¡Descubre el Poder del Masaje Holístico en nuestra Primera Sesión del Seminar...
Semana 09 al 12
1. FACULTAD DE INGENIERÍA Y ARQUITECTURA
Escuela Profesional de Ingeniería de Sistemas e Informática
Mg. Ing. Luis E. Ramírez Pacheco
Ciclo X
Control de los Sistemas de Negocio
2. 2
Escuela Profesional de Ingeniería de Sistemas e Informática
Objetivos generales
1. Comprender aspectos técnicos y administrativos relacionados con la
Seguridad, Auditoría y el Control de Sistemas.
2. Identificar y evaluar los riesgos que se presentan en los Centros de
Tecnologías de la Información.
3. Encarar una implementación de un Sistema de Gestión de Seguridad de
Información.
4. Analizar y evaluar la mejora continua de los controles que afecten a la
Tecnología de Información.
Objetivos específicos
1. Manejar aspectos técnicos/administrativos vinculados al Control, Riesgos,
Auditoria y Seguridad de Información.
2. Comprender la gestión de riesgos.
3. Estar preparados para identificación, evaluación y mitigación de riesgos.
4. Conocer algunos Marcos generales como COSO y COSO ERM y
estándares como ISO 27001 e ISO22301.
4. Objetivos
3. 3
Control de los Sistemas de Negocio
UNIDAD
DIDÁCTICA
TEMAS
SEMANA DE
ESTUDIOS
III UNIDAD
AUDITORÍA
Tipos de Auditoria
Planeación de la Auditoria
Auditoría Basada en Riesgos
Plan de Auditoria General
5.ª semanas
COBIT 5
Principios de COBIT 5
6.ª semana
Contenidos
5. 5
Control de los Sistemas de Negocio ● Unidad didáctica 3
UNIDAD DIDÁCTICA III
AUDITORÍA
6. 6
Escuela Profesional de Ingeniería de Sistemas e Informática
1. Tipos de Auditoría.
2. Planeación de la Auditoría.
3. Auditoría Basada en Riesgos.
4. Plan de Auditoría General.
5. COBIT 5.
6. Principios de COBIT 5.
Esquema de contenidos
7. 7
Control de los Sistemas de Negocio ● Unidad didáctica 3
En esta unidad se abarcará toda la práctica de Planeación de la Auditoria y COBIT 5,
incluyendo los procedimientos, metodologías y utilización de estándares internacionales
que permitirá al estudiante conocer el proceso de Control de los Sistemas de Negocio
sobre cualquier área de Tecnología de Información existente en las empresas. Además
el alumno estará capacitado en los conocimientos teórico- prácticos sobre el Planeación
de la Auditoria y COBIT 5 y a la vez estará preparado para aplicar las metodologías y
estándares exigidos por las leyes internacionales y las mejores prácticas de las mejores
empresas a nivel mundial.
Introducción
8. 8
Escuela Profesional de Ingeniería de Sistemas e Informática
Auditoría
La función de auditoría debe ser gestionada y dirigida de una manera que asegure que
las diversas tareas realizadas y conseguidas por el equipo de auditoría cumplirán los
objetivos de la función de auditoría, preservando al mismo tiempo independencia de la
auditoría y la competencia. Por otra parte, la gestión de la función de auditoría debe
garantizar que las contribuciones de valor agregado a la alta dirección en relación con
la gestión eficiente y el logro de los objetivos de negocio.
Tipos de Auditorías
Los distintos tipos de auditorías gubernamentales, certificaciones y otros servicios
distintos de la auditoría prestados por las organizaciones de auditoría interna pueden
llevar a cabo son:
Auditorías financieras
Auditorías de desempeño
Auditorías de la eficacia del programa y los resultados
Auditorías de control interno
Auditorías de cumplimiento
Auditorías de tecnología de la información
Auditorías de seguimiento
Auditorías financieras
Las auditorías financieras proporcionan una evaluación independiente de si los estados
financieros reportados de una entidad se presentan razonablemente, en todos sus
aspectos significativos, de conformidad con un marco financiero aceptable. Otros
objetivos de las auditorías financieras, que proporcionan diferentes niveles de seguridad
y entrañan distintos ámbitos de trabajo, pueden incluir:
9. 9
Control de los Sistemas de Negocio ● Unidad didáctica 3
Proporcionar una opinión para elementos específicos, cuentas o partidas de un
estado financiero.
