir el impacto si el riesgo ocurre
Conceptos de riesgo
AMENAZA CONTROLVULNERABILIDAD RIESGO IMPACTO
bull Riesgo residual depende del disentildeo y la eficacia
de los controles
IMPA
CT
O
PR
OB
AB
ILID
AD
VICTOR A VASQUEZ M
THREAT
ROCA
NINtildeOS
CASA
iquestCuaacuteles son las consecuencias y coacutemo se miden
Impacto peacuterdida de vidas o
dantildeo en la propiedad
Conceptos de riesgo
AMENAZA CONTROLVULNERABILIDAD RIESGO IMPACTO
VICTOR A VASQUEZ M30
Anaacutelisis de Riesgos y su importancia
VICTOR A VASQUEZ MDiapositiva No 31
Introduccioacuten a COBIT 5
VICTOR A VASQUEZ M
iquestPor queacute se desarrolloacute COBIT 5
El mandato de la Junta Directiva de ISACA ldquoUnir y reforzar todos los activos de conocimiento de ISACA con COBITrdquo
Proporcionar un marco de gobierno y de gestioacuten renovado y con la autoridad necesaria para la informacioacuten empresarial y las tecnologiacuteas relacionadas
Integrar los principales marcos y las guiacuteas de ISACA Alinearse con los principales marcos y estaacutendares en el
mercado
VICTOR A VASQUEZ M
Gobierno Empresarial de TI
COBIT 5
Gobierno
COBIT4041
Administracioacuten
COBIT 3
Control
COBIT 2
La evolucioacuten de COBIT 5
Auditoriacutea
COBIT 1
2005720001998
Evo
luci
oacuten
1996 2012
BMIS(2010)
Val IT 20(2008)
Risk IT(2009)
VICTOR A VASQUEZ M
Motivadores del desarrollo de COBIT 5
Proveer una guiacutea respecto a Arquitectura Empresarial
Gestioacuten de servicios y activos
Modelos organizacionales y de aprovisionamiento emergentes
Innovacioacuten y Tecnologiacuteas emergentes
Responsabilidades de punta a punta de TI y el negocio Controles para soluciones de TI iniciadas o controladas
por usuario Necesidades de las empresas de
Lograr la creacioacuten de valor
Obtener la satisfaccioacuten de los usuarios
Cumplir leyes relevantes regulaciones y poliacuteticas
Mejorar la relacioacuten entre TI y el Negocio
Mejorar el retorno del Gobierno Empresarial de TI
Conectarse y alinearse con otros frameworks y estaacutendares
VICTOR A VASQUEZ M
Beneficios para las empresas
Las Empresas y los Ejecutivos buscan Mantener informacioacuten de alta calidad que soporte las
decisiones del negocio Generar valor para el negocio de las inversiones habilitadas
por TI
Ej Alcanzar los objetivos estrateacutegicos y lograr beneficios a traveacutes del uso efectivo e innovador de la TI
Lograr la excelencia operacional a traveacutes de la aplicacioacuten confiable y eficiente de la tecnologiacutea
Mantener el riesgo relacionado con TI a un nivel aceptable Optimizar el costo de los servicios de TI y la tecnologiacutea
iquestCoacutemo pueden lograrse estos beneficios para crear valor a los stakeholders de una organizacioacuten
VICTOR A VASQUEZ M
Beneficios
COBIT 5
Define como punto inicial de las actividades de gobierno y gestioacuten las necesidades de los stakeholders relacionadas con la TI de la empresa
Crea una vista maacutes holiacutestica integrada y completa del gobierno y la gestioacuten de la TI de la empresa
Crea un lenguaje comuacuten entre TI y el negocio para el gobierno y la gestioacuten de la TI empresarial
Es consistente con estaacutendares de gobierno corporativo generalmente aceptados por lo que ayuda a cumplir los requerimientos regulatorios
copy 2012 ISACA All Rights Reserved
VICTOR A VASQUEZ M
Familia de Productos de COBIT 5
COBIT 5
Otras guiacuteas habilitadoras
COBIT 5 Procesos habilitadores
COBIT 5 Informacioacuten habilitadora
COBIT 5 Guiacuteas profesionales
Otras guiacuteas profesionales
COBIT 5 Implementacioacuten
COBIT 5Para seguridad de informacioacuten
COBIT 5Para riesgos
COBIT 5 ambiente colaborativo en liacutenea
COBIT 5 Guiacuteas habilitadoras
COBIT 5Para aseguramiento
VICTOR A VASQUEZ MDiapositiva No 38
Principios Baacutesicos de COBIT 5
VICTOR A VASQUEZ M
Principios de COBIT 5
Principios de
COBIT 5
1 Satisfacer las
necesidades de las partes interesadas
2 Cubrir la empresa de extremo a extremo
3 Aplicar un marco de referencia
uacutenico integrado
4 Hacer posible un
enfoque holiacutestico
5 Separar gobierno de
la gestioacuten
VICTOR A VASQUEZ M
5 Distinguir entre gobierno y gestioacuten
El gobierno asegura de que las necesidades condiciones y opciones de las partes interesadas
bull Son evaluadas para determinar las metas corporativas a alcanzar considerado que sean equilibradas y consensuadas
bull Establecen la direccioacuten por medio de la priorizacioacuten y la toma de decisiones
bull Mide el rendimiento cumplimiento y progreso contra las directrices y metas acordadas (EDM)
La gestioacuten planea construye ejecuta y monitorealas actividades de manera alineada con las directrices establecidas por el cuerpo de gobierno para el logro de las metas corporativas (PBRM) ndash Plan Build Run Monitor --- Plan Do Check Act
En la mayoriacutea de las empresas el gobierno es responsabilidad del
consejo de administracioacuten bajo el liderazgo de un Presidente
En la mayoriacutea de las empresas la gestioacuten es responsabilidad de la
Direccioacuten Ejecutiva bajo el liderazgo del Director General (CEO)
VICTOR A VASQUEZ M
5 Distinguir entre gobierno y gestioacuten
Modelo de referencia de procesos
P
1
2
34
5
APO02Gestionar la
estrategia
APO03Gestionar la arquitectura empresarial
APO04Gestionar la innovacioacuten
APO05Gestionar el
portafolio
APO06Gestionar el
presupuesto y los costos
APO07Gestionar los
recursos humanos
APO08Gestionar las
relaciones
APO09Gestionar los acuerdos del
servicio
APO10Gestionar los proveedores
APO11Gestionar
calidad
APO12Gestionar el
riesgo
APO13Gestionar la
seguridad
APO01Gestionar el
marco de gestioacuten de TI
PROCESOS PARA EL
GOBIERNO DE TIEVALUAR ORIENTAR Y
MONITOREAR
MEA01Supervisar evaluar
y valorar el rendimiento y cumplimiento
MEA02Supervisar evaluar y valorar el sistema de control interno
MEA03 Supervisar evaluar
y valorar la conformidad con
los requerimientos externos
DSS01Gestionar
operaciones
DSS02 Gestionar las
Peticiones y los Incidentes del
Servicio
DSS03Gestionar los
problemas
DSS04Gestionar la continuidad
DSS05Gestionar los servicios de seguridad
DSS06Gestionar los
controles de los procesos del
negocio
BAI02Gestionar la definicioacuten de
requisitos
BAI03Gestionar la
identificacioacuten y construccioacuten de
soluciones
BAI04Gestionar la
disponibilidad y capacidad
BAI05 Gestionar la
Introduccioacuten de Cambios
Organizativos
BAI06Gestionar los
cambios
BAI07Gestionar la
aceptacioacuten del cambio y la transicioacuten
BAI08Gestionar el
conocimiento
BAI09Gestionar los activos
BAI10Gestionar la
configuracioacuten
BAI01Gestionar
programas y proyectos
Alinear planear y organizar
Construir adquirir e implementar
Entregar dar servicio y soporte
Monitorear evaluar y
valorar
PROCESOS PARA LA GESTIOacuteN DE TI
EDM01 Asegurar el
Establecimiento y Mantenimiento del Marco de Gobierno
EDM02Asegurar la entrega
de beneficios
EDM03Asegurar la
optimizacioacuten de riesgos
EDM04Asegurar la
optimizacioacuten de recursos
EDM05Asegurar la
transparencia hacia las partes interesadas
VICTOR A VASQUEZ M
Resumen del mapeo de COBIT 5
copy 2012 ISACA All rights reserved
VICTOR A VASQUEZ M
VICTOR A VASQUEZ M19
Metodologiacutea General para la revisioacuten de controles y sistemas de
IT
bullIdentificar el enfoquebullControlbullSustantivobullMixto
bullIdentificar principales sistemasbullERPbullNoacuteminabullFinancierobullComercial
bullIdentificar principales riesgos Depende directamente del tipo de negocio y objetivos estrateacutegicos de la Compantildeiacutea
bullDependenciasbullInformacioacutenbullCumplimiento LegalbullContinuidad
bullMapa de Sistemas e interfacesbullContabilidad-VentasbullContabilidad-ComprasbullContabilidad-Noacutemina
Planificacioacuten 2
VICTOR A VASQUEZ M20
Evaluacioacuten de Controles
bullRealizar ITGCbullGestioacuten Datos y ProgramasbullGestioacuten de CambiosbullDesarrollo de ProgramasbullOperaciones de ITbullComputacioacuten Usuario Final
bullRevisar procesos de Negocio DepenbullRevisar controles automaacuteticos
3
Metodologiacutea General para la revisioacuten de controles y sistemas de
IT
Acceso a Datos y Programas
Gestioacuten de Cambios
Desarrollo de ProgramasOperaciones de IT
Computacioacuten de Usuario Final
VICTOR A VASQUEZ M21
Metodologiacutea General para la revisioacuten de controles y sistemas de
IT
bullRealizacioacuten de TAACs (CAATs) Teacutecnicas de Auditoriacutea Asistidas por Ordenador
bullCalidad de la informacioacutenbullValidacioacuten de datosbullFacturas duplicadas
bullRecalculo de procesosbullFIFObullAmortizacioacutenbullPMPbullVNR
Pruebas Sustantivas 4H
E
R
R
A
M
I
E
N
T
A
S
D
A
T
A
A
N
A
L
I
S
I
S
S
I
M
U
L
A
C
I
O
N
VICTOR A VASQUEZ M22
Metodologiacutea General para la revisioacuten de controles y sistemas de
IT
VICTOR A VASQUEZ M
Caracteriacutesticas del control
Control
iquestQueacute
iquestQuieacuten
iquestCuaacutendo
FrecuenciaiquestCoacutemo
Evidencia
Riesgo
SalidasEntradas
VICTOR A VASQUEZ M24
Anaacutelisis de Riesgos y su importancia
La probabilidad de que una amenaza se concrete (accidentalmente o intencionalmente de activacioacuten explotar) aprovechando una vulnerabilidad del sistema de informacioacuten y generando un impacto econoacutemico
El impacto econoacutemico generado por el no cumplimiento de una ley o falta de responsabilidad legal
Algunos ejemplos de riesgo de IT son
No autorizada (intencionados o accidentales) la divulgacioacuten modificacioacuten o destruccioacuten de informacioacuten
Errores y omisiones no intencionales
Interrupciones por causas naturales o cataacutestrofes de origen humano
La falta de diligencia en la aplicacioacuten y el funcionamiento del sistema informaacutetico Proveer un nivel razonable de certeza de que los objetivos de cobertura del control interno son alcanzados
Porqueacute es importante
Para que no pase estohellip
VICTOR A VASQUEZ M
ROCA
NINtildeOS
CASA
AMENAZA
Algo que pueda explotar una vulnerabilidad intencional o accidentalmente y ocasionardantildeo o destruccioacuten del activo
Conceptos de riesgo
AMENAZA CONTROLVULNERABILIDAD RIESGO IMPACT0
VICTOR A VASQUEZ M
THREAT
ROCA
NINtildeOS
CASA
Debilidad o brecha que puedeser explotada por una amenaza en contra del activo
VULNERABILIDAD
Conceptos de riesgo
AMENAZA CONTROLVULNERABILIDAD RIESGO IMPACTO
VICTOR A VASQUEZ M
THREAT
ROCA
NINtildeOS
CASA
La peacuterdida dantildeo o destruccioacuten potencial sobre el active como resultado de laexplotacioacuten de vulnerabilidad
RIESGO Desprendimiento de la
piedra y caiacuteda sobre los nintildeos
AMENAZA CONTROLVULNERABILIDAD RIESGO IMPACTO
Conceptos de riesgo
VICTOR A VASQUEZ M
THREAT
ROCA
NINtildeOS
CASA
Cualquier accioacuten que ayude a reducir la probabilidad de que el riesgo ocurra o que ayuda a reducir el impacto si el riesgo ocurre
Conceptos de riesgo
AMENAZA CONTROLVULNERABILIDAD RIESGO IMPACTO
bull Riesgo residual depende del disentildeo y la eficacia
de los controles
IMPA
CT
O
PR
OB
AB
ILID
AD
VICTOR A VASQUEZ M
THREAT
ROCA
NINtildeOS
CASA
iquestCuaacuteles son las consecuencias y coacutemo se miden
Impacto peacuterdida de vidas o
dantildeo en la propiedad
Conceptos de riesgo
AMENAZA CONTROLVULNERABILIDAD RIESGO IMPACTO
VICTOR A VASQUEZ M30
Anaacutelisis de Riesgos y su importancia
VICTOR A VASQUEZ MDiapositiva No 31
Introduccioacuten a COBIT 5
VICTOR A VASQUEZ M
iquestPor queacute se desarrolloacute COBIT 5
El mandato de la Junta Directiva de ISACA ldquoUnir y reforzar todos los activos de conocimiento de ISACA con COBITrdquo
Proporcionar un marco de gobierno y de gestioacuten renovado y con la autoridad necesaria para la informacioacuten empresarial y las tecnologiacuteas relacionadas
Integrar los principales marcos y las guiacuteas de ISACA Alinearse con los principales marcos y estaacutendares en el
mercado
VICTOR A VASQUEZ M
Gobierno Empresarial de TI
COBIT 5
Gobierno
COBIT4041
Administracioacuten
COBIT 3
Control
COBIT 2
La evolucioacuten de COBIT 5
Auditoriacutea
COBIT 1
2005720001998
Evo
luci
oacuten
1996 2012
BMIS(2010)
Val IT 20(2008)
Risk IT(2009)
VICTOR A VASQUEZ M
Motivadores del desarrollo de COBIT 5
Proveer una guiacutea respecto a Arquitectura Empresarial
Gestioacuten de servicios y activos
Modelos organizacionales y de aprovisionamiento emergentes
Innovacioacuten y Tecnologiacuteas emergentes
Responsabilidades de punta a punta de TI y el negocio Controles para soluciones de TI iniciadas o controladas
por usuario Necesidades de las empresas de
Lograr la creacioacuten de valor
Obtener la satisfaccioacuten de los usuarios
Cumplir leyes relevantes regulaciones y poliacuteticas
Mejorar la relacioacuten entre TI y el Negocio
Mejorar el retorno del Gobierno Empresarial de TI
Conectarse y alinearse con otros frameworks y estaacutendares
VICTOR A VASQUEZ M
Beneficios para las empresas
Las Empresas y los Ejecutivos buscan Mantener informacioacuten de alta calidad que soporte las
decisiones del negocio Generar valor para el negocio de las inversiones habilitadas
por TI
Ej Alcanzar los objetivos estrateacutegicos y lograr beneficios a traveacutes del uso efectivo e innovador de la TI
Lograr la excelencia operacional a traveacutes de la aplicacioacuten confiable y eficiente de la tecnologiacutea
Mantener el riesgo relacionado con TI a un nivel aceptable Optimizar el costo de los servicios de TI y la tecnologiacutea
iquestCoacutemo pueden lograrse estos beneficios para crear valor a los stakeholders de una organizacioacuten
VICTOR A VASQUEZ M
Beneficios
COBIT 5
Define como punto inicial de las actividades de gobierno y gestioacuten las necesidades de los stakeholders relacionadas con la TI de la empresa
Crea una vista maacutes holiacutestica integrada y completa del gobierno y la gestioacuten de la TI de la empresa
Crea un lenguaje comuacuten entre TI y el negocio para el gobierno y la gestioacuten de la TI empresarial
Es consistente con estaacutendares de gobierno corporativo generalmente aceptados por lo que ayuda a cumplir los requerimientos regulatorios
copy 2012 ISACA All Rights Reserved
VICTOR A VASQUEZ M
Familia de Productos de COBIT 5
COBIT 5
Otras guiacuteas habilitadoras
COBIT 5 Procesos habilitadores
COBIT 5 Informacioacuten habilitadora
COBIT 5 Guiacuteas profesionales
Otras guiacuteas profesionales
COBIT 5 Implementacioacuten
COBIT 5Para seguridad de informacioacuten
COBIT 5Para riesgos
COBIT 5 ambiente colaborativo en liacutenea
COBIT 5 Guiacuteas habilitadoras
COBIT 5Para aseguramiento
VICTOR A VASQUEZ MDiapositiva No 38
Principios Baacutesicos de COBIT 5
VICTOR A VASQUEZ M
Principios de COBIT 5
Principios de
COBIT 5
1 Satisfacer las
necesidades de las partes interesadas
2 Cubrir la empresa de extremo a extremo
3 Aplicar un marco de referencia
uacutenico integrado
4 Hacer posible un
enfoque holiacutestico
5 Separar gobierno de
la gestioacuten
VICTOR A VASQUEZ M
5 Distinguir entre gobierno y gestioacuten
El gobierno asegura de que las necesidades condiciones y opciones de las partes interesadas
bull Son evaluadas para determinar las metas corporativas a alcanzar considerado que sean equilibradas y consensuadas
bull Establecen la direccioacuten por medio de la priorizacioacuten y la toma de decisiones
bull Mide el rendimiento cumplimiento y progreso contra las directrices y metas acordadas (EDM)
La gestioacuten planea construye ejecuta y monitorealas actividades de manera alineada con las directrices establecidas por el cuerpo de gobierno para el logro de las metas corporativas (PBRM) ndash Plan Build Run Monitor --- Plan Do Check Act
En la mayoriacutea de las empresas el gobierno es responsabilidad del
consejo de administracioacuten bajo el liderazgo de un Presidente
En la mayoriacutea de las empresas la gestioacuten es responsabilidad de la
Direccioacuten Ejecutiva bajo el liderazgo del Director General (CEO)
VICTOR A VASQUEZ M
5 Distinguir entre gobierno y gestioacuten
Modelo de referencia de procesos
P
1
2
34
5
APO02Gestionar la
estrategia
APO03Gestionar la arquitectura empresarial
APO04Gestionar la innovacioacuten
APO05Gestionar el
portafolio
APO06Gestionar el
presupuesto y los costos
APO07Gestionar los
recursos humanos
APO08Gestionar las
relaciones
APO09Gestionar los acuerdos del
servicio
APO10Gestionar los proveedores
APO11Gestionar
calidad
APO12Gestionar el
riesgo
APO13Gestionar la
seguridad
APO01Gestionar el
marco de gestioacuten de TI
PROCESOS PARA EL
GOBIERNO DE TIEVALUAR ORIENTAR Y
MONITOREAR
MEA01Supervisar evaluar
y valorar el rendimiento y cumplimiento
MEA02Supervisar evaluar y valorar el sistema de control interno
MEA03 Supervisar evaluar
y valorar la conformidad con
los requerimientos externos
DSS01Gestionar
operaciones
DSS02 Gestionar las
Peticiones y los Incidentes del
Servicio
DSS03Gestionar los
problemas
DSS04Gestionar la continuidad
DSS05Gestionar los servicios de seguridad
DSS06Gestionar los
controles de los procesos del
negocio
BAI02Gestionar la definicioacuten de
requisitos
BAI03Gestionar la
identificacioacuten y construccioacuten de
soluciones
BAI04Gestionar la
disponibilidad y capacidad
BAI05 Gestionar la
Introduccioacuten de Cambios
Organizativos
BAI06Gestionar los
cambios
BAI07Gestionar la
aceptacioacuten del cambio y la transicioacuten
BAI08Gestionar el
conocimiento
BAI09Gestionar los activos
BAI10Gestionar la
configuracioacuten
BAI01Gestionar
programas y proyectos
Alinear planear y organizar
Construir adquirir e implementar
Entregar dar servicio y soporte
Monitorear evaluar y
valorar
PROCESOS PARA LA GESTIOacuteN DE TI
EDM01 Asegurar el
Establecimiento y Mantenimiento del Marco de Gobierno
EDM02Asegurar la entrega
de beneficios
EDM03Asegurar la
optimizacioacuten de riesgos
EDM04Asegurar la
optimizacioacuten de recursos
EDM05Asegurar la
transparencia hacia las partes interesadas
VICTOR A VASQUEZ M
Resumen del mapeo de COBIT 5
copy 2012 ISACA All rights reserved
VICTOR A VASQUEZ M
VICTOR A VASQUEZ M20
Evaluacioacuten de Controles
bullRealizar ITGCbullGestioacuten Datos y ProgramasbullGestioacuten de CambiosbullDesarrollo de ProgramasbullOperaciones de ITbullComputacioacuten Usuario Final
bullRevisar procesos de Negocio DepenbullRevisar controles automaacuteticos
3
Metodologiacutea General para la revisioacuten de controles y sistemas de
IT
Acceso a Datos y Programas
Gestioacuten de Cambios
Desarrollo de ProgramasOperaciones de IT
Computacioacuten de Usuario Final
VICTOR A VASQUEZ M21
Metodologiacutea General para la revisioacuten de controles y sistemas de
IT
bullRealizacioacuten de TAACs (CAATs) Teacutecnicas de Auditoriacutea Asistidas por Ordenador
bullCalidad de la informacioacutenbullValidacioacuten de datosbullFacturas duplicadas
bullRecalculo de procesosbullFIFObullAmortizacioacutenbullPMPbullVNR
Pruebas Sustantivas 4H
E
R
R
A
M
I
E
N
T
A
S
D
A
T
A
A
N
A
L
I
S
I
S
S
I
M
U
L
A
C
I
O
N
VICTOR A VASQUEZ M22
Metodologiacutea General para la revisioacuten de controles y sistemas de
IT
VICTOR A VASQUEZ M
Caracteriacutesticas del control
Control
iquestQueacute
iquestQuieacuten
iquestCuaacutendo
FrecuenciaiquestCoacutemo
Evidencia
Riesgo
SalidasEntradas
VICTOR A VASQUEZ M24
Anaacutelisis de Riesgos y su importancia
La probabilidad de que una amenaza se concrete (accidentalmente o intencionalmente de activacioacuten explotar) aprovechando una vulnerabilidad del sistema de informacioacuten y generando un impacto econoacutemico
El impacto econoacutemico generado por el no cumplimiento de una ley o falta de responsabilidad legal
Algunos ejemplos de riesgo de IT son
No autorizada (intencionados o accidentales) la divulgacioacuten modificacioacuten o destruccioacuten de informacioacuten
Errores y omisiones no intencionales
Interrupciones por causas naturales o cataacutestrofes de origen humano
La falta de diligencia en la aplicacioacuten y el funcionamiento del sistema informaacutetico Proveer un nivel razonable de certeza de que los objetivos de cobertura del control interno son alcanzados
Porqueacute es importante
Para que no pase estohellip
