Upload
alejandro-castelbianchi
View
14
Download
0
Embed Size (px)
DESCRIPTION
Auditoria de sistemas - cobit normas de auditoria de sistemas, Audit ,COBIT, CCCMA , tennux, lumituc, Telecom
Citation preview
AuditorAuditora en Sistemas de a en Sistemas de InformacInformacnn
-- ASI ASI --
Ing. Diana E. SolIng. Diana E. Solrzano, CISArzano, CISAIng. MarIng. Mara Virginia Reyesa Virginia Reyes
OBJETIVO DE CONTROL OBJETIVO DE CONTROL PARA LA INFORMACIPARA LA INFORMACIN Y N Y LA TECNOLOGIA (COBIT)LA TECNOLOGIA (COBIT)
3Agenda Unidad 4
Reporte COSO Origen COSO Componentes - COSO COBIT Origen COBIT - EVOLUCION Dominios, Procesos y Objetivos de Control
- Planeacin y Organizacin- Adquisicin e Implementacin- Entrega de Servicios y Soporte- Monitoreo
Elementos de cada uno de los Procesos de COBIT Modelo de Madurez de COBIT
4Origen del COSO Report COSO - Committee of Sponsoring Organizations of the Treadway
Commission Un conjunto de organizaciones profesionales, con marcado interes en
el Control Interno actuaron como auspiciantes del proceso que diorigen el estudio:
American Accounting Association (AAA) American Institute of Certified Public Accountants (AICPA) The Institute of Internal Auditors (IIA) Institute of Management Accountants (IMA) Financial Executives Institute (FEI)
COSO Report: Origen y Caracteristicas
5Objetivos logrados por el COSO Report Establecer una definicin comn de Control Interno que satisfizo a todas las
partes involucradas
Proveer un estandard a partir del cual las Organizaciones (grandes o pequeas, pblicas o privadas, con o sin fines de lucro), puedan evaluar susprocesos de control y determinar como mejorar la performance.
Coso Report es un MARCO que define el control interno, describe sus componentes y proporciona criterios para que los gerentes, directores y otros usuarios puedan evaluar sus procesos de control.
COSO Report: Origen y Caracteristicas
6"El control interno es un proceso llevado a cabo por el directorio, gerencia y personal de una entidad diseado para proveer una seguridad razonable en relacin al logro de los objetivos en las siguientes categoras:
Efectividad y eficiencia de las operaciones
Confiabilidad de los reportes financieros (informes contables)
Cumplimiento de las leyes y regulaciones aplicables"
CONTROL INTERNO: Definicin
7Actividades de Control
Polticas/procedimientos que aseguran que se efectan las directivas de la gerencia.
Gama de actividades que incluye aprobaciones, autorizaciones, verificaciones, recomendaciones, revisiones de rendimiento, salvaguarda de activos y separacin de funciones.
Actividades de Control
Polticas/procedimientos que aseguran que se efectan las directivas de la gerencia.
Gama de actividades que incluye aprobaciones, autorizaciones, verificaciones, recomendaciones, revisiones de rendimiento, salvaguarda de activos y separacin de funciones.
Supervisin y Seguimiento
Evaluacin del funcionamiento del sistema de control en el tiempo.
Combinacin de evaluacin constante e independiente.
Actividades de los niveles de supervisin y gerencia.
Actividades de auditora interna.
Supervisin y Seguimiento
Evaluacin del funcionamiento del sistema de control en el tiempo.
Combinacin de evaluacin constante e independiente.
Actividades de los niveles de supervisin y gerencia.
Actividades de auditora interna.
Ambiente de Control
Establece un entorno en la organizacin que estimula la concientizacin de su personal respecto al control.
Los factores incluyen integridad, valores ticos, competencia, autoridad, responsabilidad.
Base para todos los dems componentes de control.
Ambiente de Control
Establece un entorno en la organizacin que estimula la concientizacin de su personal respecto al control.
Los factores incluyen integridad, valores ticos, competencia, autoridad, responsabilidad.
Base para todos los dems componentes de control.
Informacin y Comunicacin
Informacin pertinente determinada, capturada y comunicada en forma oportuna.
Acceso a informacin generada interna y externamente.
Flujo de informacin que permite acciones de control exitosas desde instrucciones sobre responsabilidades a resumen de observaciones para accin de la gerencia
Informacin y Comunicacin
Informacin pertinente determinada, capturada y comunicada en forma oportuna.
Acceso a informacin generada interna y externamente.