Revisión de información financiera intermedia.
La emisión de letras para los aseguradores y otras partes solicitantes.
Presentación de informes sobre el procesamiento de las transacciones
realizadas por las organizaciones de servicios.
Auditoría cumplimiento de los requisitos aplicables en materia de asistencia
financiera gubernamental.
Las auditorías financieras de los Estados, los gobiernos locales y las organizaciones sin
fines de lucro se realizan generalmente a través del proceso de auditoría única por
entidades externas. Además, muchas Organizaciones tienen grupos de auditoría
externa que llevan a cabo auditorías relacionadas financiera de las empresas de
arquitectura e ingeniería para proporcionar la seguridad de que sus tasas de costos
indirectos se desarrollan de acuerdo con los requisitos del país.
Auditorías de desempeño
Las Auditorías de desempeño son exámenes objetivos y sistemáticas de la evidencia
en contra de los criterios específicos con el fin de proporcionar una evaluación
independiente de la actuación de la administración. Las auditorías de rendimiento
proporcionan un análisis objetivo de ayudar a la administración y los encargados del
gobierno y la supervisión en el uso de la información para mejorar el rendimiento y las
operaciones del programa, reducir costos, facilitar la toma de decisiones por las partes
con responsabilidad para supervisar o iniciar acciones correctivas, y contribuir a la
rendición de cuentas pública.
Objetivos de la auditoría de rendimiento varían mucho e incluyen la evaluación de la
efectividad del programa, la economía y la eficiencia; control interno; el cumplimiento; y
análisis prospectivos. Estos objetivos generales no son mutuamente excluyentes. En
consecuencia, una auditoría de gestión puede tener más de un objetivo.
Auditorías de la eficacia del programa y los resultados
Las Auditorías de la eficacia del programa y los resultados están relacionados entre sí
con frecuencia con la economía y la eficiencia de las auditorías. Objetivos de la
10. 10
Escuela Profesional de Ingeniería de Sistemas e Informática
auditoría que se centran en la eficacia y los resultados del programa suelen medir el
grado en que un programa está alcanzando sus metas y objetivos. Objetivos de la
auditoría que se centran en la economía y la eficiencia de los costos y los recursos
utilizados para lograr los resultados del programa. Los ejemplos de la efectividad del
programa y los resultados de auditorías incluyen la evaluación de:
La medida en que los objetivos legislativos, reglamentarios o de organización y
objetivos se están alcanzado. Los resultados deben apoyar los objetivos del
programa.
La capacidad relativa de los enfoques alternativos para producir un mejor
desempeño de los programas o eliminar los factores que inhiben la eficacia del
programa.
El costo y beneficios relativos o rentabilidad de los resultados del programa.
Si un programa produce resultados o efectos no previstos por los objetivos.
La extensión en que los programas duplicados, superposición o conflicto con
otros programas.
Si la entidad auditada está siguiendo las prácticas de adquisición de sonido.
La validez y fiabilidad de las medidas de desempeño relativas a la eficacia y los
resultados del programa o de la economía y la eficiencia.
La fiabilidad, validez o pertinencia de la información financiera relativa a la
ejecución de un programa.
Si los resultados alcanzados los objetivos del programa.
Auditorías de control interno
Las Auditorías de control interno son una evaluación de uno o más componentes del
sistema de control interno de una organización. Se han diseñado para proporcionar una
seguridad razonable de lograr un funcionamiento eficaz y eficiente, la información
financiera y un rendimiento fiable, o el cumplimiento de las leyes y reglamentos
aplicables. Objetivos de control interno también pueden ser relevantes para determinar
la causa de la ejecución de los programas insatisfactorio. Los controles internos incluyen
los planes, políticas, métodos y procedimientos utilizados para cumplir la misión de la
organización, las metas y objetivos. Los controles internos incluyen los procesos y
procedimientos para la planificación, organización, dirección y control de las
operaciones del programa, y el sistema de gestión para medir, reportar y
11. 11
Control de los Sistemas de Negocio ● Unidad didáctica 3
monitorear el desempeño del programa. Ejemplos de objetivos de auditoría relacionados
con el control interno incluyen el grado en que un programa proporciona una seguridad
razonable de que:
Misiones organizativas, metas y objetivos se logran con eficacia y eficiencia.
Los recursos se utilizan de acuerdo con las leyes, reglamentos u otros
requisitos.