VICTOR A VASQUEZ M
ROCA
NINtildeOS
CASA
AMENAZA
Algo que pueda explotar una vulnerabilidad intencional o accidentalmente y ocasionardantildeo o destruccioacuten del activo
Conceptos de riesgo
AMENAZA CONTROLVULNERABILIDAD RIESGO IMPACT0
VICTOR A VASQUEZ M
THREAT
ROCA
NINtildeOS
CASA
Debilidad o brecha que puedeser explotada por una amenaza en contra del activo
VULNERABILIDAD
Conceptos de riesgo
AMENAZA CONTROLVULNERABILIDAD RIESGO IMPACTO
VICTOR A VASQUEZ M
THREAT
ROCA
NINtildeOS
CASA
La peacuterdida dantildeo o destruccioacuten potencial sobre el active como resultado de laexplotacioacuten de vulnerabilidad
RIESGO Desprendimiento de la
piedra y caiacuteda sobre los nintildeos
AMENAZA CONTROLVULNERABILIDAD RIESGO IMPACTO
Conceptos de riesgo
VICTOR A VASQUEZ M
THREAT
ROCA
NINtildeOS
CASA
Cualquier accioacuten que ayude a reducir la probabilidad de que el riesgo ocurra o que ayuda a reducir el impacto si el riesgo ocurre
Conceptos de riesgo
AMENAZA CONTROLVULNERABILIDAD RIESGO IMPACTO
bull Riesgo residual depende del disentildeo y la eficacia
de los controles
IMPA
CT
O
PR
OB
AB
ILID
AD
VICTOR A VASQUEZ M
THREAT
ROCA
NINtildeOS
CASA
iquestCuaacuteles son las consecuencias y coacutemo se miden
Impacto peacuterdida de vidas o
dantildeo en la propiedad
Conceptos de riesgo
AMENAZA CONTROLVULNERABILIDAD RIESGO IMPACTO
VICTOR A VASQUEZ M30
Anaacutelisis de Riesgos y su importancia
VICTOR A VASQUEZ MDiapositiva No 31
Introduccioacuten a COBIT 5
VICTOR A VASQUEZ M
iquestPor queacute se desarrolloacute COBIT 5
El mandato de la Junta Directiva de ISACA ldquoUnir y reforzar todos los activos de conocimiento de ISACA con COBITrdquo
Proporcionar un marco de gobierno y de gestioacuten renovado y con la autoridad necesaria para la informacioacuten empresarial y las tecnologiacuteas relacionadas
Integrar los principales marcos y las guiacuteas de ISACA Alinearse con los principales marcos y estaacutendares en el
mercado
VICTOR A VASQUEZ M
Gobierno Empresarial de TI
COBIT 5
Gobierno
COBIT4041
Administracioacuten
COBIT 3
Control
COBIT 2
La evolucioacuten de COBIT 5
Auditoriacutea
COBIT 1
2005720001998
Evo
luci
oacuten
1996 2012
BMIS(2010)
Val IT 20(2008)
Risk IT(2009)
VICTOR A VASQUEZ M
Motivadores del desarrollo de COBIT 5
Proveer una guiacutea respecto a Arquitectura Empresarial
Gestioacuten de servicios y activos
Modelos organizacionales y de aprovisionamiento emergentes
Innovacioacuten y Tecnologiacuteas emergentes
Responsabilidades de punta a punta de TI y el negocio Controles para soluciones de TI iniciadas o controladas
por usuario Necesidades de las empresas de
Lograr la creacioacuten de valor
Obtener la satisfaccioacuten de los usuarios
Cumplir leyes relevantes regulaciones y poliacuteticas
Mejorar la relacioacuten entre TI y el Negocio
Mejorar el retorno del Gobierno Empresarial de TI
Conectarse y alinearse con otros frameworks y estaacutendares
VICTOR A VASQUEZ M
Beneficios para las empresas
Las Empresas y los Ejecutivos buscan Mantener informacioacuten de alta calidad que soporte las
decisiones del negocio Generar valor para el negocio de las inversiones habilitadas
por TI
Ej Alcanzar los objetivos estrateacutegicos y lograr beneficios a traveacutes del uso efectivo e innovador de la TI
Lograr la excelencia operacional a traveacutes de la aplicacioacuten confiable y eficiente de la tecnologiacutea
Mantener el riesgo relacionado con TI a un nivel aceptable Optimizar el costo de los servicios de TI y la tecnologiacutea
iquestCoacutemo pueden lograrse estos beneficios para crear valor a los stakeholders de una organizacioacuten
VICTOR A VASQUEZ M
Beneficios
COBIT 5
Define como punto inicial de las actividades de gobierno y gestioacuten las necesidades de los stakeholders relacionadas con la TI de la empresa
Crea una vista maacutes holiacutestica integrada y completa del gobierno y la gestioacuten de la TI de la empresa
Crea un lenguaje comuacuten entre TI y el negocio para el gobierno y la gestioacuten de la TI empresarial
Es consistente con estaacutendares de gobierno corporativo generalmente aceptados por lo que ayuda a cumplir los requerimientos regulatorios
copy 2012 ISACA All Rights Reserved
VICTOR A VASQUEZ M
Familia de Productos de COBIT 5
COBIT 5
Otras guiacuteas habilitadoras
COBIT 5 Procesos habilitadores
COBIT 5 Informacioacuten habilitadora
COBIT 5 Guiacuteas profesionales
Otras guiacuteas profesionales
COBIT 5 Implementacioacuten
COBIT 5Para seguridad de informacioacuten
COBIT 5Para riesgos
COBIT 5 ambiente colaborativo en liacutenea
COBIT 5 Guiacuteas habilitadoras
COBIT 5Para aseguramiento
VICTOR A VASQUEZ MDiapositiva No 38
Principios Baacutesicos de COBIT 5
VICTOR A VASQUEZ M
Principios de COBIT 5
Principios de
COBIT 5
1 Satisfacer las
necesidades de las partes interesadas
2 Cubrir la empresa de extremo a extremo
3 Aplicar un marco de referencia
uacutenico integrado
4 Hacer posible un
enfoque holiacutestico
5 Separar gobierno de
la gestioacuten
VICTOR A VASQUEZ M
5 Distinguir entre gobierno y gestioacuten
El gobierno asegura de que las necesidades condiciones y opciones de las partes interesadas
bull Son evaluadas para determinar las metas corporativas a alcanzar considerado que sean equilibradas y consensuadas
bull Establecen la direccioacuten por medio de la priorizacioacuten y la toma de decisiones
bull Mide el rendimiento cumplimiento y progreso contra las directrices y metas acordadas (EDM)
La gestioacuten planea construye ejecuta y monitorealas actividades de manera alineada con las directrices establecidas por el cuerpo de gobierno para el logro de las metas corporativas (PBRM) ndash Plan Build Run Monitor --- Plan Do Check Act
En la mayoriacutea de las empresas el gobierno es responsabilidad del
consejo de administracioacuten bajo el liderazgo de un Presidente
En la mayoriacutea de las empresas la gestioacuten es responsabilidad de la
Direccioacuten Ejecutiva bajo el liderazgo del Director General (CEO)
VICTOR A VASQUEZ M
5 Distinguir entre gobierno y gestioacuten
Modelo de referencia de procesos
P
1
2
34
5
APO02Gestionar la
estrategia
APO03Gestionar la arquitectura empresarial
APO04Gestionar la innovacioacuten
APO05Gestionar el
portafolio
APO06Gestionar el
presupuesto y los costos
APO07Gestionar los
recursos humanos
APO08Gestionar las
relaciones
APO09Gestionar los acuerdos del
servicio
APO10Gestionar los proveedores
APO11Gestionar
calidad
APO12Gestionar el
riesgo
APO13Gestionar la
seguridad
APO01Gestionar el
marco de gestioacuten de TI
PROCESOS PARA EL
GOBIERNO DE TIEVALUAR ORIENTAR Y
MONITOREAR
MEA01Supervisar evaluar
y valorar el rendimiento y cumplimiento
MEA02Supervisar evaluar y valorar el sistema de control interno
MEA03 Supervisar evaluar
y valorar la conformidad con
los requerimientos externos
DSS01Gestionar
operaciones
DSS02 Gestionar las
Peticiones y los Incidentes del
Servicio
DSS03Gestionar los
problemas
DSS04Gestionar la continuidad
DSS05Gestionar los servicios de seguridad
DSS06Gestionar los
controles de los procesos del
negocio
BAI02Gestionar la definicioacuten de
requisitos
BAI03Gestionar la
identificacioacuten y construccioacuten de
soluciones
BAI04Gestionar la
disponibilidad y capacidad
BAI05 Gestionar la
Introduccioacuten de Cambios
Organizativos
BAI06Gestionar los
cambios
BAI07Gestionar la
aceptacioacuten del cambio y la transicioacuten
BAI08Gestionar el
conocimiento
BAI09Gestionar los activos
BAI10Gestionar la
configuracioacuten
BAI01Gestionar
programas y proyectos
Alinear planear y organizar
Construir adquirir e implementar
Entregar dar servicio y soporte
Monitorear evaluar y
valorar
PROCESOS PARA LA GESTIOacuteN DE TI
EDM01 Asegurar el
Establecimiento y Mantenimiento del Marco de Gobierno
EDM02Asegurar la entrega
de beneficios
EDM03Asegurar la
optimizacioacuten de riesgos
EDM04Asegurar la
optimizacioacuten de recursos
EDM05Asegurar la
transparencia hacia las partes interesadas
VICTOR A VASQUEZ M
Resumen del mapeo de COBIT 5
copy 2012 ISACA All rights reserved
VICTOR A VASQUEZ M
VICTOR A VASQUEZ M21
Metodologiacutea General para la revisioacuten de controles y sistemas de
IT
bullRealizacioacuten de TAACs (CAATs) Teacutecnicas de Auditoriacutea Asistidas por Ordenador
bullCalidad de la informacioacutenbullValidacioacuten de datosbullFacturas duplicadas
bullRecalculo de procesosbullFIFObullAmortizacioacutenbullPMPbullVNR
Pruebas Sustantivas 4H
E
R
R
A
M
I
E
N
T
A
S
D
A
T
A
A
N
A
L
I
S
I
S
S
I
M
U
L
A
C
I
O
N
VICTOR A VASQUEZ M22
Metodologiacutea General para la revisioacuten de controles y sistemas de
IT
VICTOR A VASQUEZ M
Caracteriacutesticas del control
Control
iquestQueacute
iquestQuieacuten
iquestCuaacutendo
FrecuenciaiquestCoacutemo
Evidencia
Riesgo
SalidasEntradas
VICTOR A VASQUEZ M24
Anaacutelisis de Riesgos y su importancia
La probabilidad de que una amenaza se concrete (accidentalmente o intencionalmente de activacioacuten explotar) aprovechando una vulnerabilidad del sistema de informacioacuten y generando un impacto econoacutemico
El impacto econoacutemico generado por el no cumplimiento de una ley o falta de responsabilidad legal
Algunos ejemplos de riesgo de IT son
No autorizada (intencionados o accidentales) la divulgacioacuten modificacioacuten o destruccioacuten de informacioacuten
Errores y omisiones no intencionales
Interrupciones por causas naturales o cataacutestrofes de origen humano
La falta de diligencia en la aplicacioacuten y el funcionamiento del sistema informaacutetico Proveer un nivel razonable de certeza de que los objetivos de cobertura del control interno son alcanzados
Porqueacute es importante
Para que no pase estohellip
VICTOR A VASQUEZ M
ROCA
NINtildeOS
CASA
AMENAZA
Algo que pueda explotar una vulnerabilidad intencional o accidentalmente y ocasionardantildeo o destruccioacuten del activo
Conceptos de riesgo
AMENAZA CONTROLVULNERABILIDAD RIESGO IMPACT0
VICTOR A VASQUEZ M
THREAT
ROCA
NINtildeOS
CASA
Debilidad o brecha que puedeser explotada por una amenaza en contra del activo
VULNERABILIDAD
Conceptos de riesgo
AMENAZA CONTROLVULNERABILIDAD RIESGO IMPACTO
VICTOR A VASQUEZ M
THREAT
ROCA
NINtildeOS
CASA
La peacuterdida dantildeo o destruccioacuten potencial sobre el active como resultado de laexplotacioacuten de vulnerabilidad
RIESGO Desprendimiento de la
piedra y caiacuteda sobre los nintildeos
AMENAZA CONTROLVULNERABILIDAD RIESGO IMPACTO
Conceptos de riesgo
VICTOR A VASQUEZ M
THREAT
ROCA
NINtildeOS
CASA
Cualquier accioacuten que ayude a reducir la probabilidad de que el riesgo ocurra o que ayuda a reducir el impacto si el riesgo ocurre
Conceptos de riesgo
AMENAZA CONTROLVULNERABILIDAD RIESGO IMPACTO
bull Riesgo residual depende del disentildeo y la eficacia
de los controles
IMPA
CT
O
PR
OB
AB
ILID
AD
VICTOR A VASQUEZ M
THREAT
ROCA
NINtildeOS
CASA
iquestCuaacuteles son las consecuencias y coacutemo se miden
Impacto peacuterdida de vidas o
dantildeo en la propiedad
Conceptos de riesgo
AMENAZA CONTROLVULNERABILIDAD RIESGO IMPACTO
VICTOR A VASQUEZ M30
Anaacutelisis de Riesgos y su importancia
VICTOR A VASQUEZ MDiapositiva No 31
Introduccioacuten a COBIT 5
VICTOR A VASQUEZ M
iquestPor queacute se desarrolloacute COBIT 5
El mandato de la Junta Directiva de ISACA ldquoUnir y reforzar todos los activos de conocimiento de ISACA con COBITrdquo
Proporcionar un marco de gobierno y de gestioacuten renovado y con la autoridad necesaria para la informacioacuten empresarial y las tecnologiacuteas relacionadas
Integrar los principales marcos y las guiacuteas de ISACA Alinearse con los principales marcos y estaacutendares en el
mercado
VICTOR A VASQUEZ M
Gobierno Empresarial de TI
COBIT 5
Gobierno
COBIT4041
Administracioacuten
COBIT 3
Control
COBIT 2
La evolucioacuten de COBIT 5
Auditoriacutea
COBIT 1
2005720001998
Evo
luci
oacuten
1996 2012
BMIS(2010)
Val IT 20(2008)
Risk IT(2009)
VICTOR A VASQUEZ M
Motivadores del desarrollo de COBIT 5
Proveer una guiacutea respecto a Arquitectura Empresarial
Gestioacuten de servicios y activos
Modelos organizacionales y de aprovisionamiento emergentes
Innovacioacuten y Tecnologiacuteas emergentes
Responsabilidades de punta a punta de TI y el negocio Controles para soluciones de TI iniciadas o controladas
por usuario Necesidades de las empresas de
Lograr la creacioacuten de valor
Obtener la satisfaccioacuten de los usuarios
Cumplir leyes relevantes regulaciones y poliacuteticas
Mejorar la relacioacuten entre TI y el Negocio
Mejorar el retorno del Gobierno Empresarial de TI
Conectarse y alinearse con otros frameworks y estaacutendares
VICTOR A VASQUEZ M
Beneficios para las empresas
Las Empresas y los Ejecutivos buscan Mantener informacioacuten de alta calidad que soporte las
decisiones del negocio Generar valor para el negocio de las inversiones habilitadas
por TI
Ej Alcanzar los objetivos estrateacutegicos y lograr beneficios a traveacutes del uso efectivo e innovador de la TI
Lograr la excelencia operacional a traveacutes de la aplicacioacuten confiable y eficiente de la tecnologiacutea
Mantener el riesgo relacionado con TI a un nivel aceptable Optimizar el costo de los servicios de TI y la tecnologiacutea
iquestCoacutemo pueden lograrse estos beneficios para crear valor a los stakeholders de una organizacioacuten
VICTOR A VASQUEZ M
Beneficios
COBIT 5
Define como punto inicial de las actividades de gobierno y gestioacuten las necesidades de los stakeholders relacionadas con la TI de la empresa
Crea una vista maacutes holiacutestica integrada y completa del gobierno y la gestioacuten de la TI de la empresa
Crea un lenguaje comuacuten entre TI y el negocio para el gobierno y la gestioacuten de la TI empresarial
Es consistente con estaacutendares de gobierno corporativo generalmente aceptados por lo que ayuda a cumplir los requerimientos regulatorios
copy 2012 ISACA All Rights Reserved
VICTOR A VASQUEZ M
Familia de Productos de COBIT 5
COBIT 5
Otras guiacuteas habilitadoras
COBIT 5 Procesos habilitadores
COBIT 5 Informacioacuten habilitadora
COBIT 5 Guiacuteas profesionales
Otras guiacuteas profesionales
COBIT 5 Implementacioacuten
COBIT 5Para seguridad de informacioacuten
COBIT 5Para riesgos
COBIT 5 ambiente colaborativo en liacutenea
COBIT 5 Guiacuteas habilitadoras
COBIT 5Para aseguramiento
VICTOR A VASQUEZ MDiapositiva No 38
Principios Baacutesicos de COBIT 5
VICTOR A VASQUEZ M
Principios de COBIT 5
Principios de
COBIT 5
1 Satisfacer las
necesidades de las partes interesadas
2 Cubrir la empresa de extremo a extremo
3 Aplicar un marco de referencia
uacutenico integrado
4 Hacer posible un
enfoque holiacutestico
5 Separar gobierno de
la gestioacuten
VICTOR A VASQUEZ M
5 Distinguir entre gobierno y gestioacuten
El gobierno asegura de que las necesidades condiciones y opciones de las partes interesadas
bull Son evaluadas para determinar las metas corporativas a alcanzar considerado que sean equilibradas y consensuadas
bull Establecen la direccioacuten por medio de la priorizacioacuten y la toma de decisiones
bull Mide el rendimiento cumplimiento y progreso contra las directrices y metas acordadas (EDM)
La gestioacuten planea construye ejecuta y monitorealas actividades de manera alineada con las directrices establecidas por el cuerpo de gobierno para el logro de las metas corporativas (PBRM) ndash Plan Build Run Monitor --- Plan Do Check Act
En la mayoriacutea de las empresas el gobierno es responsabilidad del
consejo de administracioacuten bajo el liderazgo de un Presidente
En la mayoriacutea de las empresas la gestioacuten es responsabilidad de la
Direccioacuten Ejecutiva bajo el liderazgo del Director General (CEO)
VICTOR A VASQUEZ M
5 Distinguir entre gobierno y gestioacuten
Modelo de referencia de procesos
P
1
2
34
5
APO02Gestionar la
estrategia
APO03Gestionar la arquitectura empresarial
APO04Gestionar la innovacioacuten
APO05Gestionar el
portafolio
APO06Gestionar el
presupuesto y los costos
APO07Gestionar los
recursos humanos
APO08Gestionar las
relaciones
APO09Gestionar los acuerdos del
servicio
APO10Gestionar los proveedores
APO11Gestionar
calidad
APO12Gestionar el
riesgo
APO13Gestionar la
seguridad
APO01Gestionar el
marco de gestioacuten de TI
PROCESOS PARA EL
GOBIERNO DE TIEVALUAR ORIENTAR Y
MONITOREAR
MEA01Supervisar evaluar
y valorar el rendimiento y cumplimiento
MEA02Supervisar evaluar y valorar el sistema de control interno
MEA03 Supervisar evaluar
y valorar la conformidad con
los requerimientos externos
DSS01Gestionar
operaciones
DSS02 Gestionar las
Peticiones y los Incidentes del
Servicio
DSS03Gestionar los
problemas
DSS04Gestionar la continuidad
DSS05Gestionar los servicios de seguridad
DSS06Gestionar los
controles de los procesos del
negocio
BAI02Gestionar la definicioacuten de
requisitos
BAI03Gestionar la
identificacioacuten y construccioacuten de
soluciones
BAI04Gestionar la
disponibilidad y capacidad
BAI05 Gestionar la
Introduccioacuten de Cambios
Organizativos
BAI06Gestionar los
cambios
BAI07Gestionar la
aceptacioacuten del cambio y la transicioacuten
BAI08Gestionar el
conocimiento
BAI09Gestionar los activos
BAI10Gestionar la
configuracioacuten
BAI01Gestionar
programas y proyectos
Alinear planear y organizar
Construir adquirir e implementar
Entregar dar servicio y soporte
Monitorear evaluar y
valorar
PROCESOS PARA LA GESTIOacuteN DE TI
EDM01 Asegurar el
Establecimiento y Mantenimiento del Marco de Gobierno
EDM02Asegurar la entrega
de beneficios
EDM03Asegurar la
optimizacioacuten de riesgos
EDM04Asegurar la
optimizacioacuten de recursos
EDM05Asegurar la
transparencia hacia las partes interesadas
VICTOR A VASQUEZ M
Resumen del mapeo de COBIT 5
copy 2012 ISACA All rights reserved
VICTOR A VASQUEZ M
VICTOR A VASQUEZ M22
Metodologiacutea General para la revisioacuten de controles y sistemas de
IT
VICTOR A VASQUEZ M
Caracteriacutesticas del control
Control
iquestQueacute
iquestQuieacuten
iquestCuaacutendo
FrecuenciaiquestCoacutemo
Evidencia
Riesgo
SalidasEntradas
VICTOR A VASQUEZ M24
Anaacutelisis de Riesgos y su importancia
La probabilidad de que una amenaza se concrete (accidentalmente o intencionalmente de activacioacuten explotar) aprovechando una vulnerabilidad del sistema de informacioacuten y generando un impacto econoacutemico
El impacto econoacutemico generado por el no cumplimiento de una ley o falta de responsabilidad legal
Algunos ejemplos de riesgo de IT son
No autorizada (intencionados o accidentales) la divulgacioacuten modificacioacuten o destruccioacuten de informacioacuten
Errores y omisiones no intencionales
Interrupciones por causas naturales o cataacutestrofes de origen humano
La falta de diligencia en la aplicacioacuten y el funcionamiento del sistema informaacutetico Proveer un nivel razonable de certeza de que los objetivos de cobertura del control interno son alcanzados
Porqueacute es importante
Para que no pase estohellip
VICTOR A VASQUEZ M
ROCA
NINtildeOS
CASA
AMENAZA
Algo que pueda explotar una vulnerabilidad intencional o accidentalmente y ocasionardantildeo o destruccioacuten del activo
Conceptos de riesgo
AMENAZA CONTROLVULNERABILIDAD RIESGO IMPACT0
VICTOR A VASQUEZ M
THREAT
ROCA
NINtildeOS
CASA
Debilidad o brecha que puedeser explotada por una amenaza en contra del activo
VULNERABILIDAD
Conceptos de riesgo
AMENAZA CONTROLVULNERABILIDAD RIESGO IMPACTO
VICTOR A VASQUEZ M
THREAT
ROCA
NINtildeOS
CASA
La peacuterdida dantildeo o destruccioacuten potencial sobre el active como resultado de laexplotacioacuten de vulnerabilidad
RIESGO Desprendimiento de la
piedra y caiacuteda sobre los nintildeos
AMENAZA CONTROLVULNERABILIDAD RIESGO IMPACTO
Conceptos de riesgo
VICTOR A VASQUEZ M
THREAT
ROCA
NINtildeOS
CASA
Cualquier accioacuten que ayude a reducir la probabilidad de que el riesgo ocurra o que ayuda a reducir el impacto si el riesgo ocurre
Conceptos de riesgo
AMENAZA CONTROLVULNERABILIDAD RIESGO IMPACTO
bull Riesgo residual depende del disentildeo y la eficacia
de los controles