Flujo de informacin que permite acciones de control exitosas desde instrucciones sobre responsabilidades a resumen de observaciones para accin de la gerencia
Evaluacin de riesgos
Evaluacin de riesgos es la determinacin y el anlisis de riesgos importantes para lograr los objetivos de la entidad y formar la base para determinar las actividades de control.
Evaluacin de riesgos
Evaluacin de riesgos es la determinacin y el anlisis de riesgos importantes para lograr los objetivos de la entidad y formar la base para determinar las actividades de control.
COSO: Cinco componentes que conforman el enfoque
8 COBIT es un marco de gobierno de las tecnologas de informacin que proporciona una serie de herramientas para que la gerencia pueda conectar los requerimientos de control con los aspectos tcnicos y los riesgos del negocio
COBIT el marco de ISACA
GOBIERNO, CONTROLyAUDITORA de la INFORMACINy su TECNOLOGA RELACIONADA
COBITTM
9COBIT Ayuda a
COBIT permite el desarrollo de las polticas y buenas prcticas para el control de las tecnologas en toda la organizacin
COBIT enfatiza el cumplimiento regulatorio, ayuda a las organizaciones a incrementar su valor a travs de las tecnologas, y permite su alineamiento con los objetivos del negocio.
10
IT Governance
COBIT4.0/4.1
Management
COBIT3
Control
COBIT2
Audit
COBIT1
2005/720001998
E
v
o
l
u
t
i
o
n
o
f
s
c
o
p
e
1996 2012
EVOLUCIN DE COBIT
11
REQUERIMIENTOS
DE NEGOCIO
PROCESOS
DE TI RECURSOS
DE TI
CoBIT Necesidad de un marco de Control Interno de TI
Un marco normativo comn orientado al negocio Flexible para adaptarse a diferentes necesidades, mltiples niveles para
mltiples necesidades Destinado a
directores y gerentes usuarios (clientes) auditores
Para ayudarlos a obtener una garanta razonable respecto de la contribucin de la TI a los objetivos de negocio
12
eficacia eficiencia confidencialidad integridad disponibilidad cumplimiento confiabilidad
MONITOREO
PLANIFICACION Y ORGANIZACION
INFORMACION
datos sistemas de aplicacin tecnologa instalaciones personal
RECURSOS DE TI
OBJETIVOS DE NEGOCIO
COBITCOBIT
ADQUISICION E IMPLEMENTACIONENTREGA Y SOPORTE
CoBIT - Dominios de Control en TI
13
eficacia eficiencia confidencialidad integridad disponibilidad cumplimiento confiabilidad
MONITOREO
PLANIFICACION Y ORGANIZACION
INFORMACION
datos sistemas de aplicacin tecnologa instalaciones personal
RECURSOS DE TI
OBJETIVOS DE NEGOCIO
COBITCOBIT
ADQUISICION E IMPLEMENTACIONENTREGA Y SOPORTE
PO1 definicin de un plan estratgico de TIPO2 definicin de la arquitectura de la informacinPO3 determinacin de la direccin tecnolgicaPO4 definicin de la organizacin y las relaciones de TIPO5 administracin de la inversin en TIPO6 comunicacin de los objetivos y directivas de la
gerenciaPO7 administracin de los recursos humanosPO8 garanta de cumplimiento de los requisitos
externosPO9 evaluacin de riesgosPO10 administracin de proyectosPO11 administracin de la calidad
PO1 definicin de un plan estratgico de TIPO2 definicin de la arquitectura de la informacinPO3 determinacin de la direccin tecnolgicaPO4 definicin de la organizacin y las relaciones de TIPO5 administracin de la inversin en TIPO6 comunicacin de los objetivos y directivas de la
gerenciaPO7 administracin de los recursos humanosPO8 garanta de cumplimiento de los requisitos
externosPO9 evaluacin de riesgosPO10 administracin de proyectosPO11 administracin de la calidad
CoBIT - Dominios de Control en TI
14
PLANIFICAR Y ORGANIZAREste dominio cubre los siguientes cuestionamientos tpicos de la gerencia:
Estn alineadas las estrategias de TI y del negocio? La empresa est alcanzando un uso ptimo de sus recursos? Entienden todas las personas dentro de la organizacin los objetivos de TI? Es apropiada la calidad de los sistemas de TI para las necesidades del negocio?