Los recursos están protegidos contra toda adquisición, uso o disposición.
Gestión de la información y los informes públicos que se producen, como las
medidas de rendimiento, son completos, precisos y concordantes para el
rendimiento y la toma de decisiones.
Seguridad sobre los sistemas de información computarizados prevenir o detectar
el acceso no autorizado.
La planificación de contingencia para los sistemas de información proporcionan
esencial de respaldo para evitar la interrupción injustificada de las actividades y
funciones de apoyo al sistema.
Auditorías de cumplimiento
Las auditorías de cumplimiento son evaluaciones del cumplimiento de los criterios
establecidos por las disposiciones de las leyes, reglamentos, contratos, convenios de
subvención, políticas internas, u otros requisitos que pudieran afectar a la adquisición,
protección, uso y disposición de los recursos de la entidad y de la cantidad, la calidad,
la oportunidad, y el costo de los servicios de la entidad produce y entrega. Requisitos
de cumplimiento pueden ser financieros o no financieros.
Las organizaciones de auditoría también realizan auditorías análisis prospectivo. Estos
exámenes proporcionan análisis o conclusiones sobre la información que se basa en
suposiciones sobre eventos que pueden ocurrir en el futuro, junto con las posibles
medidas que la entidad puede adoptar en respuesta a los acontecimientos futuros.
Ejemplos de estas auditorías son:
La evaluación de programas o políticas alternativas, incluyendo los resultados
del programa de previsión bajo diversos supuestos.
Evaluar las ventajas y desventajas de las propuestas legislativas.
12. 12
Escuela Profesional de Ingeniería de Sistemas e Informática
Analizar opiniones de los interesados sobre las propuestas políticas para los
tomadores de decisiones.
La identificación de las mejores prácticas para uso en la evaluación de los
programas o sistemas de gestión de enfoques, incluyendo los sistemas de
gestión financiera y de información.
La producción de resumen de alto nivel o un informe que afecta a varios
programas o entidades sobre temas estudiados o en estudio.
Auditorías de tecnología de la información
Las Auditorías de tecnología de la información incluyen la evaluación de los controles
internos relacionados con el desarrollo, operación, mantenimiento y gestión del medio
ambiente tecnología de la información, infraestructura y datos. Algunas de las áreas
abordadas son: gobernanza de la política y de la documentación del proceso; seguridad
física y lógica; aplicaciones y activos de infraestructura; monitoreo; y la continuidad del
negocio/recuperación de desastres. Auditorías de TI se están convirtiendo cada vez más
importante a medida que se automatizan los procesos de mantenimiento de registros.
Cuando un sistema de información es importante para el objetivo de la auditoría, la
auditoría debe incluir una evaluación de los controles de la tecnología de información
para proporcionar una seguridad razonable de que la información que se procesa y
producido por el sistema es válido y fiable.
Auditorías de seguimiento
Las auditorías de seguimiento se realizan en general unos meses después que se ha
emitido un informe de auditoría. Están diseñados para poner a prueba el estado y
evaluar la eficacia de las acciones correctivas tomadas en temas de auditoría reportados
en informes dados a conocer antes.
Planeación de la Auditoría
El plan de auditoría generalmente se desarrolla sobre una base anual, pero debe
considerarse un documento vivo que va a cambiar y crecer. La mayoría de los planes
13. 13
Control de los Sistemas de Negocio ● Unidad didáctica 3
de auditoría son obras en curso y los programas cambian para satisfacer las
necesidades del departamento. Un nuevo programa, la realineación
departamento/reorganización, o acontecimientos inesperados pueden cambiar las
necesidades de gestión, cambiando algunas auditorías a una mayor estado de prioridad
y las auditorías de inserción de nuevos programas. El plan de auditoría se debe basar
en los riesgos de la organización. El director de auditoría interna debe priorizar el trabajo
de auditoría interna en base a los riesgos de los diferentes ámbitos de responsabilidad
de la Organización.
Identificar el Universo de la Auditoría o Unidades Auditables
Con el fin de determinar la cobertura apropiada de auditoría, el director de auditoría
interna, con el aporte de la dirección ejecutiva, debe identificar las unidades auditables.