IMPA
CT
O
PR
OB
AB
ILID
AD
VICTOR A VASQUEZ M
THREAT
ROCA
NINtildeOS
CASA
iquestCuaacuteles son las consecuencias y coacutemo se miden
Impacto peacuterdida de vidas o
dantildeo en la propiedad
Conceptos de riesgo
AMENAZA CONTROLVULNERABILIDAD RIESGO IMPACTO
VICTOR A VASQUEZ M30
Anaacutelisis de Riesgos y su importancia
VICTOR A VASQUEZ MDiapositiva No 31
Introduccioacuten a COBIT 5
VICTOR A VASQUEZ M
iquestPor queacute se desarrolloacute COBIT 5
El mandato de la Junta Directiva de ISACA ldquoUnir y reforzar todos los activos de conocimiento de ISACA con COBITrdquo
Proporcionar un marco de gobierno y de gestioacuten renovado y con la autoridad necesaria para la informacioacuten empresarial y las tecnologiacuteas relacionadas
Integrar los principales marcos y las guiacuteas de ISACA Alinearse con los principales marcos y estaacutendares en el
mercado
VICTOR A VASQUEZ M
Gobierno Empresarial de TI
COBIT 5
Gobierno
COBIT4041
Administracioacuten
COBIT 3
Control
COBIT 2
La evolucioacuten de COBIT 5
Auditoriacutea
COBIT 1
2005720001998
Evo
luci
oacuten
1996 2012
BMIS(2010)
Val IT 20(2008)
Risk IT(2009)
VICTOR A VASQUEZ M
Motivadores del desarrollo de COBIT 5
Proveer una guiacutea respecto a Arquitectura Empresarial
Gestioacuten de servicios y activos
Modelos organizacionales y de aprovisionamiento emergentes
Innovacioacuten y Tecnologiacuteas emergentes
Responsabilidades de punta a punta de TI y el negocio Controles para soluciones de TI iniciadas o controladas
por usuario Necesidades de las empresas de
Lograr la creacioacuten de valor
Obtener la satisfaccioacuten de los usuarios
Cumplir leyes relevantes regulaciones y poliacuteticas
Mejorar la relacioacuten entre TI y el Negocio
Mejorar el retorno del Gobierno Empresarial de TI
Conectarse y alinearse con otros frameworks y estaacutendares
VICTOR A VASQUEZ M
Beneficios para las empresas
Las Empresas y los Ejecutivos buscan Mantener informacioacuten de alta calidad que soporte las
decisiones del negocio Generar valor para el negocio de las inversiones habilitadas
por TI
Ej Alcanzar los objetivos estrateacutegicos y lograr beneficios a traveacutes del uso efectivo e innovador de la TI
Lograr la excelencia operacional a traveacutes de la aplicacioacuten confiable y eficiente de la tecnologiacutea
Mantener el riesgo relacionado con TI a un nivel aceptable Optimizar el costo de los servicios de TI y la tecnologiacutea
iquestCoacutemo pueden lograrse estos beneficios para crear valor a los stakeholders de una organizacioacuten
VICTOR A VASQUEZ M
Beneficios
COBIT 5
Define como punto inicial de las actividades de gobierno y gestioacuten las necesidades de los stakeholders relacionadas con la TI de la empresa
Crea una vista maacutes holiacutestica integrada y completa del gobierno y la gestioacuten de la TI de la empresa
Crea un lenguaje comuacuten entre TI y el negocio para el gobierno y la gestioacuten de la TI empresarial
Es consistente con estaacutendares de gobierno corporativo generalmente aceptados por lo que ayuda a cumplir los requerimientos regulatorios
copy 2012 ISACA All Rights Reserved
VICTOR A VASQUEZ M
Familia de Productos de COBIT 5
COBIT 5
Otras guiacuteas habilitadoras
COBIT 5 Procesos habilitadores
COBIT 5 Informacioacuten habilitadora
COBIT 5 Guiacuteas profesionales
Otras guiacuteas profesionales
COBIT 5 Implementacioacuten
COBIT 5Para seguridad de informacioacuten
COBIT 5Para riesgos
COBIT 5 ambiente colaborativo en liacutenea
COBIT 5 Guiacuteas habilitadoras
COBIT 5Para aseguramiento
VICTOR A VASQUEZ MDiapositiva No 38
Principios Baacutesicos de COBIT 5
VICTOR A VASQUEZ M
Principios de COBIT 5
Principios de
COBIT 5
1 Satisfacer las
necesidades de las partes interesadas
2 Cubrir la empresa de extremo a extremo
3 Aplicar un marco de referencia
uacutenico integrado
4 Hacer posible un
enfoque holiacutestico
5 Separar gobierno de
la gestioacuten
VICTOR A VASQUEZ M
5 Distinguir entre gobierno y gestioacuten
El gobierno asegura de que las necesidades condiciones y opciones de las partes interesadas
bull Son evaluadas para determinar las metas corporativas a alcanzar considerado que sean equilibradas y consensuadas
bull Establecen la direccioacuten por medio de la priorizacioacuten y la toma de decisiones
bull Mide el rendimiento cumplimiento y progreso contra las directrices y metas acordadas (EDM)
La gestioacuten planea construye ejecuta y monitorealas actividades de manera alineada con las directrices establecidas por el cuerpo de gobierno para el logro de las metas corporativas (PBRM) ndash Plan Build Run Monitor --- Plan Do Check Act
En la mayoriacutea de las empresas el gobierno es responsabilidad del
consejo de administracioacuten bajo el liderazgo de un Presidente
En la mayoriacutea de las empresas la gestioacuten es responsabilidad de la
Direccioacuten Ejecutiva bajo el liderazgo del Director General (CEO)
VICTOR A VASQUEZ M
5 Distinguir entre gobierno y gestioacuten
Modelo de referencia de procesos
P
1
2
34
5
APO02Gestionar la
estrategia
APO03Gestionar la arquitectura empresarial
APO04Gestionar la innovacioacuten
APO05Gestionar el
portafolio
APO06Gestionar el
presupuesto y los costos
APO07Gestionar los
recursos humanos
APO08Gestionar las
relaciones
APO09Gestionar los acuerdos del
servicio
APO10Gestionar los proveedores
APO11Gestionar
calidad
APO12Gestionar el
riesgo
APO13Gestionar la
seguridad
APO01Gestionar el
marco de gestioacuten de TI
PROCESOS PARA EL
GOBIERNO DE TIEVALUAR ORIENTAR Y
MONITOREAR
MEA01Supervisar evaluar
y valorar el rendimiento y cumplimiento
MEA02Supervisar evaluar y valorar el sistema de control interno
MEA03 Supervisar evaluar
y valorar la conformidad con
los requerimientos externos
DSS01Gestionar
operaciones
DSS02 Gestionar las
Peticiones y los Incidentes del
Servicio
DSS03Gestionar los
problemas
DSS04Gestionar la continuidad
DSS05Gestionar los servicios de seguridad
DSS06Gestionar los
controles de los procesos del
negocio
BAI02Gestionar la definicioacuten de
requisitos
BAI03Gestionar la
identificacioacuten y construccioacuten de
soluciones
BAI04Gestionar la
disponibilidad y capacidad
BAI05 Gestionar la
Introduccioacuten de Cambios
Organizativos
BAI06Gestionar los
cambios
BAI07Gestionar la
aceptacioacuten del cambio y la transicioacuten
BAI08Gestionar el
conocimiento
BAI09Gestionar los activos
BAI10Gestionar la
configuracioacuten
BAI01Gestionar
programas y proyectos
Alinear planear y organizar
Construir adquirir e implementar
Entregar dar servicio y soporte
Monitorear evaluar y
valorar
PROCESOS PARA LA GESTIOacuteN DE TI
EDM01 Asegurar el
Establecimiento y Mantenimiento del Marco de Gobierno
EDM02Asegurar la entrega
de beneficios
EDM03Asegurar la
optimizacioacuten de riesgos
EDM04Asegurar la
optimizacioacuten de recursos
EDM05Asegurar la
transparencia hacia las partes interesadas
VICTOR A VASQUEZ M
Resumen del mapeo de COBIT 5
copy 2012 ISACA All rights reserved
VICTOR A VASQUEZ M
VICTOR A VASQUEZ M
Caracteriacutesticas del control
Control
iquestQueacute
iquestQuieacuten
iquestCuaacutendo
FrecuenciaiquestCoacutemo
Evidencia
Riesgo
SalidasEntradas
VICTOR A VASQUEZ M24
Anaacutelisis de Riesgos y su importancia
La probabilidad de que una amenaza se concrete (accidentalmente o intencionalmente de activacioacuten explotar) aprovechando una vulnerabilidad del sistema de informacioacuten y generando un impacto econoacutemico
El impacto econoacutemico generado por el no cumplimiento de una ley o falta de responsabilidad legal
Algunos ejemplos de riesgo de IT son
No autorizada (intencionados o accidentales) la divulgacioacuten modificacioacuten o destruccioacuten de informacioacuten
Errores y omisiones no intencionales
Interrupciones por causas naturales o cataacutestrofes de origen humano
La falta de diligencia en la aplicacioacuten y el funcionamiento del sistema informaacutetico Proveer un nivel razonable de certeza de que los objetivos de cobertura del control interno son alcanzados
Porqueacute es importante
Para que no pase estohellip
VICTOR A VASQUEZ M
ROCA
NINtildeOS
CASA
AMENAZA
Algo que pueda explotar una vulnerabilidad intencional o accidentalmente y ocasionardantildeo o destruccioacuten del activo
Conceptos de riesgo
AMENAZA CONTROLVULNERABILIDAD RIESGO IMPACT0
VICTOR A VASQUEZ M
THREAT
ROCA
NINtildeOS
CASA
Debilidad o brecha que puedeser explotada por una amenaza en contra del activo
VULNERABILIDAD
Conceptos de riesgo
AMENAZA CONTROLVULNERABILIDAD RIESGO IMPACTO
VICTOR A VASQUEZ M
THREAT
ROCA
NINtildeOS
CASA
La peacuterdida dantildeo o destruccioacuten potencial sobre el active como resultado de laexplotacioacuten de vulnerabilidad
RIESGO Desprendimiento de la
piedra y caiacuteda sobre los nintildeos
AMENAZA CONTROLVULNERABILIDAD RIESGO IMPACTO
Conceptos de riesgo
VICTOR A VASQUEZ M
THREAT
ROCA
NINtildeOS
CASA
Cualquier accioacuten que ayude a reducir la probabilidad de que el riesgo ocurra o que ayuda a reducir el impacto si el riesgo ocurre
Conceptos de riesgo
AMENAZA CONTROLVULNERABILIDAD RIESGO IMPACTO
bull Riesgo residual depende del disentildeo y la eficacia
de los controles
IMPA
CT
O
PR
OB
AB
ILID
AD
VICTOR A VASQUEZ M
THREAT
ROCA
NINtildeOS
CASA
iquestCuaacuteles son las consecuencias y coacutemo se miden
Impacto peacuterdida de vidas o
dantildeo en la propiedad
Conceptos de riesgo
AMENAZA CONTROLVULNERABILIDAD RIESGO IMPACTO
VICTOR A VASQUEZ M30
Anaacutelisis de Riesgos y su importancia
VICTOR A VASQUEZ MDiapositiva No 31
Introduccioacuten a COBIT 5
VICTOR A VASQUEZ M
iquestPor queacute se desarrolloacute COBIT 5
El mandato de la Junta Directiva de ISACA ldquoUnir y reforzar todos los activos de conocimiento de ISACA con COBITrdquo
Proporcionar un marco de gobierno y de gestioacuten renovado y con la autoridad necesaria para la informacioacuten empresarial y las tecnologiacuteas relacionadas
Integrar los principales marcos y las guiacuteas de ISACA Alinearse con los principales marcos y estaacutendares en el
mercado
VICTOR A VASQUEZ M
Gobierno Empresarial de TI
COBIT 5
Gobierno
COBIT4041
Administracioacuten
COBIT 3
Control
COBIT 2
La evolucioacuten de COBIT 5
Auditoriacutea
COBIT 1
2005720001998
Evo
luci
oacuten
1996 2012
BMIS(2010)
Val IT 20(2008)
Risk IT(2009)
VICTOR A VASQUEZ M
Motivadores del desarrollo de COBIT 5
Proveer una guiacutea respecto a Arquitectura Empresarial
Gestioacuten de servicios y activos
Modelos organizacionales y de aprovisionamiento emergentes
Innovacioacuten y Tecnologiacuteas emergentes
Responsabilidades de punta a punta de TI y el negocio Controles para soluciones de TI iniciadas o controladas
por usuario Necesidades de las empresas de
Lograr la creacioacuten de valor
Obtener la satisfaccioacuten de los usuarios
Cumplir leyes relevantes regulaciones y poliacuteticas
Mejorar la relacioacuten entre TI y el Negocio
Mejorar el retorno del Gobierno Empresarial de TI
Conectarse y alinearse con otros frameworks y estaacutendares
VICTOR A VASQUEZ M
Beneficios para las empresas
Las Empresas y los Ejecutivos buscan Mantener informacioacuten de alta calidad que soporte las
decisiones del negocio Generar valor para el negocio de las inversiones habilitadas
por TI
Ej Alcanzar los objetivos estrateacutegicos y lograr beneficios a traveacutes del uso efectivo e innovador de la TI
Lograr la excelencia operacional a traveacutes de la aplicacioacuten confiable y eficiente de la tecnologiacutea
Mantener el riesgo relacionado con TI a un nivel aceptable Optimizar el costo de los servicios de TI y la tecnologiacutea
iquestCoacutemo pueden lograrse estos beneficios para crear valor a los stakeholders de una organizacioacuten
VICTOR A VASQUEZ M
Beneficios
COBIT 5
Define como punto inicial de las actividades de gobierno y gestioacuten las necesidades de los stakeholders relacionadas con la TI de la empresa
Crea una vista maacutes holiacutestica integrada y completa del gobierno y la gestioacuten de la TI de la empresa
Crea un lenguaje comuacuten entre TI y el negocio para el gobierno y la gestioacuten de la TI empresarial
Es consistente con estaacutendares de gobierno corporativo generalmente aceptados por lo que ayuda a cumplir los requerimientos regulatorios
copy 2012 ISACA All Rights Reserved
VICTOR A VASQUEZ M
Familia de Productos de COBIT 5
COBIT 5
Otras guiacuteas habilitadoras
COBIT 5 Procesos habilitadores
COBIT 5 Informacioacuten habilitadora
COBIT 5 Guiacuteas profesionales
Otras guiacuteas profesionales
COBIT 5 Implementacioacuten
COBIT 5Para seguridad de informacioacuten
COBIT 5Para riesgos
COBIT 5 ambiente colaborativo en liacutenea
COBIT 5 Guiacuteas habilitadoras
COBIT 5Para aseguramiento
VICTOR A VASQUEZ MDiapositiva No 38
Principios Baacutesicos de COBIT 5
VICTOR A VASQUEZ M
Principios de COBIT 5
Principios de
COBIT 5
1 Satisfacer las
necesidades de las partes interesadas
2 Cubrir la empresa de extremo a extremo
3 Aplicar un marco de referencia
uacutenico integrado
4 Hacer posible un
enfoque holiacutestico
5 Separar gobierno de
la gestioacuten
VICTOR A VASQUEZ M
5 Distinguir entre gobierno y gestioacuten
El gobierno asegura de que las necesidades condiciones y opciones de las partes interesadas
bull Son evaluadas para determinar las metas corporativas a alcanzar considerado que sean equilibradas y consensuadas
bull Establecen la direccioacuten por medio de la priorizacioacuten y la toma de decisiones
bull Mide el rendimiento cumplimiento y progreso contra las directrices y metas acordadas (EDM)
La gestioacuten planea construye ejecuta y monitorealas actividades de manera alineada con las directrices establecidas por el cuerpo de gobierno para el logro de las metas corporativas (PBRM) ndash Plan Build Run Monitor --- Plan Do Check Act
En la mayoriacutea de las empresas el gobierno es responsabilidad del
consejo de administracioacuten bajo el liderazgo de un Presidente
En la mayoriacutea de las empresas la gestioacuten es responsabilidad de la
Direccioacuten Ejecutiva bajo el liderazgo del Director General (CEO)
VICTOR A VASQUEZ M
5 Distinguir entre gobierno y gestioacuten
Modelo de referencia de procesos
P
1
2
34
5
APO02Gestionar la
estrategia
APO03Gestionar la arquitectura empresarial
APO04Gestionar la innovacioacuten
APO05Gestionar el
portafolio
APO06Gestionar el
presupuesto y los costos
APO07Gestionar los
recursos humanos
APO08Gestionar las
relaciones
APO09Gestionar los acuerdos del
servicio
APO10Gestionar los proveedores
APO11Gestionar
calidad
APO12Gestionar el
riesgo
APO13Gestionar la
seguridad
APO01Gestionar el
marco de gestioacuten de TI
PROCESOS PARA EL
GOBIERNO DE TIEVALUAR ORIENTAR Y
MONITOREAR
MEA01Supervisar evaluar
y valorar el rendimiento y cumplimiento
MEA02Supervisar evaluar y valorar el sistema de control interno
MEA03 Supervisar evaluar
y valorar la conformidad con
los requerimientos externos
DSS01Gestionar
operaciones
DSS02 Gestionar las
Peticiones y los Incidentes del
Servicio
DSS03Gestionar los
problemas
DSS04Gestionar la continuidad
DSS05Gestionar los servicios de seguridad
DSS06Gestionar los
controles de los procesos del
negocio
BAI02Gestionar la definicioacuten de
requisitos
BAI03Gestionar la
identificacioacuten y construccioacuten de
soluciones
BAI04Gestionar la
disponibilidad y capacidad
BAI05 Gestionar la
Introduccioacuten de Cambios
Organizativos
BAI06Gestionar los
cambios
BAI07Gestionar la
aceptacioacuten del cambio y la transicioacuten
BAI08Gestionar el
conocimiento
BAI09Gestionar los activos
BAI10Gestionar la
configuracioacuten
BAI01Gestionar
programas y proyectos
Alinear planear y organizar
Construir adquirir e implementar
Entregar dar servicio y soporte
Monitorear evaluar y
valorar
PROCESOS PARA LA GESTIOacuteN DE TI
EDM01 Asegurar el
Establecimiento y Mantenimiento del Marco de Gobierno
EDM02Asegurar la entrega
de beneficios
EDM03Asegurar la
optimizacioacuten de riesgos
EDM04Asegurar la
optimizacioacuten de recursos
EDM05Asegurar la
transparencia hacia las partes interesadas
VICTOR A VASQUEZ M
Resumen del mapeo de COBIT 5
copy 2012 ISACA All rights reserved
VICTOR A VASQUEZ M
VICTOR A VASQUEZ M24
Anaacutelisis de Riesgos y su importancia
La probabilidad de que una amenaza se concrete (accidentalmente o intencionalmente de activacioacuten explotar) aprovechando una vulnerabilidad del sistema de informacioacuten y generando un impacto econoacutemico
El impacto econoacutemico generado por el no cumplimiento de una ley o falta de responsabilidad legal
Algunos ejemplos de riesgo de IT son
No autorizada (intencionados o accidentales) la divulgacioacuten modificacioacuten o destruccioacuten de informacioacuten
Errores y omisiones no intencionales
Interrupciones por causas naturales o cataacutestrofes de origen humano
La falta de diligencia en la aplicacioacuten y el funcionamiento del sistema informaacutetico Proveer un nivel razonable de certeza de que los objetivos de cobertura del control interno son alcanzados
Porqueacute es importante
Para que no pase estohellip
VICTOR A VASQUEZ M
ROCA
NINtildeOS
CASA
AMENAZA
Algo que pueda explotar una vulnerabilidad intencional o accidentalmente y ocasionardantildeo o destruccioacuten del activo
Conceptos de riesgo
AMENAZA CONTROLVULNERABILIDAD RIESGO IMPACT0
VICTOR A VASQUEZ M
THREAT
ROCA
NINtildeOS
CASA
Debilidad o brecha que puedeser explotada por una amenaza en contra del activo
VULNERABILIDAD
Conceptos de riesgo
AMENAZA CONTROLVULNERABILIDAD RIESGO IMPACTO
VICTOR A VASQUEZ M
THREAT
ROCA
NINtildeOS
CASA
La peacuterdida dantildeo o destruccioacuten potencial sobre el active como resultado de laexplotacioacuten de vulnerabilidad
RIESGO Desprendimiento de la
piedra y caiacuteda sobre los nintildeos
AMENAZA CONTROLVULNERABILIDAD RIESGO IMPACTO
Conceptos de riesgo
VICTOR A VASQUEZ M
THREAT
ROCA
NINtildeOS
CASA
Cualquier accioacuten que ayude a reducir la probabilidad de que el riesgo ocurra o que ayuda a reducir el impacto si el riesgo ocurre
Conceptos de riesgo
AMENAZA CONTROLVULNERABILIDAD RIESGO IMPACTO
bull Riesgo residual depende del disentildeo y la eficacia
de los controles
IMPA
CT
O
PR
OB
AB
ILID
AD
VICTOR A VASQUEZ M
THREAT
ROCA
NINtildeOS
CASA
iquestCuaacuteles son las consecuencias y coacutemo se miden
Impacto peacuterdida de vidas o
dantildeo en la propiedad
Conceptos de riesgo
AMENAZA CONTROLVULNERABILIDAD RIESGO IMPACTO
VICTOR A VASQUEZ M30
Anaacutelisis de Riesgos y su importancia
VICTOR A VASQUEZ MDiapositiva No 31
Introduccioacuten a COBIT 5
VICTOR A VASQUEZ M
iquestPor queacute se desarrolloacute COBIT 5
El mandato de la Junta Directiva de ISACA ldquoUnir y reforzar todos los activos de conocimiento de ISACA con COBITrdquo
Proporcionar un marco de gobierno y de gestioacuten renovado y con la autoridad necesaria para la informacioacuten empresarial y las tecnologiacuteas relacionadas
Integrar los principales marcos y las guiacuteas de ISACA Alinearse con los principales marcos y estaacutendares en el
mercado
VICTOR A VASQUEZ M
Gobierno Empresarial de TI
COBIT 5
Gobierno
COBIT4041
Administracioacuten
COBIT 3
Control
COBIT 2
La evolucioacuten de COBIT 5
Auditoriacutea
COBIT 1
2005720001998
Evo
luci
oacuten
1996 2012
BMIS(2010)
Val IT 20(2008)
Risk IT(2009)
VICTOR A VASQUEZ M
Motivadores del desarrollo de COBIT 5
Proveer una guiacutea respecto a Arquitectura Empresarial
Gestioacuten de servicios y activos
Modelos organizacionales y de aprovisionamiento emergentes
Innovacioacuten y Tecnologiacuteas emergentes
Responsabilidades de punta a punta de TI y el negocio Controles para soluciones de TI iniciadas o controladas
por usuario Necesidades de las empresas de
Lograr la creacioacuten de valor
Obtener la satisfaccioacuten de los usuarios
Cumplir leyes relevantes regulaciones y poliacuteticas
Mejorar la relacioacuten entre TI y el Negocio
Mejorar el retorno del Gobierno Empresarial de TI
Conectarse y alinearse con otros frameworks y estaacutendares
VICTOR A VASQUEZ M
Beneficios para las empresas
