-
AuditorAuditora en Sistemas de a en Sistemas de
InformacInformacnn
-- ASI ASI --
Ing. Diana E. SolIng. Diana E. Solrzano, CISArzano, CISAIng.
MarIng. Mara Virginia Reyesa Virginia Reyes
-
OBJETIVO DE CONTROL OBJETIVO DE CONTROL PARA LA INFORMACIPARA LA
INFORMACIN Y N Y LA TECNOLOGIA (COBIT)LA TECNOLOGIA (COBIT)
-
3Agenda Unidad 4
Reporte COSO Origen COSO Componentes - COSO COBIT Origen COBIT -
EVOLUCION Dominios, Procesos y Objetivos de Control
- Planeacin y Organizacin- Adquisicin e Implementacin- Entrega
de Servicios y Soporte- Monitoreo
Elementos de cada uno de los Procesos de COBIT Modelo de Madurez
de COBIT
-
4Origen del COSO Report COSO - Committee of Sponsoring
Organizations of the Treadway
Commission Un conjunto de organizaciones profesionales, con
marcado interes en
el Control Interno actuaron como auspiciantes del proceso que
diorigen el estudio:
American Accounting Association (AAA) American Institute of
Certified Public Accountants (AICPA) The Institute of Internal
Auditors (IIA) Institute of Management Accountants (IMA) Financial
Executives Institute (FEI)
COSO Report: Origen y Caracteristicas
-
5Objetivos logrados por el COSO Report Establecer una definicin
comn de Control Interno que satisfizo a todas las
partes involucradas
Proveer un estandard a partir del cual las Organizaciones
(grandes o pequeas, pblicas o privadas, con o sin fines de lucro),
puedan evaluar susprocesos de control y determinar como mejorar la
performance.
Coso Report es un MARCO que define el control interno, describe
sus componentes y proporciona criterios para que los gerentes,
directores y otros usuarios puedan evaluar sus procesos de
control.
COSO Report: Origen y Caracteristicas
-
6"El control interno es un proceso llevado a cabo por el
directorio, gerencia y personal de una entidad diseado para proveer
una seguridad razonable en relacin al logro de los objetivos en las
siguientes categoras:
Efectividad y eficiencia de las operaciones
Confiabilidad de los reportes financieros (informes
contables)
Cumplimiento de las leyes y regulaciones aplicables"
CONTROL INTERNO: Definicin
-
7Actividades de Control
Polticas/procedimientos que aseguran que se efectan las
directivas de la gerencia.
Gama de actividades que incluye aprobaciones, autorizaciones,
verificaciones, recomendaciones, revisiones de rendimiento,
salvaguarda de activos y separacin de funciones.
Actividades de Control
Polticas/procedimientos que aseguran que se efectan las
directivas de la gerencia.
Gama de actividades que incluye aprobaciones, autorizaciones,
verificaciones, recomendaciones, revisiones de rendimiento,
salvaguarda de activos y separacin de funciones.
Supervisin y Seguimiento
Evaluacin del funcionamiento del sistema de control en el
tiempo.
Combinacin de evaluacin constante e independiente.
Actividades de los niveles de supervisin y gerencia.
Actividades de auditora interna.
Supervisin y Seguimiento
Evaluacin del funcionamiento del sistema de control en el
tiempo.
Combinacin de evaluacin constante e independiente.
Actividades de los niveles de supervisin y gerencia.
Actividades de auditora interna.
Ambiente de Control
Establece un entorno en la organizacin que estimula la
concientizacin de su personal respecto al control.
Los factores incluyen integridad, valores ticos, competencia,
autoridad, responsabilidad.
Base para todos los dems componentes de control.
Ambiente de Control
Establece un entorno en la organizacin que estimula la
concientizacin de su personal respecto al control.
Los factores incluyen integridad, valores ticos, competencia,
autoridad, responsabilidad.
Base para todos los dems componentes de control.
Informacin y Comunicacin
Informacin pertinente determinada, capturada y comunicada en
forma oportuna.
Acceso a informacin generada interna y externamente.
Flujo de informacin que permite acciones de control exitosas
desde instrucciones sobre responsabilidades a resumen de
observaciones para accin de la gerencia
Informacin y Comunicacin
Informacin pertinente determinada, capturada y comunicada en
forma oportuna.
Acceso a informacin generada interna y externamente.
Flujo de informacin que permite acciones de control exitosas
desde instrucciones sobre responsabilidades a resumen de
observaciones para accin de la gerencia
Evaluacin de riesgos
Evaluacin de riesgos es la determinacin y el anlisis de riesgos
importantes para lograr los objetivos de la entidad y formar la
base para determinar las actividades de control.