Esto permite auditoría interna para vincular el Plan de Auditoría Interna a los riesgos
Organizacionales sobre la base del propietario principal del proceso. Las áreas
adicionales encargadas de la realización de ese proceso en particular también deben
ser identificadas dentro de las unidades auditables. Este proceso es un componente
vital del proceso de evaluación del riesgo y consiste en dividir toda la Organización en
diversas áreas de control que cubran todas las responsabilidades y funciones de la
Organización. La clave para mantener un buen horario de unidades auditables es
verificar periódicamente que no se han producido cambios o adiciones a las unidades
auditables. Que las unidades auditables debe actualizarse para reflejar los cambios en
la estructura, funciones o responsabilidad en por lo menos una vez al año. Cuando se
producen cambios de responsabilidad, los datos históricos se deben conservar para
reflejar las responsabilidades anteriores y alcance de la auditoría que se le dio.
Una vez identificadas, las auditorías realizadas y programadas para cada unidad
auditable se puede seguir para asegurarse de revisiones periódicas y auditorías se
llevan a cabo cuando sea necesario. Esto también ayudará a desarrollar el plan de
auditoría basado en el tiempo transcurrido desde la última auditoría y asegurar que
todas las unidades auditables se consideran en el plan de auditoría. Algunas unidades
auditables, sin embargo, pueden ser de bajo riesgo y no recibir una auditoría debido a
los recursos de auditoría interna limitados. La limitación de recursos de auditoría interna
debe ser programada para las zonas del departamento que presentan mayor
14. 14
Escuela Profesional de Ingeniería de Sistemas e Informática
riesgo. Usando el universo de auditoría identificado preparar una matriz de auditorías
realizadas por cada unidad auditable. Es de gran ayuda para mantener al menos tres a
cinco años de datos para facilitar la futura programación auditorías.
Beneficios de las Unidades Auditables
Hay muchos beneficios para el desarrollo de las unidades auditables de la Organización.
Estos incluyen, pero no se limitan necesariamente a, los siguientes:
Proporciona el marco para supervisar la estructura de control interno de la
Organización por área operativa y proporciona la base para el proceso de
evaluación de riesgos.
Permite Auditoría Interna para comunicarse con cada División u Oficina de la
Organización de forma estandarizada para monitorear los controles internos de
la Organización.
Proporciona un mecanismo para confirmar si todos los procesos han sido
capturados.
Provee un medio para monitorear la cobertura de auditoría histórica para todas
las funciones y actividades de la Organización.
Demuestra el cumplimiento de las normas y leyes que pueden regir la función de
auditoría interna.
Considerada una mejor práctica de Auditoría Interna.
Desarrollar archivos permanentes
Un archivo permanente es una herramienta muy útil para ayudar en el proceso de
auditoría. Proporciona información básica e histórica de la auditoría interna en la
evaluación de las unidades auditables. Estos archivos se crean generalmente como
parte del proceso de auditoría, pero se pueden crear por separado, como el tiempo lo
permite. Esto ayuda a proporcionar un punto de partida no sólo para la Evaluación de
Riesgos para el Plan de Auditoría Interna, sino también para las Evaluaciones de Riesgo
de una auditoría específica. También es una fuente primaria de información para que el
auditor interno asignado a una auditoría particular. Archivos permanentes deben
actualizarse cuando se produzcan cambios a fin de que sean útiles. Información
sugerida para los archivos permanentes incluyen, pero no se limitan necesariamente a,
los siguientes:
15. 15
Control de los Sistemas de Negocio ● Unidad didáctica 3
Estatutos, normas y reglamentos
Políticas y Procedimientos, Manuales y Guías
Anteriores auditorías-externa, interna, Gubernamental que se relacionan con el
área
Certificaciones de Control Interno
Lista de los sistemas informáticos utilizados
Entrevista Notas
Sistema narrativas
Auditoria basada en Riesgos
Auditoría Interna debe desarrollar procedimientos a seguir cada año en la realización de
la auditoría basada en riesgos de la Organización. La Gestión de entrada debería ser
uno de los factores considerados. Auditoría Interna debe considerar la celebración de
reuniones con los distintos niveles de la administración para lograr una mayor
comprensión de los riesgos y los controles de las unidades auditables. Los auditores
internos son los expertos en el control y gestión de riesgos en su agencia. Use