Las Empresas y los Ejecutivos buscan Mantener informacioacuten de alta calidad que soporte las
decisiones del negocio Generar valor para el negocio de las inversiones habilitadas
por TI
Ej Alcanzar los objetivos estrateacutegicos y lograr beneficios a traveacutes del uso efectivo e innovador de la TI
Lograr la excelencia operacional a traveacutes de la aplicacioacuten confiable y eficiente de la tecnologiacutea
Mantener el riesgo relacionado con TI a un nivel aceptable Optimizar el costo de los servicios de TI y la tecnologiacutea
iquestCoacutemo pueden lograrse estos beneficios para crear valor a los stakeholders de una organizacioacuten
VICTOR A VASQUEZ M
Beneficios
COBIT 5
Define como punto inicial de las actividades de gobierno y gestioacuten las necesidades de los stakeholders relacionadas con la TI de la empresa
Crea una vista maacutes holiacutestica integrada y completa del gobierno y la gestioacuten de la TI de la empresa
Crea un lenguaje comuacuten entre TI y el negocio para el gobierno y la gestioacuten de la TI empresarial
Es consistente con estaacutendares de gobierno corporativo generalmente aceptados por lo que ayuda a cumplir los requerimientos regulatorios
copy 2012 ISACA All Rights Reserved
VICTOR A VASQUEZ M
Familia de Productos de COBIT 5
COBIT 5
Otras guiacuteas habilitadoras
COBIT 5 Procesos habilitadores
COBIT 5 Informacioacuten habilitadora
COBIT 5 Guiacuteas profesionales
Otras guiacuteas profesionales
COBIT 5 Implementacioacuten
COBIT 5Para seguridad de informacioacuten
COBIT 5Para riesgos
COBIT 5 ambiente colaborativo en liacutenea
COBIT 5 Guiacuteas habilitadoras
COBIT 5Para aseguramiento
VICTOR A VASQUEZ MDiapositiva No 38
Principios Baacutesicos de COBIT 5
VICTOR A VASQUEZ M
Principios de COBIT 5
Principios de
COBIT 5
1 Satisfacer las
necesidades de las partes interesadas
2 Cubrir la empresa de extremo a extremo
3 Aplicar un marco de referencia
uacutenico integrado
4 Hacer posible un
enfoque holiacutestico
5 Separar gobierno de
la gestioacuten
VICTOR A VASQUEZ M
5 Distinguir entre gobierno y gestioacuten
El gobierno asegura de que las necesidades condiciones y opciones de las partes interesadas
bull Son evaluadas para determinar las metas corporativas a alcanzar considerado que sean equilibradas y consensuadas
bull Establecen la direccioacuten por medio de la priorizacioacuten y la toma de decisiones
bull Mide el rendimiento cumplimiento y progreso contra las directrices y metas acordadas (EDM)
La gestioacuten planea construye ejecuta y monitorealas actividades de manera alineada con las directrices establecidas por el cuerpo de gobierno para el logro de las metas corporativas (PBRM) ndash Plan Build Run Monitor --- Plan Do Check Act
En la mayoriacutea de las empresas el gobierno es responsabilidad del
consejo de administracioacuten bajo el liderazgo de un Presidente
En la mayoriacutea de las empresas la gestioacuten es responsabilidad de la
Direccioacuten Ejecutiva bajo el liderazgo del Director General (CEO)
VICTOR A VASQUEZ M
5 Distinguir entre gobierno y gestioacuten
Modelo de referencia de procesos
P
1
2
34
5
APO02Gestionar la
estrategia
APO03Gestionar la arquitectura empresarial
APO04Gestionar la innovacioacuten
APO05Gestionar el
portafolio
APO06Gestionar el
presupuesto y los costos
APO07Gestionar los
recursos humanos
APO08Gestionar las
relaciones
APO09Gestionar los acuerdos del
servicio
APO10Gestionar los proveedores
APO11Gestionar
calidad
APO12Gestionar el
riesgo
APO13Gestionar la
seguridad
APO01Gestionar el
marco de gestioacuten de TI
PROCESOS PARA EL
GOBIERNO DE TIEVALUAR ORIENTAR Y
MONITOREAR
MEA01Supervisar evaluar
y valorar el rendimiento y cumplimiento
MEA02Supervisar evaluar y valorar el sistema de control interno
MEA03 Supervisar evaluar
y valorar la conformidad con
los requerimientos externos
DSS01Gestionar
operaciones
DSS02 Gestionar las
Peticiones y los Incidentes del
Servicio
DSS03Gestionar los
problemas
DSS04Gestionar la continuidad
DSS05Gestionar los servicios de seguridad
DSS06Gestionar los
controles de los procesos del
negocio
BAI02Gestionar la definicioacuten de
requisitos
BAI03Gestionar la
identificacioacuten y construccioacuten de
soluciones
BAI04Gestionar la
disponibilidad y capacidad
BAI05 Gestionar la
Introduccioacuten de Cambios
Organizativos
BAI06Gestionar los
cambios
BAI07Gestionar la
aceptacioacuten del cambio y la transicioacuten
BAI08Gestionar el
conocimiento
BAI09Gestionar los activos
BAI10Gestionar la
configuracioacuten
BAI01Gestionar
programas y proyectos
Alinear planear y organizar
Construir adquirir e implementar
Entregar dar servicio y soporte
Monitorear evaluar y
valorar
PROCESOS PARA LA GESTIOacuteN DE TI
EDM01 Asegurar el
Establecimiento y Mantenimiento del Marco de Gobierno
EDM02Asegurar la entrega
de beneficios
EDM03Asegurar la
optimizacioacuten de riesgos
EDM04Asegurar la
optimizacioacuten de recursos
EDM05Asegurar la
transparencia hacia las partes interesadas
VICTOR A VASQUEZ M
Resumen del mapeo de COBIT 5
copy 2012 ISACA All rights reserved
VICTOR A VASQUEZ M
VICTOR A VASQUEZ M
ROCA
NINtildeOS
CASA
AMENAZA
Algo que pueda explotar una vulnerabilidad intencional o accidentalmente y ocasionardantildeo o destruccioacuten del activo
Conceptos de riesgo
AMENAZA CONTROLVULNERABILIDAD RIESGO IMPACT0
VICTOR A VASQUEZ M
THREAT
ROCA
NINtildeOS
CASA
Debilidad o brecha que puedeser explotada por una amenaza en contra del activo
VULNERABILIDAD
Conceptos de riesgo
AMENAZA CONTROLVULNERABILIDAD RIESGO IMPACTO
VICTOR A VASQUEZ M
THREAT
ROCA
NINtildeOS
CASA
La peacuterdida dantildeo o destruccioacuten potencial sobre el active como resultado de laexplotacioacuten de vulnerabilidad
RIESGO Desprendimiento de la
piedra y caiacuteda sobre los nintildeos
AMENAZA CONTROLVULNERABILIDAD RIESGO IMPACTO
Conceptos de riesgo
VICTOR A VASQUEZ M
THREAT
ROCA
NINtildeOS
CASA
Cualquier accioacuten que ayude a reducir la probabilidad de que el riesgo ocurra o que ayuda a reducir el impacto si el riesgo ocurre
Conceptos de riesgo
AMENAZA CONTROLVULNERABILIDAD RIESGO IMPACTO
bull Riesgo residual depende del disentildeo y la eficacia
de los controles
IMPA
CT
O
PR
OB
AB
ILID
AD
VICTOR A VASQUEZ M
THREAT
ROCA
NINtildeOS
CASA
iquestCuaacuteles son las consecuencias y coacutemo se miden
Impacto peacuterdida de vidas o
dantildeo en la propiedad
Conceptos de riesgo
AMENAZA CONTROLVULNERABILIDAD RIESGO IMPACTO
VICTOR A VASQUEZ M30
Anaacutelisis de Riesgos y su importancia
VICTOR A VASQUEZ MDiapositiva No 31
Introduccioacuten a COBIT 5
VICTOR A VASQUEZ M
iquestPor queacute se desarrolloacute COBIT 5
El mandato de la Junta Directiva de ISACA ldquoUnir y reforzar todos los activos de conocimiento de ISACA con COBITrdquo
Proporcionar un marco de gobierno y de gestioacuten renovado y con la autoridad necesaria para la informacioacuten empresarial y las tecnologiacuteas relacionadas
Integrar los principales marcos y las guiacuteas de ISACA Alinearse con los principales marcos y estaacutendares en el
mercado
VICTOR A VASQUEZ M
Gobierno Empresarial de TI
COBIT 5
Gobierno
COBIT4041
Administracioacuten
COBIT 3
Control
COBIT 2
La evolucioacuten de COBIT 5
Auditoriacutea
COBIT 1
2005720001998
Evo
luci
oacuten
1996 2012
BMIS(2010)
Val IT 20(2008)
Risk IT(2009)
VICTOR A VASQUEZ M
Motivadores del desarrollo de COBIT 5
Proveer una guiacutea respecto a Arquitectura Empresarial
Gestioacuten de servicios y activos
Modelos organizacionales y de aprovisionamiento emergentes
Innovacioacuten y Tecnologiacuteas emergentes
Responsabilidades de punta a punta de TI y el negocio Controles para soluciones de TI iniciadas o controladas
por usuario Necesidades de las empresas de
Lograr la creacioacuten de valor
Obtener la satisfaccioacuten de los usuarios
Cumplir leyes relevantes regulaciones y poliacuteticas
Mejorar la relacioacuten entre TI y el Negocio
Mejorar el retorno del Gobierno Empresarial de TI
Conectarse y alinearse con otros frameworks y estaacutendares
VICTOR A VASQUEZ M
Beneficios para las empresas
Las Empresas y los Ejecutivos buscan Mantener informacioacuten de alta calidad que soporte las
decisiones del negocio Generar valor para el negocio de las inversiones habilitadas
por TI
Ej Alcanzar los objetivos estrateacutegicos y lograr beneficios a traveacutes del uso efectivo e innovador de la TI
Lograr la excelencia operacional a traveacutes de la aplicacioacuten confiable y eficiente de la tecnologiacutea
Mantener el riesgo relacionado con TI a un nivel aceptable Optimizar el costo de los servicios de TI y la tecnologiacutea
iquestCoacutemo pueden lograrse estos beneficios para crear valor a los stakeholders de una organizacioacuten
VICTOR A VASQUEZ M
Beneficios
COBIT 5
Define como punto inicial de las actividades de gobierno y gestioacuten las necesidades de los stakeholders relacionadas con la TI de la empresa
Crea una vista maacutes holiacutestica integrada y completa del gobierno y la gestioacuten de la TI de la empresa
Crea un lenguaje comuacuten entre TI y el negocio para el gobierno y la gestioacuten de la TI empresarial
Es consistente con estaacutendares de gobierno corporativo generalmente aceptados por lo que ayuda a cumplir los requerimientos regulatorios
copy 2012 ISACA All Rights Reserved
VICTOR A VASQUEZ M
Familia de Productos de COBIT 5
COBIT 5
Otras guiacuteas habilitadoras
COBIT 5 Procesos habilitadores
COBIT 5 Informacioacuten habilitadora
COBIT 5 Guiacuteas profesionales
Otras guiacuteas profesionales
COBIT 5 Implementacioacuten
COBIT 5Para seguridad de informacioacuten
COBIT 5Para riesgos
COBIT 5 ambiente colaborativo en liacutenea
COBIT 5 Guiacuteas habilitadoras
COBIT 5Para aseguramiento
VICTOR A VASQUEZ MDiapositiva No 38
Principios Baacutesicos de COBIT 5
VICTOR A VASQUEZ M
Principios de COBIT 5
Principios de
COBIT 5
1 Satisfacer las
necesidades de las partes interesadas
2 Cubrir la empresa de extremo a extremo
3 Aplicar un marco de referencia
uacutenico integrado
4 Hacer posible un
enfoque holiacutestico
5 Separar gobierno de
la gestioacuten
VICTOR A VASQUEZ M
5 Distinguir entre gobierno y gestioacuten
El gobierno asegura de que las necesidades condiciones y opciones de las partes interesadas
bull Son evaluadas para determinar las metas corporativas a alcanzar considerado que sean equilibradas y consensuadas
bull Establecen la direccioacuten por medio de la priorizacioacuten y la toma de decisiones
bull Mide el rendimiento cumplimiento y progreso contra las directrices y metas acordadas (EDM)
La gestioacuten planea construye ejecuta y monitorealas actividades de manera alineada con las directrices establecidas por el cuerpo de gobierno para el logro de las metas corporativas (PBRM) ndash Plan Build Run Monitor --- Plan Do Check Act
En la mayoriacutea de las empresas el gobierno es responsabilidad del
consejo de administracioacuten bajo el liderazgo de un Presidente
En la mayoriacutea de las empresas la gestioacuten es responsabilidad de la
Direccioacuten Ejecutiva bajo el liderazgo del Director General (CEO)
VICTOR A VASQUEZ M
5 Distinguir entre gobierno y gestioacuten
Modelo de referencia de procesos
P
1
2
34
5
APO02Gestionar la
estrategia
APO03Gestionar la arquitectura empresarial
APO04Gestionar la innovacioacuten
APO05Gestionar el
portafolio
APO06Gestionar el
presupuesto y los costos
APO07Gestionar los
recursos humanos
APO08Gestionar las
relaciones
APO09Gestionar los acuerdos del
servicio
APO10Gestionar los proveedores
APO11Gestionar
calidad
APO12Gestionar el
riesgo
APO13Gestionar la
seguridad
APO01Gestionar el
marco de gestioacuten de TI
PROCESOS PARA EL
GOBIERNO DE TIEVALUAR ORIENTAR Y
MONITOREAR
MEA01Supervisar evaluar
y valorar el rendimiento y cumplimiento
MEA02Supervisar evaluar y valorar el sistema de control interno
MEA03 Supervisar evaluar
y valorar la conformidad con
los requerimientos externos
DSS01Gestionar
operaciones
DSS02 Gestionar las
Peticiones y los Incidentes del
Servicio
DSS03Gestionar los
problemas
DSS04Gestionar la continuidad
DSS05Gestionar los servicios de seguridad
DSS06Gestionar los
controles de los procesos del
negocio
BAI02Gestionar la definicioacuten de
requisitos
BAI03Gestionar la
identificacioacuten y construccioacuten de
soluciones
BAI04Gestionar la
disponibilidad y capacidad
BAI05 Gestionar la
Introduccioacuten de Cambios
Organizativos
BAI06Gestionar los
cambios
BAI07Gestionar la
aceptacioacuten del cambio y la transicioacuten
BAI08Gestionar el
conocimiento
BAI09Gestionar los activos
BAI10Gestionar la
configuracioacuten
BAI01Gestionar
programas y proyectos
Alinear planear y organizar
Construir adquirir e implementar
Entregar dar servicio y soporte
Monitorear evaluar y
valorar
PROCESOS PARA LA GESTIOacuteN DE TI
EDM01 Asegurar el
Establecimiento y Mantenimiento del Marco de Gobierno
EDM02Asegurar la entrega
de beneficios
EDM03Asegurar la
optimizacioacuten de riesgos
EDM04Asegurar la
optimizacioacuten de recursos
EDM05Asegurar la
transparencia hacia las partes interesadas
VICTOR A VASQUEZ M
Resumen del mapeo de COBIT 5
copy 2012 ISACA All rights reserved
VICTOR A VASQUEZ M
VICTOR A VASQUEZ M
THREAT
ROCA
NINtildeOS
CASA
Debilidad o brecha que puedeser explotada por una amenaza en contra del activo
VULNERABILIDAD
Conceptos de riesgo
AMENAZA CONTROLVULNERABILIDAD RIESGO IMPACTO
VICTOR A VASQUEZ M
THREAT
ROCA
NINtildeOS
CASA
La peacuterdida dantildeo o destruccioacuten potencial sobre el active como resultado de laexplotacioacuten de vulnerabilidad
RIESGO Desprendimiento de la
piedra y caiacuteda sobre los nintildeos
AMENAZA CONTROLVULNERABILIDAD RIESGO IMPACTO
Conceptos de riesgo
VICTOR A VASQUEZ M
THREAT
ROCA
NINtildeOS
CASA
Cualquier accioacuten que ayude a reducir la probabilidad de que el riesgo ocurra o que ayuda a reducir el impacto si el riesgo ocurre
Conceptos de riesgo
AMENAZA CONTROLVULNERABILIDAD RIESGO IMPACTO
bull Riesgo residual depende del disentildeo y la eficacia
de los controles
IMPA
CT
O
PR
OB
AB
ILID
AD
VICTOR A VASQUEZ M
THREAT
ROCA
NINtildeOS
CASA
iquestCuaacuteles son las consecuencias y coacutemo se miden
Impacto peacuterdida de vidas o
dantildeo en la propiedad
Conceptos de riesgo
AMENAZA CONTROLVULNERABILIDAD RIESGO IMPACTO
VICTOR A VASQUEZ M30
Anaacutelisis de Riesgos y su importancia
VICTOR A VASQUEZ MDiapositiva No 31
Introduccioacuten a COBIT 5
VICTOR A VASQUEZ M
iquestPor queacute se desarrolloacute COBIT 5
El mandato de la Junta Directiva de ISACA ldquoUnir y reforzar todos los activos de conocimiento de ISACA con COBITrdquo
Proporcionar un marco de gobierno y de gestioacuten renovado y con la autoridad necesaria para la informacioacuten empresarial y las tecnologiacuteas relacionadas
Integrar los principales marcos y las guiacuteas de ISACA Alinearse con los principales marcos y estaacutendares en el
mercado
VICTOR A VASQUEZ M
Gobierno Empresarial de TI
COBIT 5
Gobierno
COBIT4041
Administracioacuten
COBIT 3
Control
COBIT 2
La evolucioacuten de COBIT 5
Auditoriacutea
COBIT 1
2005720001998
Evo
luci
oacuten
1996 2012
BMIS(2010)
Val IT 20(2008)
Risk IT(2009)
VICTOR A VASQUEZ M
Motivadores del desarrollo de COBIT 5
Proveer una guiacutea respecto a Arquitectura Empresarial
Gestioacuten de servicios y activos
Modelos organizacionales y de aprovisionamiento emergentes
Innovacioacuten y Tecnologiacuteas emergentes
Responsabilidades de punta a punta de TI y el negocio Controles para soluciones de TI iniciadas o controladas
por usuario Necesidades de las empresas de
Lograr la creacioacuten de valor
Obtener la satisfaccioacuten de los usuarios
Cumplir leyes relevantes regulaciones y poliacuteticas
Mejorar la relacioacuten entre TI y el Negocio
Mejorar el retorno del Gobierno Empresarial de TI
Conectarse y alinearse con otros frameworks y estaacutendares
VICTOR A VASQUEZ M
Beneficios para las empresas
Las Empresas y los Ejecutivos buscan Mantener informacioacuten de alta calidad que soporte las
decisiones del negocio Generar valor para el negocio de las inversiones habilitadas
por TI
Ej Alcanzar los objetivos estrateacutegicos y lograr beneficios a traveacutes del uso efectivo e innovador de la TI
Lograr la excelencia operacional a traveacutes de la aplicacioacuten confiable y eficiente de la tecnologiacutea
Mantener el riesgo relacionado con TI a un nivel aceptable Optimizar el costo de los servicios de TI y la tecnologiacutea
iquestCoacutemo pueden lograrse estos beneficios para crear valor a los stakeholders de una organizacioacuten
VICTOR A VASQUEZ M
Beneficios
COBIT 5
Define como punto inicial de las actividades de gobierno y gestioacuten las necesidades de los stakeholders relacionadas con la TI de la empresa
Crea una vista maacutes holiacutestica integrada y completa del gobierno y la gestioacuten de la TI de la empresa
Crea un lenguaje comuacuten entre TI y el negocio para el gobierno y la gestioacuten de la TI empresarial
Es consistente con estaacutendares de gobierno corporativo generalmente aceptados por lo que ayuda a cumplir los requerimientos regulatorios
copy 2012 ISACA All Rights Reserved
VICTOR A VASQUEZ M
Familia de Productos de COBIT 5
COBIT 5
Otras guiacuteas habilitadoras
COBIT 5 Procesos habilitadores
COBIT 5 Informacioacuten habilitadora
COBIT 5 Guiacuteas profesionales
Otras guiacuteas profesionales
COBIT 5 Implementacioacuten
COBIT 5Para seguridad de informacioacuten
COBIT 5Para riesgos
COBIT 5 ambiente colaborativo en liacutenea
COBIT 5 Guiacuteas habilitadoras
COBIT 5Para aseguramiento
VICTOR A VASQUEZ MDiapositiva No 38
Principios Baacutesicos de COBIT 5
VICTOR A VASQUEZ M
Principios de COBIT 5
Principios de
COBIT 5
1 Satisfacer las
necesidades de las partes interesadas
2 Cubrir la empresa de extremo a extremo
3 Aplicar un marco de referencia
uacutenico integrado
4 Hacer posible un
enfoque holiacutestico
5 Separar gobierno de
la gestioacuten
VICTOR A VASQUEZ M
5 Distinguir entre gobierno y gestioacuten
El gobierno asegura de que las necesidades condiciones y opciones de las partes interesadas
bull Son evaluadas para determinar las metas corporativas a alcanzar considerado que sean equilibradas y consensuadas
bull Establecen la direccioacuten por medio de la priorizacioacuten y la toma de decisiones
bull Mide el rendimiento cumplimiento y progreso contra las directrices y metas acordadas (EDM)
La gestioacuten planea construye ejecuta y monitorealas actividades de manera alineada con las directrices establecidas por el cuerpo de gobierno para el logro de las metas corporativas (PBRM) ndash Plan Build Run Monitor --- Plan Do Check Act
En la mayoriacutea de las empresas el gobierno es responsabilidad del
consejo de administracioacuten bajo el liderazgo de un Presidente
En la mayoriacutea de las empresas la gestioacuten es responsabilidad de la
Direccioacuten Ejecutiva bajo el liderazgo del Director General (CEO)
VICTOR A VASQUEZ M
5 Distinguir entre gobierno y gestioacuten
Modelo de referencia de procesos
P
1
2
34
5
APO02Gestionar la
estrategia
APO03Gestionar la arquitectura empresarial
APO04Gestionar la innovacioacuten
APO05Gestionar el
portafolio
APO06Gestionar el
presupuesto y los costos
APO07Gestionar los
recursos humanos
APO08Gestionar las
relaciones
APO09Gestionar los acuerdos del
servicio
APO10Gestionar los proveedores
APO11Gestionar
calidad
APO12Gestionar el
riesgo
APO13Gestionar la
seguridad
APO01Gestionar el
marco de gestioacuten de TI
PROCESOS PARA EL
GOBIERNO DE TIEVALUAR ORIENTAR Y
MONITOREAR
MEA01Supervisar evaluar
y valorar el rendimiento y cumplimiento
MEA02Supervisar evaluar y valorar el sistema de control interno
MEA03 Supervisar evaluar
y valorar la conformidad con
los requerimientos externos
DSS01Gestionar
operaciones
DSS02 Gestionar las
Peticiones y los Incidentes del
Servicio
DSS03Gestionar los
problemas
DSS04Gestionar la continuidad
DSS05Gestionar los servicios de seguridad
DSS06Gestionar los
controles de los procesos del
negocio
BAI02Gestionar la definicioacuten de
requisitos
BAI03Gestionar la