15
eficacia eficiencia confidencialidad integridad disponibilidad cumplimiento confiabilidad
MONITOREO
PLANIFICACION Y ORGANIZACION
INFORMACION
datos sistemas de aplicacin tecnologa instalaciones personal
RECURSOS DE TI
OBJETIVOS DE NEGOCIO
COBITCOBIT
ADQUISICION E IMPLEMENTACIONENTREGA Y SOPORTE
AI1 identificacin de solucionesAI2 adquisicin y mantenimiento del software de aplicacinAI3 adquisicin y mantenimiento de la infraestructura tecnolgicaAI4 desarrollo y mantenimiento de procedimientos de TIAI5 instalacin y acreditacin de sistemasAI6 administracin de cambios
AI1 identificacin de solucionesAI2 adquisicin y mantenimiento del software de aplicacinAI3 adquisicin y mantenimiento de la infraestructura tecnolgicaAI4 desarrollo y mantenimiento de procedimientos de TIAI5 instalacin y acreditacin de sistemasAI6 administracin de cambios
CoBIT - Dominios de Control en TI
16
ADQUIRIR E IMPLEMENTAREste dominio, por lo general, cubre los siguientes cuestionamientos de la gerencia:
Es probable que los nuevos proyectos generan soluciones que satisfagan las necesidades del negocio? Trabajarn adecuadamente los nuevos sistemas una vez sean implementados? Los cambios no afectarn a las operaciones actuales del negocio?
17
ENTREGA Y SOPORTE
eficacia eficiencia confidencialidad integridad disponibilidad cumplimiento confiabilidad
MONITOREO
PLANIFICACION Y ORGANIZACION
INFORMACION
datos sistemas de aplicacin tecnologa instalaciones personal
RECURSOS DE TI
OBJETIVOS DE NEGOCIO
COBITCOBIT
ADQUISICION E IMPLEMENTACION
ES1 definicin de los niveles de servicioES2 administracin de los servicios prestados por tercerosES3 administracin de la capacidad y del desempeoES4 garanta de un servicio continuoES5 garanta de la seguridad de los sistemasES6 identificacin e imputacin de costosES7 educacin y capacitacin de los usuariosES8 asistencia y asesoramiento a los clientes de TIES9 administracin de la configuracinES10 administracin de problemas e incidentesES11 administracin de datosES12 administracin de instalacionesES13 administracin de operaciones
ES1 definicin de los niveles de servicioES2 administracin de los servicios prestados por tercerosES3 administracin de la capacidad y del desempeoES4 garanta de un servicio continuoES5 garanta de la seguridad de los sistemasES6 identificacin e imputacin de costosES7 educacin y capacitacin de los usuariosES8 asistencia y asesoramiento a los clientes de TIES9 administracin de la configuracinES10 administracin de problemas e incidentesES11 administracin de datosES12 administracin de instalacionesES13 administracin de operaciones
CoBIT - Dominios de Control en TI
18
ENTREGA Y SOPORTE
Por lo general cubre las siguientes preguntas de la gerencia:
Se estn entregando los servicios de TI de acuerdo con las prioridades del negocio? Estn optimizados los costos de TI? Estn implantadas de forma adecuada la confidencialidad, la integridad y la disponibilidad?
19
MONITOREO
eficacia eficiencia confidencialidad integridad disponibilidad cumplimiento confiabilidad
PLANIFICACION Y ORGANIZACION
INFORMACION
datos sistemas de aplicacin tecnologa instalaciones personal
RECURSOS DE TI
OBJETIVOS DE NEGOCIO
COBITCOBIT
ADQUISICION E IMPLEMENTACIONENTREGA Y SOPORTE
M1 monitoreo de los procesosM2 evaluacin de la idoneidad del control internoM3 obtencin de garanta independienteM4 provisin de auditora independiente
M1 monitoreo de los procesosM2 evaluacin de la idoneidad del control internoM3 obtencin de garanta independienteM4 provisin de auditora independiente
CoBIT - Dominios de Control en TI
20
MONITOREAR Y EVALUARPor lo general abarca las siguientes preguntas de la gerencia:
Se mide el desempeo de TI para detectar los problemas antes de que sea demasiado tarde? La Gerencia garantiza que los controles internos son efectivos y eficientes? Puede vincularse el desempeo de lo que TI ha realizado con las metas del negocio? Se miden y reportan los riesgos, el control, el cumplimiento y el desempeo?
21
El Cubo de COBIT
PO, AE, DS, ME
22
Para cada uno de los 34 procesos se definen..
Descripcin del proceso
Indicadores de informacin y domino
Objetivos de TIObjetivos del ProcesoPrcticas ClaveMtricas
Gobierno y recursos de TI
23
Modelo de Madurez - COBIT
CONSULTAS? CONSULTAS?