planificación de la auditoría como una oportunidad para educar y sensibilizar a la gestión
de la función de auditoría interna y el proceso de evaluación del riesgo y asegurarse de
que hay un consenso sobre las definiciones. Un cuestionario de evaluación de riesgos
se podría proporcionar a la administración para ayudarles a determinar los riesgos y las
necesidades de sus secciones. El cuestionario de evaluación del riesgo podría incluir lo
siguiente:
Cualquier cambio en las unidades auditables
Nuevos programas o iniciativas
El rápido crecimiento o incrementos significativos en la financiación o gastos
La cifra de negocios de administración de claves o personal clave
Revisiones o auditorías por el Gobierno
Exposición a los medios
Cambio en la Regla
Los cambios de reglas administrativas
16. 16
Escuela Profesional de Ingeniería de Sistemas e Informática
Tecnología de la información que se ha desarrollado o ha tenido grandes
modificaciones en el último año o que están actualmente en proceso o en
proyecto
Cualquier actividad fraudulenta, conducta impropia, flagrante desprecio por los
procedimientos, sospechosos o uso indebido de los bienes o recursos del Estado
Cualquier procesos o programas que les gustaría auditoría interna a revisión
Ranking de lo que ellos consideran que son las cinco áreas más importantes o
procesos para los que son responsables
Las reuniones deben ser programadas con la Dirección Ejecutiva y el Comité de
Auditoría, en su caso, para obtener sus solicitudes de auditoría y áreas de preocupación
que les gustaría considerar. Considere las fuentes informales de solicitudes de auditoría,
tales como, las preocupaciones señaladas en las conversaciones y correos electrónicos
de los miembros del personal, llamadas anónimas, y observaciones del auditor y
preocupaciones señalaron en otras auditorías. Realizar evaluaciones de riesgos en
todas las unidades auditables para determinar las prioridades, teniendo en cuenta las
peticiones de auditoría que se reciben. Cada año, las nuevas solicitudes de auditoría
pueden añadirse y una evaluación del riesgo realizada para priorizar e insertar nuevas
solicitudes en la lista continua.
Criterios de evaluación de Riesgo
Una evaluación formal de los riesgos debe ser desarrollado, que incluye diversos
criterios que se consideren importantes para la Organización. Los criterios pueden
incluir, aunque no se limitan a, lo siguiente:
Ingresos y Gastos.
Responsabilidades y requisitos Gubernamentales.
Responsabilidades y requisitos Legales.
Impacto público o exposición.
Impacto a la Organización.
Necesidades de gestión.
Fecha de la última auditoría.
17. 17
Control de los Sistemas de Negocio ● Unidad didáctica 3
La experiencia previa con el auditado.
Los factores de riesgo inherente (de alta actividad, de gran volumen, la
complejidad de las operaciones, el valor en dólares de los activos, etcétera).
Posibilidad de fraude (conducta impropia, sospecha de mal uso, uso indebido
de los activos, el flagrante desprecio por los procedimientos).
La fuerza de los controles internos.
Los problemas reportados en la última auditoría, la auditoría externa o
comentarios.
Las mejoras potenciales de eficiencia.
Nuevos programas, iniciativas o actividades.
Cambios en el personal clave.
Los nuevos sistemas de TI o cambios importantes en TI clave para los
sistemas de departamento.
Tiempo estimado de auditoría.
Examen de los controles Internos
Para lograr los objetivos de la agencia, la gerencia debe a veces colocar los activos en
riesgo. Es responsabilidad de la administración para decidir cuánto y cuál es el riesgo
que está dispuesto a aceptar para lograr los objetivos de la agencia. Gestión mitiga los
riesgos y asegura que los objetivos de gestión se cumplen a través de la utilización de
los controles internos.
Identificar y evaluar las amenazas ayuda a la gerencia reconoce las vulnerabilidades en
el sistema de control interno. Basándose en esta información, la gestión puede
proporcionar controles apropiados para mitigar el riesgo. El auditor interno debe
considerar estas áreas durante su reunión con la gerencia para determinar cuáles son
los programas y funciones representan el mayor riesgo para el organismo, por lo que
deberían recibir una cobertura de auditoría interna primero. Algunas amenazas comunes
incluyen los siguientes:
Gestión de anulación: se establecen los controles fácilmente de lado a opción
de la gerencia o el personal.
Opcionales o incompletos controles: controles que dicen "pueden" o las que
dan opciones sin una guía para la toma de decisiones sobre la forma de
18. 18
Escuela Profesional de Ingeniería de Sistemas e Informática
proceder no son eficaces. Debe hacerse una dirección clara en cuanto a la
elección.