identificacioacuten y construccioacuten de
soluciones
BAI04Gestionar la
disponibilidad y capacidad
BAI05 Gestionar la
Introduccioacuten de Cambios
Organizativos
BAI06Gestionar los
cambios
BAI07Gestionar la
aceptacioacuten del cambio y la transicioacuten
BAI08Gestionar el
conocimiento
BAI09Gestionar los activos
BAI10Gestionar la
configuracioacuten
BAI01Gestionar
programas y proyectos
Alinear planear y organizar
Construir adquirir e implementar
Entregar dar servicio y soporte
Monitorear evaluar y
valorar
PROCESOS PARA LA GESTIOacuteN DE TI
EDM01 Asegurar el
Establecimiento y Mantenimiento del Marco de Gobierno
EDM02Asegurar la entrega
de beneficios
EDM03Asegurar la
optimizacioacuten de riesgos
EDM04Asegurar la
optimizacioacuten de recursos
EDM05Asegurar la
transparencia hacia las partes interesadas
VICTOR A VASQUEZ M
Resumen del mapeo de COBIT 5
copy 2012 ISACA All rights reserved
VICTOR A VASQUEZ M
VICTOR A VASQUEZ M
THREAT
ROCA
NINtildeOS
CASA
La peacuterdida dantildeo o destruccioacuten potencial sobre el active como resultado de laexplotacioacuten de vulnerabilidad
RIESGO Desprendimiento de la
piedra y caiacuteda sobre los nintildeos
AMENAZA CONTROLVULNERABILIDAD RIESGO IMPACTO
Conceptos de riesgo
VICTOR A VASQUEZ M
THREAT
ROCA
NINtildeOS
CASA
Cualquier accioacuten que ayude a reducir la probabilidad de que el riesgo ocurra o que ayuda a reducir el impacto si el riesgo ocurre
Conceptos de riesgo
AMENAZA CONTROLVULNERABILIDAD RIESGO IMPACTO
bull Riesgo residual depende del disentildeo y la eficacia
de los controles
IMPA
CT
O
PR
OB
AB
ILID
AD
VICTOR A VASQUEZ M
THREAT
ROCA
NINtildeOS
CASA
iquestCuaacuteles son las consecuencias y coacutemo se miden
Impacto peacuterdida de vidas o
dantildeo en la propiedad
Conceptos de riesgo
AMENAZA CONTROLVULNERABILIDAD RIESGO IMPACTO
VICTOR A VASQUEZ M30
Anaacutelisis de Riesgos y su importancia
VICTOR A VASQUEZ MDiapositiva No 31
Introduccioacuten a COBIT 5
VICTOR A VASQUEZ M
iquestPor queacute se desarrolloacute COBIT 5
El mandato de la Junta Directiva de ISACA ldquoUnir y reforzar todos los activos de conocimiento de ISACA con COBITrdquo
Proporcionar un marco de gobierno y de gestioacuten renovado y con la autoridad necesaria para la informacioacuten empresarial y las tecnologiacuteas relacionadas
Integrar los principales marcos y las guiacuteas de ISACA Alinearse con los principales marcos y estaacutendares en el
mercado
VICTOR A VASQUEZ M
Gobierno Empresarial de TI
COBIT 5
Gobierno
COBIT4041
Administracioacuten
COBIT 3
Control
COBIT 2
La evolucioacuten de COBIT 5
Auditoriacutea
COBIT 1
2005720001998
Evo
luci
oacuten
1996 2012
BMIS(2010)
Val IT 20(2008)
Risk IT(2009)
VICTOR A VASQUEZ M
Motivadores del desarrollo de COBIT 5
Proveer una guiacutea respecto a Arquitectura Empresarial
Gestioacuten de servicios y activos
Modelos organizacionales y de aprovisionamiento emergentes
Innovacioacuten y Tecnologiacuteas emergentes
Responsabilidades de punta a punta de TI y el negocio Controles para soluciones de TI iniciadas o controladas
por usuario Necesidades de las empresas de
Lograr la creacioacuten de valor
Obtener la satisfaccioacuten de los usuarios
Cumplir leyes relevantes regulaciones y poliacuteticas
Mejorar la relacioacuten entre TI y el Negocio
Mejorar el retorno del Gobierno Empresarial de TI
Conectarse y alinearse con otros frameworks y estaacutendares
VICTOR A VASQUEZ M
Beneficios para las empresas
Las Empresas y los Ejecutivos buscan Mantener informacioacuten de alta calidad que soporte las
decisiones del negocio Generar valor para el negocio de las inversiones habilitadas
por TI
Ej Alcanzar los objetivos estrateacutegicos y lograr beneficios a traveacutes del uso efectivo e innovador de la TI
Lograr la excelencia operacional a traveacutes de la aplicacioacuten confiable y eficiente de la tecnologiacutea
Mantener el riesgo relacionado con TI a un nivel aceptable Optimizar el costo de los servicios de TI y la tecnologiacutea
iquestCoacutemo pueden lograrse estos beneficios para crear valor a los stakeholders de una organizacioacuten
VICTOR A VASQUEZ M
Beneficios
COBIT 5
Define como punto inicial de las actividades de gobierno y gestioacuten las necesidades de los stakeholders relacionadas con la TI de la empresa
Crea una vista maacutes holiacutestica integrada y completa del gobierno y la gestioacuten de la TI de la empresa
Crea un lenguaje comuacuten entre TI y el negocio para el gobierno y la gestioacuten de la TI empresarial
Es consistente con estaacutendares de gobierno corporativo generalmente aceptados por lo que ayuda a cumplir los requerimientos regulatorios
copy 2012 ISACA All Rights Reserved
VICTOR A VASQUEZ M
Familia de Productos de COBIT 5
COBIT 5
Otras guiacuteas habilitadoras
COBIT 5 Procesos habilitadores
COBIT 5 Informacioacuten habilitadora
COBIT 5 Guiacuteas profesionales
Otras guiacuteas profesionales
COBIT 5 Implementacioacuten
COBIT 5Para seguridad de informacioacuten
COBIT 5Para riesgos
COBIT 5 ambiente colaborativo en liacutenea
COBIT 5 Guiacuteas habilitadoras
COBIT 5Para aseguramiento
VICTOR A VASQUEZ MDiapositiva No 38
Principios Baacutesicos de COBIT 5
VICTOR A VASQUEZ M
Principios de COBIT 5
Principios de
COBIT 5
1 Satisfacer las
necesidades de las partes interesadas
2 Cubrir la empresa de extremo a extremo
3 Aplicar un marco de referencia
uacutenico integrado
4 Hacer posible un
enfoque holiacutestico
5 Separar gobierno de
la gestioacuten
VICTOR A VASQUEZ M
5 Distinguir entre gobierno y gestioacuten
El gobierno asegura de que las necesidades condiciones y opciones de las partes interesadas
bull Son evaluadas para determinar las metas corporativas a alcanzar considerado que sean equilibradas y consensuadas
bull Establecen la direccioacuten por medio de la priorizacioacuten y la toma de decisiones
bull Mide el rendimiento cumplimiento y progreso contra las directrices y metas acordadas (EDM)
La gestioacuten planea construye ejecuta y monitorealas actividades de manera alineada con las directrices establecidas por el cuerpo de gobierno para el logro de las metas corporativas (PBRM) ndash Plan Build Run Monitor --- Plan Do Check Act
En la mayoriacutea de las empresas el gobierno es responsabilidad del
consejo de administracioacuten bajo el liderazgo de un Presidente
En la mayoriacutea de las empresas la gestioacuten es responsabilidad de la
Direccioacuten Ejecutiva bajo el liderazgo del Director General (CEO)
VICTOR A VASQUEZ M
5 Distinguir entre gobierno y gestioacuten
Modelo de referencia de procesos
P
1
2
34
5
APO02Gestionar la
estrategia
APO03Gestionar la arquitectura empresarial
APO04Gestionar la innovacioacuten
APO05Gestionar el
portafolio
APO06Gestionar el
presupuesto y los costos
APO07Gestionar los
recursos humanos
APO08Gestionar las
relaciones
APO09Gestionar los acuerdos del
servicio
APO10Gestionar los proveedores
APO11Gestionar
calidad
APO12Gestionar el
riesgo
APO13Gestionar la
seguridad
APO01Gestionar el
marco de gestioacuten de TI
PROCESOS PARA EL
GOBIERNO DE TIEVALUAR ORIENTAR Y
MONITOREAR
MEA01Supervisar evaluar
y valorar el rendimiento y cumplimiento
MEA02Supervisar evaluar y valorar el sistema de control interno
MEA03 Supervisar evaluar
y valorar la conformidad con
los requerimientos externos
DSS01Gestionar
operaciones
DSS02 Gestionar las
Peticiones y los Incidentes del
Servicio
DSS03Gestionar los
problemas
DSS04Gestionar la continuidad
DSS05Gestionar los servicios de seguridad
DSS06Gestionar los
controles de los procesos del
negocio
BAI02Gestionar la definicioacuten de
requisitos
BAI03Gestionar la
identificacioacuten y construccioacuten de
soluciones
BAI04Gestionar la
disponibilidad y capacidad
BAI05 Gestionar la
Introduccioacuten de Cambios
Organizativos
BAI06Gestionar los
cambios
BAI07Gestionar la
aceptacioacuten del cambio y la transicioacuten
BAI08Gestionar el
conocimiento
BAI09Gestionar los activos
BAI10Gestionar la
configuracioacuten
BAI01Gestionar
programas y proyectos
Alinear planear y organizar
Construir adquirir e implementar
Entregar dar servicio y soporte
Monitorear evaluar y
valorar
PROCESOS PARA LA GESTIOacuteN DE TI
EDM01 Asegurar el
Establecimiento y Mantenimiento del Marco de Gobierno
EDM02Asegurar la entrega
de beneficios
EDM03Asegurar la
optimizacioacuten de riesgos
EDM04Asegurar la
optimizacioacuten de recursos
EDM05Asegurar la
transparencia hacia las partes interesadas
VICTOR A VASQUEZ M
Resumen del mapeo de COBIT 5
copy 2012 ISACA All rights reserved
VICTOR A VASQUEZ M
VICTOR A VASQUEZ M
THREAT
ROCA
NINtildeOS
CASA
Cualquier accioacuten que ayude a reducir la probabilidad de que el riesgo ocurra o que ayuda a reducir el impacto si el riesgo ocurre
Conceptos de riesgo
AMENAZA CONTROLVULNERABILIDAD RIESGO IMPACTO
bull Riesgo residual depende del disentildeo y la eficacia
de los controles
IMPA
CT
O
PR
OB
AB
ILID
AD
VICTOR A VASQUEZ M
THREAT
ROCA
NINtildeOS
CASA
iquestCuaacuteles son las consecuencias y coacutemo se miden
Impacto peacuterdida de vidas o
dantildeo en la propiedad
Conceptos de riesgo
AMENAZA CONTROLVULNERABILIDAD RIESGO IMPACTO
VICTOR A VASQUEZ M30
Anaacutelisis de Riesgos y su importancia
VICTOR A VASQUEZ MDiapositiva No 31
Introduccioacuten a COBIT 5
VICTOR A VASQUEZ M
iquestPor queacute se desarrolloacute COBIT 5
El mandato de la Junta Directiva de ISACA ldquoUnir y reforzar todos los activos de conocimiento de ISACA con COBITrdquo
Proporcionar un marco de gobierno y de gestioacuten renovado y con la autoridad necesaria para la informacioacuten empresarial y las tecnologiacuteas relacionadas
Integrar los principales marcos y las guiacuteas de ISACA Alinearse con los principales marcos y estaacutendares en el
mercado
VICTOR A VASQUEZ M
Gobierno Empresarial de TI
COBIT 5
Gobierno
COBIT4041
Administracioacuten
COBIT 3
Control
COBIT 2
La evolucioacuten de COBIT 5
Auditoriacutea
COBIT 1
2005720001998
Evo
luci
oacuten
1996 2012
BMIS(2010)
Val IT 20(2008)
Risk IT(2009)
VICTOR A VASQUEZ M
Motivadores del desarrollo de COBIT 5
Proveer una guiacutea respecto a Arquitectura Empresarial
Gestioacuten de servicios y activos
Modelos organizacionales y de aprovisionamiento emergentes
Innovacioacuten y Tecnologiacuteas emergentes
Responsabilidades de punta a punta de TI y el negocio Controles para soluciones de TI iniciadas o controladas
por usuario Necesidades de las empresas de
Lograr la creacioacuten de valor
Obtener la satisfaccioacuten de los usuarios
Cumplir leyes relevantes regulaciones y poliacuteticas
Mejorar la relacioacuten entre TI y el Negocio
Mejorar el retorno del Gobierno Empresarial de TI
Conectarse y alinearse con otros frameworks y estaacutendares
VICTOR A VASQUEZ M
Beneficios para las empresas
Las Empresas y los Ejecutivos buscan Mantener informacioacuten de alta calidad que soporte las
decisiones del negocio Generar valor para el negocio de las inversiones habilitadas
por TI
Ej Alcanzar los objetivos estrateacutegicos y lograr beneficios a traveacutes del uso efectivo e innovador de la TI
Lograr la excelencia operacional a traveacutes de la aplicacioacuten confiable y eficiente de la tecnologiacutea
Mantener el riesgo relacionado con TI a un nivel aceptable Optimizar el costo de los servicios de TI y la tecnologiacutea
iquestCoacutemo pueden lograrse estos beneficios para crear valor a los stakeholders de una organizacioacuten
VICTOR A VASQUEZ M
Beneficios
COBIT 5
Define como punto inicial de las actividades de gobierno y gestioacuten las necesidades de los stakeholders relacionadas con la TI de la empresa
Crea una vista maacutes holiacutestica integrada y completa del gobierno y la gestioacuten de la TI de la empresa
Crea un lenguaje comuacuten entre TI y el negocio para el gobierno y la gestioacuten de la TI empresarial
Es consistente con estaacutendares de gobierno corporativo generalmente aceptados por lo que ayuda a cumplir los requerimientos regulatorios
copy 2012 ISACA All Rights Reserved
VICTOR A VASQUEZ M
Familia de Productos de COBIT 5
COBIT 5
Otras guiacuteas habilitadoras
COBIT 5 Procesos habilitadores
COBIT 5 Informacioacuten habilitadora
COBIT 5 Guiacuteas profesionales
Otras guiacuteas profesionales
COBIT 5 Implementacioacuten
COBIT 5Para seguridad de informacioacuten
COBIT 5Para riesgos
COBIT 5 ambiente colaborativo en liacutenea
COBIT 5 Guiacuteas habilitadoras
COBIT 5Para aseguramiento
VICTOR A VASQUEZ MDiapositiva No 38
Principios Baacutesicos de COBIT 5
VICTOR A VASQUEZ M
Principios de COBIT 5
Principios de
COBIT 5
1 Satisfacer las
necesidades de las partes interesadas
2 Cubrir la empresa de extremo a extremo
3 Aplicar un marco de referencia
uacutenico integrado
4 Hacer posible un
enfoque holiacutestico
5 Separar gobierno de
la gestioacuten
VICTOR A VASQUEZ M
5 Distinguir entre gobierno y gestioacuten
El gobierno asegura de que las necesidades condiciones y opciones de las partes interesadas
bull Son evaluadas para determinar las metas corporativas a alcanzar considerado que sean equilibradas y consensuadas
bull Establecen la direccioacuten por medio de la priorizacioacuten y la toma de decisiones
bull Mide el rendimiento cumplimiento y progreso contra las directrices y metas acordadas (EDM)
La gestioacuten planea construye ejecuta y monitorealas actividades de manera alineada con las directrices establecidas por el cuerpo de gobierno para el logro de las metas corporativas (PBRM) ndash Plan Build Run Monitor --- Plan Do Check Act
En la mayoriacutea de las empresas el gobierno es responsabilidad del
consejo de administracioacuten bajo el liderazgo de un Presidente
En la mayoriacutea de las empresas la gestioacuten es responsabilidad de la
Direccioacuten Ejecutiva bajo el liderazgo del Director General (CEO)
VICTOR A VASQUEZ M
5 Distinguir entre gobierno y gestioacuten
Modelo de referencia de procesos
P
1
2
34
5
APO02Gestionar la
estrategia
APO03Gestionar la arquitectura empresarial
APO04Gestionar la innovacioacuten
APO05Gestionar el
portafolio
APO06Gestionar el
presupuesto y los costos
APO07Gestionar los
recursos humanos
APO08Gestionar las
relaciones
APO09Gestionar los acuerdos del
servicio
APO10Gestionar los proveedores
APO11Gestionar
calidad
APO12Gestionar el
riesgo
APO13Gestionar la
seguridad
APO01Gestionar el
marco de gestioacuten de TI
PROCESOS PARA EL
GOBIERNO DE TIEVALUAR ORIENTAR Y
MONITOREAR
MEA01Supervisar evaluar
y valorar el rendimiento y cumplimiento
MEA02Supervisar evaluar y valorar el sistema de control interno
MEA03 Supervisar evaluar
y valorar la conformidad con
los requerimientos externos
DSS01Gestionar
operaciones
DSS02 Gestionar las
Peticiones y los Incidentes del
Servicio
DSS03Gestionar los
problemas
DSS04Gestionar la continuidad
DSS05Gestionar los servicios de seguridad
DSS06Gestionar los
controles de los procesos del
negocio
BAI02Gestionar la definicioacuten de
requisitos
BAI03Gestionar la
identificacioacuten y construccioacuten de
soluciones
BAI04Gestionar la
disponibilidad y capacidad
BAI05 Gestionar la
Introduccioacuten de Cambios
Organizativos
BAI06Gestionar los
cambios
BAI07Gestionar la
aceptacioacuten del cambio y la transicioacuten
BAI08Gestionar el
conocimiento
BAI09Gestionar los activos
BAI10Gestionar la
configuracioacuten
BAI01Gestionar
programas y proyectos
Alinear planear y organizar
Construir adquirir e implementar
Entregar dar servicio y soporte
Monitorear evaluar y
valorar
PROCESOS PARA LA GESTIOacuteN DE TI
EDM01 Asegurar el
Establecimiento y Mantenimiento del Marco de Gobierno
EDM02Asegurar la entrega
de beneficios
EDM03Asegurar la
optimizacioacuten de riesgos
EDM04Asegurar la
optimizacioacuten de recursos
EDM05Asegurar la
transparencia hacia las partes interesadas
VICTOR A VASQUEZ M
Resumen del mapeo de COBIT 5
copy 2012 ISACA All rights reserved
VICTOR A VASQUEZ M
VICTOR A VASQUEZ M
THREAT
ROCA
NINtildeOS
CASA
iquestCuaacuteles son las consecuencias y coacutemo se miden
Impacto peacuterdida de vidas o
dantildeo en la propiedad
Conceptos de riesgo
AMENAZA CONTROLVULNERABILIDAD RIESGO IMPACTO
VICTOR A VASQUEZ M30
Anaacutelisis de Riesgos y su importancia
VICTOR A VASQUEZ MDiapositiva No 31
Introduccioacuten a COBIT 5
VICTOR A VASQUEZ M
iquestPor queacute se desarrolloacute COBIT 5
El mandato de la Junta Directiva de ISACA ldquoUnir y reforzar todos los activos de conocimiento de ISACA con COBITrdquo
Proporcionar un marco de gobierno y de gestioacuten renovado y con la autoridad necesaria para la informacioacuten empresarial y las tecnologiacuteas relacionadas
Integrar los principales marcos y las guiacuteas de ISACA Alinearse con los principales marcos y estaacutendares en el
mercado
VICTOR A VASQUEZ M
Gobierno Empresarial de TI
COBIT 5
Gobierno
COBIT4041
Administracioacuten
COBIT 3
Control
COBIT 2
La evolucioacuten de COBIT 5
Auditoriacutea
COBIT 1
2005720001998
Evo
luci
oacuten
1996 2012
BMIS(2010)
Val IT 20(2008)
Risk IT(2009)
VICTOR A VASQUEZ M
Motivadores del desarrollo de COBIT 5
Proveer una guiacutea respecto a Arquitectura Empresarial
Gestioacuten de servicios y activos
Modelos organizacionales y de aprovisionamiento emergentes
Innovacioacuten y Tecnologiacuteas emergentes
Responsabilidades de punta a punta de TI y el negocio Controles para soluciones de TI iniciadas o controladas
por usuario Necesidades de las empresas de
Lograr la creacioacuten de valor
Obtener la satisfaccioacuten de los usuarios
Cumplir leyes relevantes regulaciones y poliacuteticas
Mejorar la relacioacuten entre TI y el Negocio
Mejorar el retorno del Gobierno Empresarial de TI
Conectarse y alinearse con otros frameworks y estaacutendares
VICTOR A VASQUEZ M
Beneficios para las empresas
Las Empresas y los Ejecutivos buscan Mantener informacioacuten de alta calidad que soporte las
decisiones del negocio Generar valor para el negocio de las inversiones habilitadas
por TI
Ej Alcanzar los objetivos estrateacutegicos y lograr beneficios a traveacutes del uso efectivo e innovador de la TI
Lograr la excelencia operacional a traveacutes de la aplicacioacuten confiable y eficiente de la tecnologiacutea
Mantener el riesgo relacionado con TI a un nivel aceptable Optimizar el costo de los servicios de TI y la tecnologiacutea
iquestCoacutemo pueden lograrse estos beneficios para crear valor a los stakeholders de una organizacioacuten
VICTOR A VASQUEZ M
Beneficios
COBIT 5
Define como punto inicial de las actividades de gobierno y gestioacuten las necesidades de los stakeholders relacionadas con la TI de la empresa
Crea una vista maacutes holiacutestica integrada y completa del gobierno y la gestioacuten de la TI de la empresa
Crea un lenguaje comuacuten entre TI y el negocio para el gobierno y la gestioacuten de la TI empresarial
Es consistente con estaacutendares de gobierno corporativo generalmente aceptados por lo que ayuda a cumplir los requerimientos regulatorios
copy 2012 ISACA All Rights Reserved
VICTOR A VASQUEZ M
Familia de Productos de COBIT 5
COBIT 5
Otras guiacuteas habilitadoras
COBIT 5 Procesos habilitadores
COBIT 5 Informacioacuten habilitadora
COBIT 5 Guiacuteas profesionales
Otras guiacuteas profesionales
COBIT 5 Implementacioacuten
COBIT 5Para seguridad de informacioacuten
COBIT 5Para riesgos
COBIT 5 ambiente colaborativo en liacutenea
COBIT 5 Guiacuteas habilitadoras
COBIT 5Para aseguramiento
VICTOR A VASQUEZ MDiapositiva No 38
Principios Baacutesicos de COBIT 5
VICTOR A VASQUEZ M
Principios de COBIT 5
Principios de
COBIT 5
1 Satisfacer las
necesidades de las partes interesadas
2 Cubrir la empresa de extremo a extremo
3 Aplicar un marco de referencia
uacutenico integrado
4 Hacer posible un
enfoque holiacutestico
5 Separar gobierno de
la gestioacuten
VICTOR A VASQUEZ M
5 Distinguir entre gobierno y gestioacuten
El gobierno asegura de que las necesidades condiciones y opciones de las partes interesadas
bull Son evaluadas para determinar las metas corporativas a alcanzar considerado que sean equilibradas y consensuadas