Evaluacin de riesgos
Evaluacin de riesgos es la determinacin y el anlisis de riesgos
importantes para lograr los objetivos de la entidad y formar la
base para determinar las actividades de control.
COSO: Cinco componentes que conforman el enfoque
-
8 COBIT es un marco de gobierno de las tecnologas de informacin
que proporciona una serie de herramientas para que la gerencia
pueda conectar los requerimientos de control con los aspectos
tcnicos y los riesgos del negocio
COBIT el marco de ISACA
GOBIERNO, CONTROLyAUDITORA de la INFORMACINy su TECNOLOGA
RELACIONADA
COBITTM
-
9COBIT Ayuda a
COBIT permite el desarrollo de las polticas y buenas prcticas
para el control de las tecnologas en toda la organizacin
COBIT enfatiza el cumplimiento regulatorio, ayuda a las
organizaciones a incrementar su valor a travs de las tecnologas, y
permite su alineamiento con los objetivos del negocio.
-
10
IT Governance
COBIT4.0/4.1
Management
COBIT3
Control
COBIT2
Audit
COBIT1
2005/720001998
E
v
o
l
u
t
i
o
n
o
f
s
c
o
p
e
1996 2012
EVOLUCIN DE COBIT
-
11
REQUERIMIENTOS
DE NEGOCIO
PROCESOS
DE TI RECURSOS
DE TI
CoBIT Necesidad de un marco de Control Interno de TI
Un marco normativo comn orientado al negocio Flexible para
adaptarse a diferentes necesidades, mltiples niveles para
mltiples necesidades Destinado a
directores y gerentes usuarios (clientes) auditores
Para ayudarlos a obtener una garanta razonable respecto de la
contribucin de la TI a los objetivos de negocio
-
12
eficacia eficiencia confidencialidad integridad disponibilidad
cumplimiento confiabilidad
MONITOREO
PLANIFICACION Y ORGANIZACION
INFORMACION
datos sistemas de aplicacin tecnologa instalaciones personal
RECURSOS DE TI
OBJETIVOS DE NEGOCIO
COBITCOBIT
ADQUISICION E IMPLEMENTACIONENTREGA Y SOPORTE
CoBIT - Dominios de Control en TI
-
13
eficacia eficiencia confidencialidad integridad disponibilidad
cumplimiento confiabilidad
MONITOREO
PLANIFICACION Y ORGANIZACION
INFORMACION
datos sistemas de aplicacin tecnologa instalaciones personal
RECURSOS DE TI
OBJETIVOS DE NEGOCIO
COBITCOBIT
ADQUISICION E IMPLEMENTACIONENTREGA Y SOPORTE
PO1 definicin de un plan estratgico de TIPO2 definicin de la
arquitectura de la informacinPO3 determinacin de la direccin
tecnolgicaPO4 definicin de la organizacin y las relaciones de TIPO5
administracin de la inversin en TIPO6 comunicacin de los objetivos
y directivas de la
gerenciaPO7 administracin de los recursos humanosPO8 garanta de
cumplimiento de los requisitos
externosPO9 evaluacin de riesgosPO10 administracin de
proyectosPO11 administracin de la calidad
PO1 definicin de un plan estratgico de TIPO2 definicin de la
arquitectura de la informacinPO3 determinacin de la direccin
tecnolgicaPO4 definicin de la organizacin y las relaciones de TIPO5
administracin de la inversin en TIPO6 comunicacin de los objetivos
y directivas de la
gerenciaPO7 administracin de los recursos humanosPO8 garanta de
cumplimiento de los requisitos
externosPO9 evaluacin de riesgosPO10 administracin de
proyectosPO11 administracin de la calidad
CoBIT - Dominios de Control en TI
-
14
PLANIFICAR Y ORGANIZAREste dominio cubre los siguientes
cuestionamientos tpicos de la gerencia:
Estn alineadas las estrategias de TI y del negocio? La empresa
est alcanzando un uso ptimo de sus recursos? Entienden todas las
personas dentro de la organizacin los objetivos de TI? Es apropiada
la calidad de los sistemas de TI para las necesidades del
negocio?