bull Establecen la direccioacuten por medio de la priorizacioacuten y la toma de decisiones
bull Mide el rendimiento cumplimiento y progreso contra las directrices y metas acordadas (EDM)
La gestioacuten planea construye ejecuta y monitorealas actividades de manera alineada con las directrices establecidas por el cuerpo de gobierno para el logro de las metas corporativas (PBRM) ndash Plan Build Run Monitor --- Plan Do Check Act
En la mayoriacutea de las empresas el gobierno es responsabilidad del
consejo de administracioacuten bajo el liderazgo de un Presidente
En la mayoriacutea de las empresas la gestioacuten es responsabilidad de la
Direccioacuten Ejecutiva bajo el liderazgo del Director General (CEO)
VICTOR A VASQUEZ M
5 Distinguir entre gobierno y gestioacuten
Modelo de referencia de procesos
P
1
2
34
5
APO02Gestionar la
estrategia
APO03Gestionar la arquitectura empresarial
APO04Gestionar la innovacioacuten
APO05Gestionar el
portafolio
APO06Gestionar el
presupuesto y los costos
APO07Gestionar los
recursos humanos
APO08Gestionar las
relaciones
APO09Gestionar los acuerdos del
servicio
APO10Gestionar los proveedores
APO11Gestionar
calidad
APO12Gestionar el
riesgo
APO13Gestionar la
seguridad
APO01Gestionar el
marco de gestioacuten de TI
PROCESOS PARA EL
GOBIERNO DE TIEVALUAR ORIENTAR Y
MONITOREAR
MEA01Supervisar evaluar
y valorar el rendimiento y cumplimiento
MEA02Supervisar evaluar y valorar el sistema de control interno
MEA03 Supervisar evaluar
y valorar la conformidad con
los requerimientos externos
DSS01Gestionar
operaciones
DSS02 Gestionar las
Peticiones y los Incidentes del
Servicio
DSS03Gestionar los
problemas
DSS04Gestionar la continuidad
DSS05Gestionar los servicios de seguridad
DSS06Gestionar los
controles de los procesos del
negocio
BAI02Gestionar la definicioacuten de
requisitos
BAI03Gestionar la
identificacioacuten y construccioacuten de
soluciones
BAI04Gestionar la
disponibilidad y capacidad
BAI05 Gestionar la
Introduccioacuten de Cambios
Organizativos
BAI06Gestionar los
cambios
BAI07Gestionar la
aceptacioacuten del cambio y la transicioacuten
BAI08Gestionar el
conocimiento
BAI09Gestionar los activos
BAI10Gestionar la
configuracioacuten
BAI01Gestionar
programas y proyectos
Alinear planear y organizar
Construir adquirir e implementar
Entregar dar servicio y soporte
Monitorear evaluar y
valorar
PROCESOS PARA LA GESTIOacuteN DE TI
EDM01 Asegurar el
Establecimiento y Mantenimiento del Marco de Gobierno
EDM02Asegurar la entrega
de beneficios
EDM03Asegurar la
optimizacioacuten de riesgos
EDM04Asegurar la
optimizacioacuten de recursos
EDM05Asegurar la
transparencia hacia las partes interesadas
VICTOR A VASQUEZ M
Resumen del mapeo de COBIT 5
copy 2012 ISACA All rights reserved
VICTOR A VASQUEZ M
VICTOR A VASQUEZ M30
Anaacutelisis de Riesgos y su importancia
VICTOR A VASQUEZ MDiapositiva No 31
Introduccioacuten a COBIT 5
VICTOR A VASQUEZ M
iquestPor queacute se desarrolloacute COBIT 5
El mandato de la Junta Directiva de ISACA ldquoUnir y reforzar todos los activos de conocimiento de ISACA con COBITrdquo
Proporcionar un marco de gobierno y de gestioacuten renovado y con la autoridad necesaria para la informacioacuten empresarial y las tecnologiacuteas relacionadas
Integrar los principales marcos y las guiacuteas de ISACA Alinearse con los principales marcos y estaacutendares en el
mercado
VICTOR A VASQUEZ M
Gobierno Empresarial de TI
COBIT 5
Gobierno
COBIT4041
Administracioacuten
COBIT 3
Control
COBIT 2
La evolucioacuten de COBIT 5
Auditoriacutea
COBIT 1
2005720001998
Evo
luci
oacuten
1996 2012
BMIS(2010)
Val IT 20(2008)
Risk IT(2009)
VICTOR A VASQUEZ M
Motivadores del desarrollo de COBIT 5
Proveer una guiacutea respecto a Arquitectura Empresarial
Gestioacuten de servicios y activos
Modelos organizacionales y de aprovisionamiento emergentes
Innovacioacuten y Tecnologiacuteas emergentes
Responsabilidades de punta a punta de TI y el negocio Controles para soluciones de TI iniciadas o controladas
por usuario Necesidades de las empresas de
Lograr la creacioacuten de valor
Obtener la satisfaccioacuten de los usuarios
Cumplir leyes relevantes regulaciones y poliacuteticas
Mejorar la relacioacuten entre TI y el Negocio
Mejorar el retorno del Gobierno Empresarial de TI
Conectarse y alinearse con otros frameworks y estaacutendares
VICTOR A VASQUEZ M
Beneficios para las empresas
Las Empresas y los Ejecutivos buscan Mantener informacioacuten de alta calidad que soporte las
decisiones del negocio Generar valor para el negocio de las inversiones habilitadas
por TI
Ej Alcanzar los objetivos estrateacutegicos y lograr beneficios a traveacutes del uso efectivo e innovador de la TI
Lograr la excelencia operacional a traveacutes de la aplicacioacuten confiable y eficiente de la tecnologiacutea
Mantener el riesgo relacionado con TI a un nivel aceptable Optimizar el costo de los servicios de TI y la tecnologiacutea
iquestCoacutemo pueden lograrse estos beneficios para crear valor a los stakeholders de una organizacioacuten
VICTOR A VASQUEZ M
Beneficios
COBIT 5
Define como punto inicial de las actividades de gobierno y gestioacuten las necesidades de los stakeholders relacionadas con la TI de la empresa
Crea una vista maacutes holiacutestica integrada y completa del gobierno y la gestioacuten de la TI de la empresa
Crea un lenguaje comuacuten entre TI y el negocio para el gobierno y la gestioacuten de la TI empresarial
Es consistente con estaacutendares de gobierno corporativo generalmente aceptados por lo que ayuda a cumplir los requerimientos regulatorios
copy 2012 ISACA All Rights Reserved
VICTOR A VASQUEZ M
Familia de Productos de COBIT 5
COBIT 5
Otras guiacuteas habilitadoras
COBIT 5 Procesos habilitadores
COBIT 5 Informacioacuten habilitadora
COBIT 5 Guiacuteas profesionales
Otras guiacuteas profesionales
COBIT 5 Implementacioacuten
COBIT 5Para seguridad de informacioacuten
COBIT 5Para riesgos
COBIT 5 ambiente colaborativo en liacutenea
COBIT 5 Guiacuteas habilitadoras
COBIT 5Para aseguramiento
VICTOR A VASQUEZ MDiapositiva No 38
Principios Baacutesicos de COBIT 5
VICTOR A VASQUEZ M
Principios de COBIT 5
Principios de
COBIT 5
1 Satisfacer las
necesidades de las partes interesadas
2 Cubrir la empresa de extremo a extremo
3 Aplicar un marco de referencia
uacutenico integrado
4 Hacer posible un
enfoque holiacutestico
5 Separar gobierno de
la gestioacuten
VICTOR A VASQUEZ M
5 Distinguir entre gobierno y gestioacuten
El gobierno asegura de que las necesidades condiciones y opciones de las partes interesadas
bull Son evaluadas para determinar las metas corporativas a alcanzar considerado que sean equilibradas y consensuadas
bull Establecen la direccioacuten por medio de la priorizacioacuten y la toma de decisiones
bull Mide el rendimiento cumplimiento y progreso contra las directrices y metas acordadas (EDM)
La gestioacuten planea construye ejecuta y monitorealas actividades de manera alineada con las directrices establecidas por el cuerpo de gobierno para el logro de las metas corporativas (PBRM) ndash Plan Build Run Monitor --- Plan Do Check Act
En la mayoriacutea de las empresas el gobierno es responsabilidad del
consejo de administracioacuten bajo el liderazgo de un Presidente
En la mayoriacutea de las empresas la gestioacuten es responsabilidad de la
Direccioacuten Ejecutiva bajo el liderazgo del Director General (CEO)
VICTOR A VASQUEZ M
5 Distinguir entre gobierno y gestioacuten
Modelo de referencia de procesos
P
1
2
34
5
APO02Gestionar la
estrategia
APO03Gestionar la arquitectura empresarial
APO04Gestionar la innovacioacuten
APO05Gestionar el
portafolio
APO06Gestionar el
presupuesto y los costos
APO07Gestionar los
recursos humanos
APO08Gestionar las
relaciones
APO09Gestionar los acuerdos del
servicio
APO10Gestionar los proveedores
APO11Gestionar
calidad
APO12Gestionar el
riesgo
APO13Gestionar la
seguridad
APO01Gestionar el
marco de gestioacuten de TI
PROCESOS PARA EL
GOBIERNO DE TIEVALUAR ORIENTAR Y
MONITOREAR
MEA01Supervisar evaluar
y valorar el rendimiento y cumplimiento
MEA02Supervisar evaluar y valorar el sistema de control interno
MEA03 Supervisar evaluar
y valorar la conformidad con
los requerimientos externos
DSS01Gestionar
operaciones
DSS02 Gestionar las
Peticiones y los Incidentes del
Servicio
DSS03Gestionar los
problemas
DSS04Gestionar la continuidad
DSS05Gestionar los servicios de seguridad
DSS06Gestionar los
controles de los procesos del
negocio
BAI02Gestionar la definicioacuten de
requisitos
BAI03Gestionar la
identificacioacuten y construccioacuten de
soluciones
BAI04Gestionar la
disponibilidad y capacidad
BAI05 Gestionar la
Introduccioacuten de Cambios
Organizativos
BAI06Gestionar los
cambios
BAI07Gestionar la
aceptacioacuten del cambio y la transicioacuten
BAI08Gestionar el
conocimiento
BAI09Gestionar los activos
BAI10Gestionar la
configuracioacuten
BAI01Gestionar
programas y proyectos
Alinear planear y organizar
Construir adquirir e implementar
Entregar dar servicio y soporte
Monitorear evaluar y
valorar
PROCESOS PARA LA GESTIOacuteN DE TI
EDM01 Asegurar el
Establecimiento y Mantenimiento del Marco de Gobierno
EDM02Asegurar la entrega
de beneficios
EDM03Asegurar la
optimizacioacuten de riesgos
EDM04Asegurar la
optimizacioacuten de recursos
EDM05Asegurar la
transparencia hacia las partes interesadas
VICTOR A VASQUEZ M
Resumen del mapeo de COBIT 5
copy 2012 ISACA All rights reserved
VICTOR A VASQUEZ M
VICTOR A VASQUEZ MDiapositiva No 31
Introduccioacuten a COBIT 5
VICTOR A VASQUEZ M
iquestPor queacute se desarrolloacute COBIT 5
El mandato de la Junta Directiva de ISACA ldquoUnir y reforzar todos los activos de conocimiento de ISACA con COBITrdquo
Proporcionar un marco de gobierno y de gestioacuten renovado y con la autoridad necesaria para la informacioacuten empresarial y las tecnologiacuteas relacionadas
Integrar los principales marcos y las guiacuteas de ISACA Alinearse con los principales marcos y estaacutendares en el
mercado
VICTOR A VASQUEZ M
Gobierno Empresarial de TI
COBIT 5
Gobierno
COBIT4041
Administracioacuten
COBIT 3
Control
COBIT 2
La evolucioacuten de COBIT 5
Auditoriacutea
COBIT 1
2005720001998
Evo
luci
oacuten
1996 2012
BMIS(2010)
Val IT 20(2008)
Risk IT(2009)
VICTOR A VASQUEZ M
Motivadores del desarrollo de COBIT 5
Proveer una guiacutea respecto a Arquitectura Empresarial
Gestioacuten de servicios y activos
Modelos organizacionales y de aprovisionamiento emergentes
Innovacioacuten y Tecnologiacuteas emergentes
Responsabilidades de punta a punta de TI y el negocio Controles para soluciones de TI iniciadas o controladas
por usuario Necesidades de las empresas de
Lograr la creacioacuten de valor
Obtener la satisfaccioacuten de los usuarios
Cumplir leyes relevantes regulaciones y poliacuteticas
Mejorar la relacioacuten entre TI y el Negocio
Mejorar el retorno del Gobierno Empresarial de TI
Conectarse y alinearse con otros frameworks y estaacutendares
VICTOR A VASQUEZ M
Beneficios para las empresas
Las Empresas y los Ejecutivos buscan Mantener informacioacuten de alta calidad que soporte las
decisiones del negocio Generar valor para el negocio de las inversiones habilitadas
por TI
Ej Alcanzar los objetivos estrateacutegicos y lograr beneficios a traveacutes del uso efectivo e innovador de la TI
Lograr la excelencia operacional a traveacutes de la aplicacioacuten confiable y eficiente de la tecnologiacutea
Mantener el riesgo relacionado con TI a un nivel aceptable Optimizar el costo de los servicios de TI y la tecnologiacutea
iquestCoacutemo pueden lograrse estos beneficios para crear valor a los stakeholders de una organizacioacuten
VICTOR A VASQUEZ M
Beneficios
COBIT 5
Define como punto inicial de las actividades de gobierno y gestioacuten las necesidades de los stakeholders relacionadas con la TI de la empresa
Crea una vista maacutes holiacutestica integrada y completa del gobierno y la gestioacuten de la TI de la empresa
Crea un lenguaje comuacuten entre TI y el negocio para el gobierno y la gestioacuten de la TI empresarial
Es consistente con estaacutendares de gobierno corporativo generalmente aceptados por lo que ayuda a cumplir los requerimientos regulatorios
copy 2012 ISACA All Rights Reserved
VICTOR A VASQUEZ M
Familia de Productos de COBIT 5
COBIT 5
Otras guiacuteas habilitadoras
COBIT 5 Procesos habilitadores
COBIT 5 Informacioacuten habilitadora
COBIT 5 Guiacuteas profesionales
Otras guiacuteas profesionales
COBIT 5 Implementacioacuten
COBIT 5Para seguridad de informacioacuten
COBIT 5Para riesgos
COBIT 5 ambiente colaborativo en liacutenea
COBIT 5 Guiacuteas habilitadoras
COBIT 5Para aseguramiento
VICTOR A VASQUEZ MDiapositiva No 38
Principios Baacutesicos de COBIT 5
VICTOR A VASQUEZ M
Principios de COBIT 5
Principios de
COBIT 5
1 Satisfacer las
necesidades de las partes interesadas
2 Cubrir la empresa de extremo a extremo
3 Aplicar un marco de referencia
uacutenico integrado
4 Hacer posible un
enfoque holiacutestico
5 Separar gobierno de
la gestioacuten
VICTOR A VASQUEZ M
5 Distinguir entre gobierno y gestioacuten
El gobierno asegura de que las necesidades condiciones y opciones de las partes interesadas
bull Son evaluadas para determinar las metas corporativas a alcanzar considerado que sean equilibradas y consensuadas
bull Establecen la direccioacuten por medio de la priorizacioacuten y la toma de decisiones
bull Mide el rendimiento cumplimiento y progreso contra las directrices y metas acordadas (EDM)
La gestioacuten planea construye ejecuta y monitorealas actividades de manera alineada con las directrices establecidas por el cuerpo de gobierno para el logro de las metas corporativas (PBRM) ndash Plan Build Run Monitor --- Plan Do Check Act
En la mayoriacutea de las empresas el gobierno es responsabilidad del
consejo de administracioacuten bajo el liderazgo de un Presidente
En la mayoriacutea de las empresas la gestioacuten es responsabilidad de la
Direccioacuten Ejecutiva bajo el liderazgo del Director General (CEO)
VICTOR A VASQUEZ M
5 Distinguir entre gobierno y gestioacuten
Modelo de referencia de procesos
P
1
2
34
5
APO02Gestionar la
estrategia
APO03Gestionar la arquitectura empresarial
APO04Gestionar la innovacioacuten
APO05Gestionar el
portafolio
APO06Gestionar el
presupuesto y los costos
APO07Gestionar los
recursos humanos
APO08Gestionar las
relaciones
APO09Gestionar los acuerdos del
servicio
APO10Gestionar los proveedores
APO11Gestionar
calidad
APO12Gestionar el
riesgo
APO13Gestionar la
seguridad
APO01Gestionar el
marco de gestioacuten de TI
PROCESOS PARA EL
GOBIERNO DE TIEVALUAR ORIENTAR Y
MONITOREAR
MEA01Supervisar evaluar
y valorar el rendimiento y cumplimiento
MEA02Supervisar evaluar y valorar el sistema de control interno
MEA03 Supervisar evaluar
y valorar la conformidad con
los requerimientos externos
DSS01Gestionar
operaciones
DSS02 Gestionar las
Peticiones y los Incidentes del
Servicio
DSS03Gestionar los
problemas
DSS04Gestionar la continuidad
DSS05Gestionar los servicios de seguridad
DSS06Gestionar los
controles de los procesos del
negocio
BAI02Gestionar la definicioacuten de
requisitos
BAI03Gestionar la
identificacioacuten y construccioacuten de
soluciones
BAI04Gestionar la
disponibilidad y capacidad
BAI05 Gestionar la
Introduccioacuten de Cambios
Organizativos
BAI06Gestionar los
cambios
BAI07Gestionar la
aceptacioacuten del cambio y la transicioacuten
BAI08Gestionar el
conocimiento
BAI09Gestionar los activos
BAI10Gestionar la
configuracioacuten
BAI01Gestionar
programas y proyectos
Alinear planear y organizar
Construir adquirir e implementar
Entregar dar servicio y soporte
Monitorear evaluar y
valorar
PROCESOS PARA LA GESTIOacuteN DE TI
EDM01 Asegurar el
Establecimiento y Mantenimiento del Marco de Gobierno
EDM02Asegurar la entrega
de beneficios
EDM03Asegurar la
optimizacioacuten de riesgos
EDM04Asegurar la
optimizacioacuten de recursos
EDM05Asegurar la
transparencia hacia las partes interesadas
VICTOR A VASQUEZ M
Resumen del mapeo de COBIT 5
copy 2012 ISACA All rights reserved
VICTOR A VASQUEZ M
VICTOR A VASQUEZ M
iquestPor queacute se desarrolloacute COBIT 5
El mandato de la Junta Directiva de ISACA ldquoUnir y reforzar todos los activos de conocimiento de ISACA con COBITrdquo
Proporcionar un marco de gobierno y de gestioacuten renovado y con la autoridad necesaria para la informacioacuten empresarial y las tecnologiacuteas relacionadas
Integrar los principales marcos y las guiacuteas de ISACA Alinearse con los principales marcos y estaacutendares en el
mercado
VICTOR A VASQUEZ M
Gobierno Empresarial de TI
COBIT 5
Gobierno
COBIT4041
Administracioacuten
COBIT 3
Control
COBIT 2
La evolucioacuten de COBIT 5
Auditoriacutea
COBIT 1
2005720001998
Evo
luci
oacuten
1996 2012
BMIS(2010)
Val IT 20(2008)
Risk IT(2009)
VICTOR A VASQUEZ M
Motivadores del desarrollo de COBIT 5
Proveer una guiacutea respecto a Arquitectura Empresarial
Gestioacuten de servicios y activos
Modelos organizacionales y de aprovisionamiento emergentes
Innovacioacuten y Tecnologiacuteas emergentes
Responsabilidades de punta a punta de TI y el negocio Controles para soluciones de TI iniciadas o controladas
por usuario Necesidades de las empresas de
Lograr la creacioacuten de valor
Obtener la satisfaccioacuten de los usuarios
Cumplir leyes relevantes regulaciones y poliacuteticas
Mejorar la relacioacuten entre TI y el Negocio
Mejorar el retorno del Gobierno Empresarial de TI
Conectarse y alinearse con otros frameworks y estaacutendares
VICTOR A VASQUEZ M
Beneficios para las empresas
Las Empresas y los Ejecutivos buscan Mantener informacioacuten de alta calidad que soporte las
decisiones del negocio Generar valor para el negocio de las inversiones habilitadas
por TI
Ej Alcanzar los objetivos estrateacutegicos y lograr beneficios a traveacutes del uso efectivo e innovador de la TI
Lograr la excelencia operacional a traveacutes de la aplicacioacuten confiable y eficiente de la tecnologiacutea
Mantener el riesgo relacionado con TI a un nivel aceptable Optimizar el costo de los servicios de TI y la tecnologiacutea
iquestCoacutemo pueden lograrse estos beneficios para crear valor a los stakeholders de una organizacioacuten
VICTOR A VASQUEZ M
Beneficios
COBIT 5
Define como punto inicial de las actividades de gobierno y gestioacuten las necesidades de los stakeholders relacionadas con la TI de la empresa
Crea una vista maacutes holiacutestica integrada y completa del gobierno y la gestioacuten de la TI de la empresa
Crea un lenguaje comuacuten entre TI y el negocio para el gobierno y la gestioacuten de la TI empresarial
Es consistente con estaacutendares de gobierno corporativo generalmente aceptados por lo que ayuda a cumplir los requerimientos regulatorios
copy 2012 ISACA All Rights Reserved
VICTOR A VASQUEZ M
Familia de Productos de COBIT 5
COBIT 5
Otras guiacuteas habilitadoras
COBIT 5 Procesos habilitadores
COBIT 5 Informacioacuten habilitadora
COBIT 5 Guiacuteas profesionales
Otras guiacuteas profesionales
COBIT 5 Implementacioacuten
COBIT 5Para seguridad de informacioacuten
COBIT 5Para riesgos
COBIT 5 ambiente colaborativo en liacutenea
COBIT 5 Guiacuteas habilitadoras
COBIT 5Para aseguramiento
VICTOR A VASQUEZ MDiapositiva No 38
Principios Baacutesicos de COBIT 5
VICTOR A VASQUEZ M
Principios de COBIT 5
Principios de
COBIT 5
1 Satisfacer las
necesidades de las partes interesadas
2 Cubrir la empresa de extremo a extremo
3 Aplicar un marco de referencia
uacutenico integrado
4 Hacer posible un
enfoque holiacutestico
5 Separar gobierno de
la gestioacuten
VICTOR A VASQUEZ M
5 Distinguir entre gobierno y gestioacuten
El gobierno asegura de que las necesidades condiciones y opciones de las partes interesadas
bull Son evaluadas para determinar las metas corporativas a alcanzar considerado que sean equilibradas y consensuadas
bull Establecen la direccioacuten por medio de la priorizacioacuten y la toma de decisiones
bull Mide el rendimiento cumplimiento y progreso contra las directrices y metas acordadas (EDM)
La gestioacuten planea construye ejecuta y monitorealas actividades de manera alineada con las directrices establecidas por el cuerpo de gobierno para el logro de las metas corporativas (PBRM) ndash Plan Build Run Monitor --- Plan Do Check Act
En la mayoriacutea de las empresas el gobierno es responsabilidad del
consejo de administracioacuten bajo el liderazgo de un Presidente
En la mayoriacutea de las empresas la gestioacuten es responsabilidad de la
Direccioacuten Ejecutiva bajo el liderazgo del Director General (CEO)
VICTOR A VASQUEZ M
5 Distinguir entre gobierno y gestioacuten
Modelo de referencia de procesos
P
1
2
34
5
APO02Gestionar la
estrategia
APO03Gestionar la arquitectura empresarial
APO04Gestionar la innovacioacuten
APO05Gestionar el
portafolio
APO06Gestionar el
presupuesto y los costos
APO07Gestionar los
recursos humanos
APO08Gestionar las
relaciones
APO09Gestionar los acuerdos del
servicio
APO10Gestionar los proveedores
APO11Gestionar
calidad
APO12Gestionar el
riesgo
APO13Gestionar la
seguridad
APO01Gestionar el
marco de gestioacuten de TI
PROCESOS PARA EL
GOBIERNO DE TIEVALUAR ORIENTAR Y
MONITOREAR
MEA01Supervisar evaluar
y valorar el rendimiento y cumplimiento
MEA02Supervisar evaluar y valorar el sistema de control interno
MEA03 Supervisar evaluar
y valorar la conformidad con
los requerimientos externos
DSS01Gestionar
operaciones
DSS02 Gestionar las
Peticiones y los Incidentes del
Servicio
DSS03Gestionar los
problemas
DSS04Gestionar la continuidad
DSS05Gestionar los servicios de seguridad
DSS06Gestionar los
controles de los procesos del
negocio
BAI02Gestionar la definicioacuten de
requisitos
BAI03Gestionar la
identificacioacuten y construccioacuten de
soluciones
BAI04Gestionar la
disponibilidad y capacidad
BAI05 Gestionar la
Introduccioacuten de Cambios
Organizativos
BAI06Gestionar los
cambios
BAI07Gestionar la
aceptacioacuten del cambio y la transicioacuten
BAI08Gestionar el
conocimiento
BAI09Gestionar los activos
BAI10Gestionar la
configuracioacuten
BAI01Gestionar
programas y proyectos
Alinear planear y organizar
Construir adquirir e implementar
Entregar dar servicio y soporte
Monitorear evaluar y
valorar
PROCESOS PARA LA GESTIOacuteN DE TI
EDM01 Asegurar el
Establecimiento y Mantenimiento del Marco de Gobierno
EDM02Asegurar la entrega
de beneficios
EDM03Asegurar la
optimizacioacuten de riesgos
EDM04Asegurar la
optimizacioacuten de recursos
EDM05Asegurar la
transparencia hacia las partes interesadas
VICTOR A VASQUEZ M
Resumen del mapeo de COBIT 5
copy 2012 ISACA All rights reserved
VICTOR A VASQUEZ M
VICTOR A VASQUEZ M
Gobierno Empresarial de TI
COBIT 5
Gobierno
COBIT4041
Administracioacuten
COBIT 3
Control
COBIT 2
La evolucioacuten de COBIT 5
Auditoriacutea
COBIT 1
2005720001998
Evo
luci
oacuten
1996 2012
BMIS(2010)
Val IT 20(2008)
Risk IT(2009)
VICTOR A VASQUEZ M
Motivadores del desarrollo de COBIT 5
Proveer una guiacutea respecto a Arquitectura Empresarial
Gestioacuten de servicios y activos
Modelos organizacionales y de aprovisionamiento emergentes
Innovacioacuten y Tecnologiacuteas emergentes
Responsabilidades de punta a punta de TI y el negocio Controles para soluciones de TI iniciadas o controladas
por usuario Necesidades de las empresas de
Lograr la creacioacuten de valor
Obtener la satisfaccioacuten de los usuarios
Cumplir leyes relevantes regulaciones y poliacuteticas
Mejorar la relacioacuten entre TI y el Negocio
Mejorar el retorno del Gobierno Empresarial de TI
Conectarse y alinearse con otros frameworks y estaacutendares
VICTOR A VASQUEZ M
Beneficios para las empresas
Las Empresas y los Ejecutivos buscan Mantener informacioacuten de alta calidad que soporte las
decisiones del negocio Generar valor para el negocio de las inversiones habilitadas
por TI
Ej Alcanzar los objetivos estrateacutegicos y lograr beneficios a traveacutes del uso efectivo e innovador de la TI
Lograr la excelencia operacional a traveacutes de la aplicacioacuten confiable y eficiente de la tecnologiacutea
Mantener el riesgo relacionado con TI a un nivel aceptable Optimizar el costo de los servicios de TI y la tecnologiacutea
iquestCoacutemo pueden lograrse estos beneficios para crear valor a los stakeholders de una organizacioacuten
VICTOR A VASQUEZ M
Beneficios
COBIT 5
Define como punto inicial de las actividades de gobierno y gestioacuten las necesidades de los stakeholders relacionadas con la TI de la empresa
Crea una vista maacutes holiacutestica integrada y completa del gobierno y la gestioacuten de la TI de la empresa
Crea un lenguaje comuacuten entre TI y el negocio para el gobierno y la gestioacuten de la TI empresarial
Es consistente con estaacutendares de gobierno corporativo generalmente aceptados por lo que ayuda a cumplir los requerimientos regulatorios
copy 2012 ISACA All Rights Reserved
VICTOR A VASQUEZ M
Familia de Productos de COBIT 5
COBIT 5
Otras guiacuteas habilitadoras
COBIT 5 Procesos habilitadores
COBIT 5 Informacioacuten habilitadora
COBIT 5 Guiacuteas profesionales
Otras guiacuteas profesionales
COBIT 5 Implementacioacuten
COBIT 5Para seguridad de informacioacuten
COBIT 5Para riesgos
COBIT 5 ambiente colaborativo en liacutenea
COBIT 5 Guiacuteas habilitadoras
COBIT 5Para aseguramiento
VICTOR A VASQUEZ MDiapositiva No 38
Principios Baacutesicos de COBIT 5
VICTOR A VASQUEZ M
Principios de COBIT 5
Principios de
COBIT 5
1 Satisfacer las
necesidades de las partes interesadas
2 Cubrir la empresa de extremo a extremo
3 Aplicar un marco de referencia
uacutenico integrado
4 Hacer posible un
enfoque holiacutestico
5 Separar gobierno de
la gestioacuten
VICTOR A VASQUEZ M
5 Distinguir entre gobierno y gestioacuten
El gobierno asegura de que las necesidades condiciones y opciones de las partes interesadas
bull Son evaluadas para determinar las metas corporativas a alcanzar considerado que sean equilibradas y consensuadas
bull Establecen la direccioacuten por medio de la priorizacioacuten y la toma de decisiones
bull Mide el rendimiento cumplimiento y progreso contra las directrices y metas acordadas (EDM)
La gestioacuten planea construye ejecuta y monitorealas actividades de manera alineada con las directrices establecidas por el cuerpo de gobierno para el logro de las metas corporativas (PBRM) ndash Plan Build Run Monitor --- Plan Do Check Act
En la mayoriacutea de las empresas el gobierno es responsabilidad del
consejo de administracioacuten bajo el liderazgo de un Presidente
En la mayoriacutea de las empresas la gestioacuten es responsabilidad de la
Direccioacuten Ejecutiva bajo el liderazgo del Director General (CEO)
VICTOR A VASQUEZ M
5 Distinguir entre gobierno y gestioacuten
Modelo de referencia de procesos
P
1
2
34
5
APO02Gestionar la
estrategia
APO03Gestionar la arquitectura empresarial
APO04Gestionar la innovacioacuten
APO05Gestionar el
portafolio
APO06Gestionar el
presupuesto y los costos
APO07Gestionar los
recursos humanos
APO08Gestionar las
relaciones
APO09Gestionar los acuerdos del
servicio
APO10Gestionar los proveedores
APO11Gestionar
calidad
APO12Gestionar el
riesgo
APO13Gestionar la
seguridad
APO01Gestionar el
marco de gestioacuten de TI
PROCESOS PARA EL
GOBIERNO DE TIEVALUAR ORIENTAR Y
MONITOREAR
MEA01Supervisar evaluar
y valorar el rendimiento y cumplimiento
MEA02Supervisar evaluar y valorar el sistema de control interno
MEA03 Supervisar evaluar
y valorar la conformidad con
los requerimientos externos
DSS01Gestionar
operaciones
DSS02 Gestionar las
Peticiones y los Incidentes del
Servicio
DSS03Gestionar los
problemas
DSS04Gestionar la continuidad
DSS05Gestionar los servicios de seguridad
DSS06Gestionar los
controles de los procesos del
negocio
BAI02Gestionar la definicioacuten de
requisitos
BAI03Gestionar la
identificacioacuten y construccioacuten de
soluciones
BAI04Gestionar la
disponibilidad y capacidad
BAI05 Gestionar la
Introduccioacuten de Cambios
Organizativos
BAI06Gestionar los
cambios
BAI07Gestionar la
aceptacioacuten del cambio y la transicioacuten
BAI08Gestionar el
conocimiento
BAI09Gestionar los activos
BAI10Gestionar la
configuracioacuten
BAI01Gestionar
programas y proyectos
Alinear planear y organizar
Construir adquirir e implementar
Entregar dar servicio y soporte
Monitorear evaluar y
valorar
PROCESOS PARA LA GESTIOacuteN DE TI
EDM01 Asegurar el
Establecimiento y Mantenimiento del Marco de Gobierno
EDM02Asegurar la entrega
de beneficios
EDM03Asegurar la
optimizacioacuten de riesgos
EDM04Asegurar la
optimizacioacuten de recursos
EDM05Asegurar la
transparencia hacia las partes interesadas
VICTOR A VASQUEZ M
Resumen del mapeo de COBIT 5
copy 2012 ISACA All rights reserved
VICTOR A VASQUEZ M
VICTOR A VASQUEZ M
Motivadores del desarrollo de COBIT 5
Proveer una guiacutea respecto a Arquitectura Empresarial
Gestioacuten de servicios y activos
Modelos organizacionales y de aprovisionamiento emergentes
Innovacioacuten y Tecnologiacuteas emergentes
Responsabilidades de punta a punta de TI y el negocio Controles para soluciones de TI iniciadas o controladas
por usuario Necesidades de las empresas de
Lograr la creacioacuten de valor
Obtener la satisfaccioacuten de los usuarios
Cumplir leyes relevantes regulaciones y poliacuteticas
Mejorar la relacioacuten entre TI y el Negocio
Mejorar el retorno del Gobierno Empresarial de TI
Conectarse y alinearse con otros frameworks y estaacutendares
VICTOR A VASQUEZ M
Beneficios para las empresas
Las Empresas y los Ejecutivos buscan Mantener informacioacuten de alta calidad que soporte las
decisiones del negocio Generar valor para el negocio de las inversiones habilitadas
por TI
Ej Alcanzar los objetivos estrateacutegicos y lograr beneficios a traveacutes del uso efectivo e innovador de la TI
Lograr la excelencia operacional a traveacutes de la aplicacioacuten confiable y eficiente de la tecnologiacutea
Mantener el riesgo relacionado con TI a un nivel aceptable Optimizar el costo de los servicios de TI y la tecnologiacutea
iquestCoacutemo pueden lograrse estos beneficios para crear valor a los stakeholders de una organizacioacuten
VICTOR A VASQUEZ M
Beneficios
COBIT 5
Define como punto inicial de las actividades de gobierno y gestioacuten las necesidades de los stakeholders relacionadas con la TI de la empresa
Crea una vista maacutes holiacutestica integrada y completa del gobierno y la gestioacuten de la TI de la empresa
Crea un lenguaje comuacuten entre TI y el negocio para el gobierno y la gestioacuten de la TI empresarial
Es consistente con estaacutendares de gobierno corporativo generalmente aceptados por lo que ayuda a cumplir los requerimientos regulatorios
copy 2012 ISACA All Rights Reserved
VICTOR A VASQUEZ M
Familia de Productos de COBIT 5
COBIT 5
Otras guiacuteas habilitadoras
COBIT 5 Procesos habilitadores
COBIT 5 Informacioacuten habilitadora
COBIT 5 Guiacuteas profesionales
Otras guiacuteas profesionales
COBIT 5 Implementacioacuten
COBIT 5Para seguridad de informacioacuten
COBIT 5Para riesgos
COBIT 5 ambiente colaborativo en liacutenea
COBIT 5 Guiacuteas habilitadoras
COBIT 5Para aseguramiento
VICTOR A VASQUEZ MDiapositiva No 38
Principios Baacutesicos de COBIT 5
VICTOR A VASQUEZ M
Principios de COBIT 5
Principios de
COBIT 5
1 Satisfacer las
necesidades de las partes interesadas
2 Cubrir la empresa de extremo a extremo
3 Aplicar un marco de referencia
uacutenico integrado
4 Hacer posible un
enfoque holiacutestico
5 Separar gobierno de
la gestioacuten
VICTOR A VASQUEZ M
5 Distinguir entre gobierno y gestioacuten
El gobierno asegura de que las necesidades condiciones y opciones de las partes interesadas
bull Son evaluadas para determinar las metas corporativas a alcanzar considerado que sean equilibradas y consensuadas
bull Establecen la direccioacuten por medio de la priorizacioacuten y la toma de decisiones
bull Mide el rendimiento cumplimiento y progreso contra las directrices y metas acordadas (EDM)
La gestioacuten planea construye ejecuta y monitorealas actividades de manera alineada con las directrices establecidas por el cuerpo de gobierno para el logro de las metas corporativas (PBRM) ndash Plan Build Run Monitor --- Plan Do Check Act
En la mayoriacutea de las empresas el gobierno es responsabilidad del
consejo de administracioacuten bajo el liderazgo de un Presidente
En la mayoriacutea de las empresas la gestioacuten es responsabilidad de la
Direccioacuten Ejecutiva bajo el liderazgo del Director General (CEO)
VICTOR A VASQUEZ M
5 Distinguir entre gobierno y gestioacuten
Modelo de referencia de procesos
P
1
2
34
5
APO02Gestionar la
estrategia
APO03Gestionar la arquitectura empresarial
APO04Gestionar la innovacioacuten
APO05Gestionar el
portafolio
APO06Gestionar el
presupuesto y los costos
APO07Gestionar los
recursos humanos
APO08Gestionar las
relaciones
APO09Gestionar los acuerdos del
servicio
APO10Gestionar los proveedores
APO11Gestionar
calidad
APO12Gestionar el
riesgo
APO13Gestionar la
seguridad
APO01Gestionar el
marco de gestioacuten de TI
PROCESOS PARA EL
GOBIERNO DE TIEVALUAR ORIENTAR Y
MONITOREAR
MEA01Supervisar evaluar
y valorar el rendimiento y cumplimiento
MEA02Supervisar evaluar y valorar el sistema de control interno
MEA03 Supervisar evaluar
y valorar la conformidad con
los requerimientos externos
DSS01Gestionar
operaciones
DSS02 Gestionar las
Peticiones y los Incidentes del
Servicio
DSS03Gestionar los
problemas
DSS04Gestionar la continuidad
DSS05Gestionar los servicios de seguridad
DSS06Gestionar los
controles de los procesos del
negocio
BAI02Gestionar la definicioacuten de
requisitos
BAI03Gestionar la
identificacioacuten y construccioacuten de
soluciones
BAI04Gestionar la
disponibilidad y capacidad
BAI05 Gestionar la
Introduccioacuten de Cambios
Organizativos
BAI06Gestionar los
cambios
BAI07Gestionar la
aceptacioacuten del cambio y la transicioacuten
BAI08Gestionar el
conocimiento
BAI09Gestionar los activos
BAI10Gestionar la
configuracioacuten
BAI01Gestionar
programas y proyectos
Alinear planear y organizar
Construir adquirir e implementar
Entregar dar servicio y soporte
Monitorear evaluar y
valorar
PROCESOS PARA LA GESTIOacuteN DE TI
EDM01 Asegurar el
Establecimiento y Mantenimiento del Marco de Gobierno
EDM02Asegurar la entrega
de beneficios
EDM03Asegurar la
optimizacioacuten de riesgos
EDM04Asegurar la
optimizacioacuten de recursos
EDM05Asegurar la
transparencia hacia las partes interesadas
VICTOR A VASQUEZ M
Resumen del mapeo de COBIT 5
copy 2012 ISACA All rights reserved
VICTOR A VASQUEZ M
VICTOR A VASQUEZ M
Beneficios para las empresas
Las Empresas y los Ejecutivos buscan Mantener informacioacuten de alta calidad que soporte las
decisiones del negocio Generar valor para el negocio de las inversiones habilitadas
por TI
Ej Alcanzar los objetivos estrateacutegicos y lograr beneficios a traveacutes del uso efectivo e innovador de la TI
Lograr la excelencia operacional a traveacutes de la aplicacioacuten confiable y eficiente de la tecnologiacutea
Mantener el riesgo relacionado con TI a un nivel aceptable Optimizar el costo de los servicios de TI y la tecnologiacutea
iquestCoacutemo pueden lograrse estos beneficios para crear valor a los stakeholders de una organizacioacuten
VICTOR A VASQUEZ M
Beneficios
COBIT 5
Define como punto inicial de las actividades de gobierno y gestioacuten las necesidades de los stakeholders relacionadas con la TI de la empresa
Crea una vista maacutes holiacutestica integrada y completa del gobierno y la gestioacuten de la TI de la empresa
Crea un lenguaje comuacuten entre TI y el negocio para el gobierno y la gestioacuten de la TI empresarial
Es consistente con estaacutendares de gobierno corporativo generalmente aceptados por lo que ayuda a cumplir los requerimientos regulatorios
copy 2012 ISACA All Rights Reserved
VICTOR A VASQUEZ M
Familia de Productos de COBIT 5
COBIT 5
Otras guiacuteas habilitadoras
COBIT 5 Procesos habilitadores
COBIT 5 Informacioacuten habilitadora
COBIT 5 Guiacuteas profesionales
Otras guiacuteas profesionales
COBIT 5 Implementacioacuten
COBIT 5Para seguridad de informacioacuten
COBIT 5Para riesgos
COBIT 5 ambiente colaborativo en liacutenea
COBIT 5 Guiacuteas habilitadoras
COBIT 5Para aseguramiento
VICTOR A VASQUEZ MDiapositiva No 38
Principios Baacutesicos de COBIT 5
VICTOR A VASQUEZ M
Principios de COBIT 5
Principios de
COBIT 5
1 Satisfacer las
necesidades de las partes interesadas
2 Cubrir la empresa de extremo a extremo
3 Aplicar un marco de referencia
uacutenico integrado
4 Hacer posible un
enfoque holiacutestico
5 Separar gobierno de
la gestioacuten
VICTOR A VASQUEZ M
5 Distinguir entre gobierno y gestioacuten
El gobierno asegura de que las necesidades condiciones y opciones de las partes interesadas
bull Son evaluadas para determinar las metas corporativas a alcanzar considerado que sean equilibradas y consensuadas
bull Establecen la direccioacuten por medio de la priorizacioacuten y la toma de decisiones
bull Mide el rendimiento cumplimiento y progreso contra las directrices y metas acordadas (EDM)
La gestioacuten planea construye ejecuta y monitorealas actividades de manera alineada con las directrices establecidas por el cuerpo de gobierno para el logro de las metas corporativas (PBRM) ndash Plan Build Run Monitor --- Plan Do Check Act
En la mayoriacutea de las empresas el gobierno es responsabilidad del
consejo de administracioacuten bajo el liderazgo de un Presidente
En la mayoriacutea de las empresas la gestioacuten es responsabilidad de la
Direccioacuten Ejecutiva bajo el liderazgo del Director General (CEO)
VICTOR A VASQUEZ M
5 Distinguir entre gobierno y gestioacuten
Modelo de referencia de procesos
P
1
2
34
5
APO02Gestionar la
estrategia
APO03Gestionar la arquitectura empresarial
APO04Gestionar la innovacioacuten
APO05Gestionar el
portafolio
APO06Gestionar el
presupuesto y los costos
APO07Gestionar los
recursos humanos
APO08Gestionar las
relaciones
APO09Gestionar los acuerdos del
servicio
APO10Gestionar los proveedores
APO11Gestionar
calidad
APO12Gestionar el
riesgo
APO13Gestionar la
seguridad
APO01Gestionar el
marco de gestioacuten de TI
PROCESOS PARA EL
GOBIERNO DE TIEVALUAR ORIENTAR Y
MONITOREAR
MEA01Supervisar evaluar
y valorar el rendimiento y cumplimiento
MEA02Supervisar evaluar y valorar el sistema de control interno
MEA03 Supervisar evaluar
y valorar la conformidad con
los requerimientos externos
DSS01Gestionar
operaciones
DSS02 Gestionar las
Peticiones y los Incidentes del
Servicio
DSS03Gestionar los
problemas
DSS04Gestionar la continuidad
DSS05Gestionar los servicios de seguridad
DSS06Gestionar los
controles de los procesos del
negocio
BAI02Gestionar la definicioacuten de
requisitos
BAI03Gestionar la
identificacioacuten y construccioacuten de
soluciones
BAI04Gestionar la
disponibilidad y capacidad
BAI05 Gestionar la
Introduccioacuten de Cambios
Organizativos
BAI06Gestionar los
cambios
BAI07Gestionar la
aceptacioacuten del cambio y la transicioacuten
BAI08Gestionar el
conocimiento
BAI09Gestionar los activos
BAI10Gestionar la
configuracioacuten
BAI01Gestionar
programas y proyectos
Alinear planear y organizar
Construir adquirir e implementar
Entregar dar servicio y soporte
Monitorear evaluar y
valorar
PROCESOS PARA LA GESTIOacuteN DE TI
EDM01 Asegurar el
Establecimiento y Mantenimiento del Marco de Gobierno
EDM02Asegurar la entrega
de beneficios
EDM03Asegurar la
optimizacioacuten de riesgos
EDM04Asegurar la
optimizacioacuten de recursos
EDM05Asegurar la
transparencia hacia las partes interesadas
VICTOR A VASQUEZ M
Resumen del mapeo de COBIT 5
copy 2012 ISACA All rights reserved
VICTOR A VASQUEZ M
VICTOR A VASQUEZ M
Beneficios
COBIT 5
Define como punto inicial de las actividades de gobierno y gestioacuten las necesidades de los stakeholders relacionadas con la TI de la empresa
Crea una vista maacutes holiacutestica integrada y completa del gobierno y la gestioacuten de la TI de la empresa