-
15
eficacia eficiencia confidencialidad integridad disponibilidad
cumplimiento confiabilidad
MONITOREO
PLANIFICACION Y ORGANIZACION
INFORMACION
datos sistemas de aplicacin tecnologa instalaciones personal
RECURSOS DE TI
OBJETIVOS DE NEGOCIO
COBITCOBIT
ADQUISICION E IMPLEMENTACIONENTREGA Y SOPORTE
AI1 identificacin de solucionesAI2 adquisicin y mantenimiento
del software de aplicacinAI3 adquisicin y mantenimiento de la
infraestructura tecnolgicaAI4 desarrollo y mantenimiento de
procedimientos de TIAI5 instalacin y acreditacin de sistemasAI6
administracin de cambios
AI1 identificacin de solucionesAI2 adquisicin y mantenimiento
del software de aplicacinAI3 adquisicin y mantenimiento de la
infraestructura tecnolgicaAI4 desarrollo y mantenimiento de
procedimientos de TIAI5 instalacin y acreditacin de sistemasAI6
administracin de cambios
CoBIT - Dominios de Control en TI
-
16
ADQUIRIR E IMPLEMENTAREste dominio, por lo general, cubre los
siguientes cuestionamientos de la gerencia:
Es probable que los nuevos proyectos generan soluciones que
satisfagan las necesidades del negocio? Trabajarn adecuadamente los
nuevos sistemas una vez sean implementados? Los cambios no afectarn
a las operaciones actuales del negocio?
-
17
ENTREGA Y SOPORTE
eficacia eficiencia confidencialidad integridad disponibilidad
cumplimiento confiabilidad
MONITOREO
PLANIFICACION Y ORGANIZACION
INFORMACION
datos sistemas de aplicacin tecnologa instalaciones personal
RECURSOS DE TI
OBJETIVOS DE NEGOCIO
COBITCOBIT
ADQUISICION E IMPLEMENTACION
ES1 definicin de los niveles de servicioES2 administracin de los
servicios prestados por tercerosES3 administracin de la capacidad y
del desempeoES4 garanta de un servicio continuoES5 garanta de la
seguridad de los sistemasES6 identificacin e imputacin de costosES7
educacin y capacitacin de los usuariosES8 asistencia y
asesoramiento a los clientes de TIES9 administracin de la
configuracinES10 administracin de problemas e incidentesES11
administracin de datosES12 administracin de instalacionesES13
administracin de operaciones
ES1 definicin de los niveles de servicioES2 administracin de los
servicios prestados por tercerosES3 administracin de la capacidad y
del desempeoES4 garanta de un servicio continuoES5 garanta de la
seguridad de los sistemasES6 identificacin e imputacin de costosES7
educacin y capacitacin de los usuariosES8 asistencia y
asesoramiento a los clientes de TIES9 administracin de la
configuracinES10 administracin de problemas e incidentesES11
administracin de datosES12 administracin de instalacionesES13
administracin de operaciones
CoBIT - Dominios de Control en TI
-
18
ENTREGA Y SOPORTE
Por lo general cubre las siguientes preguntas de la
gerencia:
Se estn entregando los servicios de TI de acuerdo con las
prioridades del negocio? Estn optimizados los costos de TI? Estn
implantadas de forma adecuada la confidencialidad, la integridad y
la disponibilidad?
-
19
MONITOREO
eficacia eficiencia confidencialidad integridad disponibilidad
cumplimiento confiabilidad
PLANIFICACION Y ORGANIZACION
INFORMACION
datos sistemas de aplicacin tecnologa instalaciones personal
RECURSOS DE TI
OBJETIVOS DE NEGOCIO
COBITCOBIT
ADQUISICION E IMPLEMENTACIONENTREGA Y SOPORTE
M1 monitoreo de los procesosM2 evaluacin de la idoneidad del
control internoM3 obtencin de garanta independienteM4 provisin de
auditora independiente
M1 monitoreo de los procesosM2 evaluacin de la idoneidad del
control internoM3 obtencin de garanta independienteM4 provisin de
auditora independiente
CoBIT - Dominios de Control en TI
-
20
MONITOREAR Y EVALUARPor lo general abarca las siguientes
preguntas de la gerencia:
Se mide el desempeo de TI para detectar los problemas antes de
que sea demasiado tarde? La Gerencia garantiza que los controles
internos son efectivos y eficientes? Puede vincularse el desempeo
de lo que TI ha realizado con las metas del negocio? Se miden y
reportan los riesgos, el control, el cumplimiento y el
desempeo?
-
21
El Cubo de COBIT
PO, AE, DS, ME
-
22
Para cada uno de los 34 procesos se definen..
Descripcin del proceso
Indicadores de informacin y domino
Objetivos de TIObjetivos del ProcesoPrcticas ClaveMtricas
Gobierno y recursos de TI
-
23
Modelo de Madurez - COBIT
-
CONSULTAS? CONSULTAS?