Crea un lenguaje comuacuten entre TI y el negocio para el gobierno y la gestioacuten de la TI empresarial
Es consistente con estaacutendares de gobierno corporativo generalmente aceptados por lo que ayuda a cumplir los requerimientos regulatorios
copy 2012 ISACA All Rights Reserved
VICTOR A VASQUEZ M
Familia de Productos de COBIT 5
COBIT 5
Otras guiacuteas habilitadoras
COBIT 5 Procesos habilitadores
COBIT 5 Informacioacuten habilitadora
COBIT 5 Guiacuteas profesionales
Otras guiacuteas profesionales
COBIT 5 Implementacioacuten
COBIT 5Para seguridad de informacioacuten
COBIT 5Para riesgos
COBIT 5 ambiente colaborativo en liacutenea
COBIT 5 Guiacuteas habilitadoras
COBIT 5Para aseguramiento
VICTOR A VASQUEZ MDiapositiva No 38
Principios Baacutesicos de COBIT 5
VICTOR A VASQUEZ M
Principios de COBIT 5
Principios de
COBIT 5
1 Satisfacer las
necesidades de las partes interesadas
2 Cubrir la empresa de extremo a extremo
3 Aplicar un marco de referencia
uacutenico integrado
4 Hacer posible un
enfoque holiacutestico
5 Separar gobierno de
la gestioacuten
VICTOR A VASQUEZ M
5 Distinguir entre gobierno y gestioacuten
El gobierno asegura de que las necesidades condiciones y opciones de las partes interesadas
bull Son evaluadas para determinar las metas corporativas a alcanzar considerado que sean equilibradas y consensuadas
bull Establecen la direccioacuten por medio de la priorizacioacuten y la toma de decisiones
bull Mide el rendimiento cumplimiento y progreso contra las directrices y metas acordadas (EDM)
La gestioacuten planea construye ejecuta y monitorealas actividades de manera alineada con las directrices establecidas por el cuerpo de gobierno para el logro de las metas corporativas (PBRM) ndash Plan Build Run Monitor --- Plan Do Check Act
En la mayoriacutea de las empresas el gobierno es responsabilidad del
consejo de administracioacuten bajo el liderazgo de un Presidente
En la mayoriacutea de las empresas la gestioacuten es responsabilidad de la
Direccioacuten Ejecutiva bajo el liderazgo del Director General (CEO)
VICTOR A VASQUEZ M
5 Distinguir entre gobierno y gestioacuten
Modelo de referencia de procesos
P
1
2
34
5
APO02Gestionar la
estrategia
APO03Gestionar la arquitectura empresarial
APO04Gestionar la innovacioacuten
APO05Gestionar el
portafolio
APO06Gestionar el
presupuesto y los costos
APO07Gestionar los
recursos humanos
APO08Gestionar las
relaciones
APO09Gestionar los acuerdos del
servicio
APO10Gestionar los proveedores
APO11Gestionar
calidad
APO12Gestionar el
riesgo
APO13Gestionar la
seguridad
APO01Gestionar el
marco de gestioacuten de TI
PROCESOS PARA EL
GOBIERNO DE TIEVALUAR ORIENTAR Y
MONITOREAR
MEA01Supervisar evaluar
y valorar el rendimiento y cumplimiento
MEA02Supervisar evaluar y valorar el sistema de control interno
MEA03 Supervisar evaluar
y valorar la conformidad con
los requerimientos externos
DSS01Gestionar
operaciones
DSS02 Gestionar las
Peticiones y los Incidentes del
Servicio
DSS03Gestionar los
problemas
DSS04Gestionar la continuidad
DSS05Gestionar los servicios de seguridad
DSS06Gestionar los
controles de los procesos del
negocio
BAI02Gestionar la definicioacuten de
requisitos
BAI03Gestionar la
identificacioacuten y construccioacuten de
soluciones
BAI04Gestionar la
disponibilidad y capacidad
BAI05 Gestionar la
Introduccioacuten de Cambios
Organizativos
BAI06Gestionar los
cambios
BAI07Gestionar la
aceptacioacuten del cambio y la transicioacuten
BAI08Gestionar el
conocimiento
BAI09Gestionar los activos
BAI10Gestionar la
configuracioacuten
BAI01Gestionar
programas y proyectos
Alinear planear y organizar
Construir adquirir e implementar
Entregar dar servicio y soporte
Monitorear evaluar y
valorar
PROCESOS PARA LA GESTIOacuteN DE TI
EDM01 Asegurar el
Establecimiento y Mantenimiento del Marco de Gobierno
EDM02Asegurar la entrega
de beneficios
EDM03Asegurar la
optimizacioacuten de riesgos
EDM04Asegurar la
optimizacioacuten de recursos
EDM05Asegurar la
transparencia hacia las partes interesadas
VICTOR A VASQUEZ M
Resumen del mapeo de COBIT 5
copy 2012 ISACA All rights reserved
VICTOR A VASQUEZ M
VICTOR A VASQUEZ M
Familia de Productos de COBIT 5
COBIT 5
Otras guiacuteas habilitadoras
COBIT 5 Procesos habilitadores
COBIT 5 Informacioacuten habilitadora
COBIT 5 Guiacuteas profesionales
Otras guiacuteas profesionales
COBIT 5 Implementacioacuten
COBIT 5Para seguridad de informacioacuten
COBIT 5Para riesgos
COBIT 5 ambiente colaborativo en liacutenea
COBIT 5 Guiacuteas habilitadoras
COBIT 5Para aseguramiento
VICTOR A VASQUEZ MDiapositiva No 38
Principios Baacutesicos de COBIT 5
VICTOR A VASQUEZ M
Principios de COBIT 5
Principios de
COBIT 5
1 Satisfacer las
necesidades de las partes interesadas
2 Cubrir la empresa de extremo a extremo
3 Aplicar un marco de referencia
uacutenico integrado
4 Hacer posible un
enfoque holiacutestico
5 Separar gobierno de
la gestioacuten
VICTOR A VASQUEZ M
5 Distinguir entre gobierno y gestioacuten
El gobierno asegura de que las necesidades condiciones y opciones de las partes interesadas
bull Son evaluadas para determinar las metas corporativas a alcanzar considerado que sean equilibradas y consensuadas
bull Establecen la direccioacuten por medio de la priorizacioacuten y la toma de decisiones
bull Mide el rendimiento cumplimiento y progreso contra las directrices y metas acordadas (EDM)
La gestioacuten planea construye ejecuta y monitorealas actividades de manera alineada con las directrices establecidas por el cuerpo de gobierno para el logro de las metas corporativas (PBRM) ndash Plan Build Run Monitor --- Plan Do Check Act
En la mayoriacutea de las empresas el gobierno es responsabilidad del
consejo de administracioacuten bajo el liderazgo de un Presidente
En la mayoriacutea de las empresas la gestioacuten es responsabilidad de la
Direccioacuten Ejecutiva bajo el liderazgo del Director General (CEO)
VICTOR A VASQUEZ M
5 Distinguir entre gobierno y gestioacuten
Modelo de referencia de procesos
P
1
2
34
5
APO02Gestionar la
estrategia
APO03Gestionar la arquitectura empresarial
APO04Gestionar la innovacioacuten
APO05Gestionar el
portafolio
APO06Gestionar el
presupuesto y los costos
APO07Gestionar los
recursos humanos
APO08Gestionar las
relaciones
APO09Gestionar los acuerdos del
servicio
APO10Gestionar los proveedores
APO11Gestionar
calidad
APO12Gestionar el
riesgo
APO13Gestionar la
seguridad
APO01Gestionar el
marco de gestioacuten de TI
PROCESOS PARA EL
GOBIERNO DE TIEVALUAR ORIENTAR Y
MONITOREAR
MEA01Supervisar evaluar
y valorar el rendimiento y cumplimiento
MEA02Supervisar evaluar y valorar el sistema de control interno
MEA03 Supervisar evaluar
y valorar la conformidad con
los requerimientos externos
DSS01Gestionar
operaciones
DSS02 Gestionar las
Peticiones y los Incidentes del
Servicio
DSS03Gestionar los
problemas
DSS04Gestionar la continuidad
DSS05Gestionar los servicios de seguridad
DSS06Gestionar los
controles de los procesos del
negocio
BAI02Gestionar la definicioacuten de
requisitos
BAI03Gestionar la
identificacioacuten y construccioacuten de
soluciones
BAI04Gestionar la
disponibilidad y capacidad
BAI05 Gestionar la
Introduccioacuten de Cambios
Organizativos
BAI06Gestionar los
cambios
BAI07Gestionar la
aceptacioacuten del cambio y la transicioacuten
BAI08Gestionar el
conocimiento
BAI09Gestionar los activos
BAI10Gestionar la
configuracioacuten
BAI01Gestionar
programas y proyectos
Alinear planear y organizar
Construir adquirir e implementar
Entregar dar servicio y soporte
Monitorear evaluar y
valorar
PROCESOS PARA LA GESTIOacuteN DE TI
EDM01 Asegurar el
Establecimiento y Mantenimiento del Marco de Gobierno
EDM02Asegurar la entrega
de beneficios
EDM03Asegurar la
optimizacioacuten de riesgos
EDM04Asegurar la
optimizacioacuten de recursos
EDM05Asegurar la
transparencia hacia las partes interesadas
VICTOR A VASQUEZ M
Resumen del mapeo de COBIT 5
copy 2012 ISACA All rights reserved
VICTOR A VASQUEZ M
VICTOR A VASQUEZ MDiapositiva No 38
Principios Baacutesicos de COBIT 5
VICTOR A VASQUEZ M
Principios de COBIT 5
Principios de
COBIT 5
1 Satisfacer las
necesidades de las partes interesadas
2 Cubrir la empresa de extremo a extremo
3 Aplicar un marco de referencia
uacutenico integrado
4 Hacer posible un
enfoque holiacutestico
5 Separar gobierno de
la gestioacuten
VICTOR A VASQUEZ M
5 Distinguir entre gobierno y gestioacuten
El gobierno asegura de que las necesidades condiciones y opciones de las partes interesadas
bull Son evaluadas para determinar las metas corporativas a alcanzar considerado que sean equilibradas y consensuadas
bull Establecen la direccioacuten por medio de la priorizacioacuten y la toma de decisiones
bull Mide el rendimiento cumplimiento y progreso contra las directrices y metas acordadas (EDM)
La gestioacuten planea construye ejecuta y monitorealas actividades de manera alineada con las directrices establecidas por el cuerpo de gobierno para el logro de las metas corporativas (PBRM) ndash Plan Build Run Monitor --- Plan Do Check Act
En la mayoriacutea de las empresas el gobierno es responsabilidad del
consejo de administracioacuten bajo el liderazgo de un Presidente
En la mayoriacutea de las empresas la gestioacuten es responsabilidad de la
Direccioacuten Ejecutiva bajo el liderazgo del Director General (CEO)
VICTOR A VASQUEZ M
5 Distinguir entre gobierno y gestioacuten
Modelo de referencia de procesos
P
1
2
34
5
APO02Gestionar la
estrategia
APO03Gestionar la arquitectura empresarial
APO04Gestionar la innovacioacuten
APO05Gestionar el
portafolio
APO06Gestionar el
presupuesto y los costos
APO07Gestionar los
recursos humanos
APO08Gestionar las
relaciones
APO09Gestionar los acuerdos del
servicio
APO10Gestionar los proveedores
APO11Gestionar
calidad
APO12Gestionar el
riesgo
APO13Gestionar la
seguridad
APO01Gestionar el
marco de gestioacuten de TI
PROCESOS PARA EL
GOBIERNO DE TIEVALUAR ORIENTAR Y
MONITOREAR
MEA01Supervisar evaluar
y valorar el rendimiento y cumplimiento
MEA02Supervisar evaluar y valorar el sistema de control interno
MEA03 Supervisar evaluar
y valorar la conformidad con
los requerimientos externos
DSS01Gestionar
operaciones
DSS02 Gestionar las
Peticiones y los Incidentes del
Servicio
DSS03Gestionar los
problemas
DSS04Gestionar la continuidad
DSS05Gestionar los servicios de seguridad
DSS06Gestionar los
controles de los procesos del
negocio
BAI02Gestionar la definicioacuten de
requisitos
BAI03Gestionar la
identificacioacuten y construccioacuten de
soluciones
BAI04Gestionar la
disponibilidad y capacidad
BAI05 Gestionar la
Introduccioacuten de Cambios
Organizativos
BAI06Gestionar los
cambios
BAI07Gestionar la
aceptacioacuten del cambio y la transicioacuten
BAI08Gestionar el
conocimiento
BAI09Gestionar los activos
BAI10Gestionar la
configuracioacuten
BAI01Gestionar
programas y proyectos
Alinear planear y organizar
Construir adquirir e implementar
Entregar dar servicio y soporte
Monitorear evaluar y
valorar
PROCESOS PARA LA GESTIOacuteN DE TI
EDM01 Asegurar el
Establecimiento y Mantenimiento del Marco de Gobierno
EDM02Asegurar la entrega
de beneficios
EDM03Asegurar la
optimizacioacuten de riesgos
EDM04Asegurar la
optimizacioacuten de recursos
EDM05Asegurar la
transparencia hacia las partes interesadas
VICTOR A VASQUEZ M
Resumen del mapeo de COBIT 5
copy 2012 ISACA All rights reserved
VICTOR A VASQUEZ M
VICTOR A VASQUEZ M
Principios de COBIT 5
Principios de
COBIT 5
1 Satisfacer las
necesidades de las partes interesadas
2 Cubrir la empresa de extremo a extremo
3 Aplicar un marco de referencia
uacutenico integrado
4 Hacer posible un
enfoque holiacutestico
5 Separar gobierno de
la gestioacuten
VICTOR A VASQUEZ M
5 Distinguir entre gobierno y gestioacuten
El gobierno asegura de que las necesidades condiciones y opciones de las partes interesadas
bull Son evaluadas para determinar las metas corporativas a alcanzar considerado que sean equilibradas y consensuadas
bull Establecen la direccioacuten por medio de la priorizacioacuten y la toma de decisiones
bull Mide el rendimiento cumplimiento y progreso contra las directrices y metas acordadas (EDM)
La gestioacuten planea construye ejecuta y monitorealas actividades de manera alineada con las directrices establecidas por el cuerpo de gobierno para el logro de las metas corporativas (PBRM) ndash Plan Build Run Monitor --- Plan Do Check Act
En la mayoriacutea de las empresas el gobierno es responsabilidad del
consejo de administracioacuten bajo el liderazgo de un Presidente
En la mayoriacutea de las empresas la gestioacuten es responsabilidad de la
Direccioacuten Ejecutiva bajo el liderazgo del Director General (CEO)
VICTOR A VASQUEZ M
5 Distinguir entre gobierno y gestioacuten
Modelo de referencia de procesos
P
1
2
34
5
APO02Gestionar la
estrategia
APO03Gestionar la arquitectura empresarial
APO04Gestionar la innovacioacuten
APO05Gestionar el
portafolio
APO06Gestionar el
presupuesto y los costos
APO07Gestionar los
recursos humanos
APO08Gestionar las
relaciones
APO09Gestionar los acuerdos del
servicio
APO10Gestionar los proveedores
APO11Gestionar
calidad
APO12Gestionar el
riesgo
APO13Gestionar la
seguridad
APO01Gestionar el
marco de gestioacuten de TI
PROCESOS PARA EL
GOBIERNO DE TIEVALUAR ORIENTAR Y
MONITOREAR
MEA01Supervisar evaluar
y valorar el rendimiento y cumplimiento
MEA02Supervisar evaluar y valorar el sistema de control interno
MEA03 Supervisar evaluar
y valorar la conformidad con
los requerimientos externos
DSS01Gestionar
operaciones
DSS02 Gestionar las
Peticiones y los Incidentes del
Servicio
DSS03Gestionar los
problemas
DSS04Gestionar la continuidad
DSS05Gestionar los servicios de seguridad
DSS06Gestionar los
controles de los procesos del
negocio
BAI02Gestionar la definicioacuten de
requisitos
BAI03Gestionar la
identificacioacuten y construccioacuten de
soluciones
BAI04Gestionar la
disponibilidad y capacidad
BAI05 Gestionar la
Introduccioacuten de Cambios
Organizativos
BAI06Gestionar los
cambios
BAI07Gestionar la
aceptacioacuten del cambio y la transicioacuten
BAI08Gestionar el
conocimiento
BAI09Gestionar los activos
BAI10Gestionar la
configuracioacuten
BAI01Gestionar
programas y proyectos
Alinear planear y organizar
Construir adquirir e implementar
Entregar dar servicio y soporte
Monitorear evaluar y
valorar
PROCESOS PARA LA GESTIOacuteN DE TI
EDM01 Asegurar el
Establecimiento y Mantenimiento del Marco de Gobierno
EDM02Asegurar la entrega
de beneficios
EDM03Asegurar la
optimizacioacuten de riesgos
EDM04Asegurar la
optimizacioacuten de recursos
EDM05Asegurar la
transparencia hacia las partes interesadas
VICTOR A VASQUEZ M
Resumen del mapeo de COBIT 5
copy 2012 ISACA All rights reserved
VICTOR A VASQUEZ M
VICTOR A VASQUEZ M
5 Distinguir entre gobierno y gestioacuten
El gobierno asegura de que las necesidades condiciones y opciones de las partes interesadas
bull Son evaluadas para determinar las metas corporativas a alcanzar considerado que sean equilibradas y consensuadas
bull Establecen la direccioacuten por medio de la priorizacioacuten y la toma de decisiones
bull Mide el rendimiento cumplimiento y progreso contra las directrices y metas acordadas (EDM)
La gestioacuten planea construye ejecuta y monitorealas actividades de manera alineada con las directrices establecidas por el cuerpo de gobierno para el logro de las metas corporativas (PBRM) ndash Plan Build Run Monitor --- Plan Do Check Act
En la mayoriacutea de las empresas el gobierno es responsabilidad del
consejo de administracioacuten bajo el liderazgo de un Presidente
En la mayoriacutea de las empresas la gestioacuten es responsabilidad de la
Direccioacuten Ejecutiva bajo el liderazgo del Director General (CEO)
VICTOR A VASQUEZ M
5 Distinguir entre gobierno y gestioacuten
Modelo de referencia de procesos
P
1
2
34
5
APO02Gestionar la
estrategia
APO03Gestionar la arquitectura empresarial
APO04Gestionar la innovacioacuten
APO05Gestionar el
portafolio
APO06Gestionar el
presupuesto y los costos
APO07Gestionar los
recursos humanos
APO08Gestionar las
relaciones
APO09Gestionar los acuerdos del
servicio
APO10Gestionar los proveedores
APO11Gestionar
calidad
APO12Gestionar el
riesgo
APO13Gestionar la
seguridad
APO01Gestionar el
marco de gestioacuten de TI
PROCESOS PARA EL
GOBIERNO DE TIEVALUAR ORIENTAR Y
MONITOREAR
MEA01Supervisar evaluar
y valorar el rendimiento y cumplimiento
MEA02Supervisar evaluar y valorar el sistema de control interno
MEA03 Supervisar evaluar
y valorar la conformidad con
los requerimientos externos
DSS01Gestionar
operaciones
DSS02 Gestionar las
Peticiones y los Incidentes del
Servicio
DSS03Gestionar los
problemas
DSS04Gestionar la continuidad
DSS05Gestionar los servicios de seguridad
DSS06Gestionar los
controles de los procesos del
negocio
BAI02Gestionar la definicioacuten de
requisitos
BAI03Gestionar la
identificacioacuten y construccioacuten de
soluciones
BAI04Gestionar la
disponibilidad y capacidad
BAI05 Gestionar la
Introduccioacuten de Cambios
Organizativos
BAI06Gestionar los
cambios
BAI07Gestionar la
aceptacioacuten del cambio y la transicioacuten
BAI08Gestionar el
conocimiento
BAI09Gestionar los activos
BAI10Gestionar la
configuracioacuten
BAI01Gestionar
programas y proyectos
Alinear planear y organizar
Construir adquirir e implementar
Entregar dar servicio y soporte
Monitorear evaluar y
valorar
PROCESOS PARA LA GESTIOacuteN DE TI
EDM01 Asegurar el
Establecimiento y Mantenimiento del Marco de Gobierno
EDM02Asegurar la entrega
de beneficios
EDM03Asegurar la
optimizacioacuten de riesgos
EDM04Asegurar la
optimizacioacuten de recursos
EDM05Asegurar la
transparencia hacia las partes interesadas
VICTOR A VASQUEZ M
Resumen del mapeo de COBIT 5
copy 2012 ISACA All rights reserved
VICTOR A VASQUEZ M
VICTOR A VASQUEZ M
5 Distinguir entre gobierno y gestioacuten
Modelo de referencia de procesos
P
1
2
34
5
APO02Gestionar la
estrategia
APO03Gestionar la arquitectura empresarial
APO04Gestionar la innovacioacuten
APO05Gestionar el
portafolio
APO06Gestionar el
presupuesto y los costos
APO07Gestionar los
recursos humanos
APO08Gestionar las
relaciones
APO09Gestionar los acuerdos del
servicio
APO10Gestionar los proveedores
APO11Gestionar
calidad
APO12Gestionar el
riesgo
APO13Gestionar la
seguridad
APO01Gestionar el
marco de gestioacuten de TI
PROCESOS PARA EL
GOBIERNO DE TIEVALUAR ORIENTAR Y
MONITOREAR
MEA01Supervisar evaluar
y valorar el rendimiento y cumplimiento
MEA02Supervisar evaluar y valorar el sistema de control interno
MEA03 Supervisar evaluar
y valorar la conformidad con
los requerimientos externos
DSS01Gestionar
operaciones
DSS02 Gestionar las
Peticiones y los Incidentes del
Servicio
DSS03Gestionar los
problemas
DSS04Gestionar la continuidad
DSS05Gestionar los servicios de seguridad
DSS06Gestionar los
controles de los procesos del
negocio
BAI02Gestionar la definicioacuten de
requisitos
BAI03Gestionar la
identificacioacuten y construccioacuten de
soluciones
BAI04Gestionar la
disponibilidad y capacidad
BAI05 Gestionar la
Introduccioacuten de Cambios
Organizativos
BAI06Gestionar los
cambios
BAI07Gestionar la
aceptacioacuten del cambio y la transicioacuten
BAI08Gestionar el
conocimiento
BAI09Gestionar los activos
BAI10Gestionar la
configuracioacuten
BAI01Gestionar
programas y proyectos
Alinear planear y organizar
Construir adquirir e implementar
Entregar dar servicio y soporte
Monitorear evaluar y
valorar
PROCESOS PARA LA GESTIOacuteN DE TI
EDM01 Asegurar el
Establecimiento y Mantenimiento del Marco de Gobierno
EDM02Asegurar la entrega
de beneficios
EDM03Asegurar la
optimizacioacuten de riesgos
EDM04Asegurar la
optimizacioacuten de recursos
EDM05Asegurar la
transparencia hacia las partes interesadas
VICTOR A VASQUEZ M
Resumen del mapeo de COBIT 5
copy 2012 ISACA All rights reserved
VICTOR A VASQUEZ M
VICTOR A VASQUEZ M
Resumen del mapeo de COBIT 5
copy 2012 ISACA All rights reserved
VICTOR A VASQUEZ M
VICTOR A VASQUEZ M