Sustancia sobre la forma: controles parecen estar bien diseñado, pero son
ineficaces o se pierda su huella prevista.
Conflictos de Interés: causas de personal para colocar sus intereses por encima
de la de la organización.
El acceso a activos: tener acceso indebido o no autorizado de los activos puede
resultar en el robo, mal uso o abuso.
Inadecuada capacitación o información al personal: el personal no entiende la
razón o la necesidad de un control particular o el resultado deseado no podrá
ejecutar correctamente los pasos necesarios.
Debilidades del Control Interno
Otro componente clave de este proceso está ganando una comprensión de por qué
ocurren las deficiencias de control interno. La comprensión de estas debilidades ayuda
a monitorear la gestión de controles internos adecuados y eficaces. Auditoría Interna
debe considerar estos factores, y si las hubiere, ya que caminar a través del proceso de
evaluación de riesgos con la administración. Algunas razones comunes debilidades de
control interno ocurren pueden incluir los siguientes:
El proceso se vuelve rutina debido a familiaridad y pasos en el proceso de ser
pasado por alto.
La información relativa a una ley, norma o procedimiento no se comunicó a un
empleado.
Los empleados no están adecuadamente formadas o instruidas.
El personal conoce la importancia de un paso o proceso y su impacto en otra
área.
La confusión sobre quién es el responsable (cada área piensa erróneamente
que el otro está manejando el proceso).
La falta de tiempo.
La insuficiencia de recursos dedicados al proceso.
Los empleados, sin saberlo, pasan algo por alto.
El personal se siente cómodo con el proceso actual y son resistentes al
cambio.
19. 19
Control de los Sistemas de Negocio ● Unidad didáctica 3
Análisis de los recursos Internos de Auditoría
Para determinar el número de auditorías internas que se programe, un análisis de las
horas del personal disponible debe llevarse a cabo. El Director de Auditoría Interna debe
considerar lo siguiente en la determinación de las horas disponibles:
Total horas anuales.
Vacaciones.
Vacaciones anuales.
La licencia por enfermedad.
Capacitación.
Varios administrativos.
Otras consideraciones podrían incluir:
Licencia anual adicional para los empleados a largo plazo.
Retiros y Renuncias.
Tiempo para reemplazar a los empleados que se jubilan o renuncian.
Días de descanso.
El uso prolongado de la licencia (la familia y la licencia médica, licencia militar,
discapacidad y licencia por enfermedad).
Otros tipos de exámenes, consultoría y servicios distintos de la auditoría.
Desarrollo del Plan de Auditoría
Sobre la base de la evaluación basada en riesgos y el análisis de la disponibilidad de
personal, un plan de trabajo de auditoría debe ser desarrollado. Recuerde incluir
cualquier necesidad de la auditoría de seguimiento. Puede ser útil para desarrollar dos
tipos de planes de trabajo de auditoría. Un tipo le daría una narrativa que describe el
proyecto de auditoría. El segundo tipo sería una herramienta de programación para
asignar a los auditores a cada auditoría o revisión seleccionada con las estimaciones de
tiempo de auditoría a través de los doce meses. Otra consideración para programar las
auditorías es el horario de la entidad auditada que puede incluir los plazos o periodos
vacacionales. Estos factores, así como otros específicos de su Organización deben
tenerse en cuenta a la hora de programar.
20. 20
Escuela Profesional de Ingeniería de Sistemas e Informática
También puede ser útil para preparar un plan de auditoría de dos años con el fin de
ayudar con las auditorías y los recursos priorizando. Sin embargo, el segundo año del
Plan de Auditoría Interna se da siempre reconsideración en el momento de la
elaboración del plan del próximo año de dos años. Esto se debe a cambios en las
circunstancias y los riesgos que pueden ocurrir durante el período de un año desde que
el plan fue última desarrollada. Reuniones finales con el Director General de la
Organización y el Comité de Auditoría, en su caso debe ser programado para obtener
el consentimiento y la aprobación del Plan de Trabajo de Auditoría propuesto. Cualquier
preocupación de programación deberán comunicarse a esta misma hora.
Plan de Auditoría General
Objetivo y ámbito de aplicación
Este programa tiene los siguientes objetivos principales:
Comprender las operaciones de las organizaciones.
Conocer los procedimientos analíticos preliminares.
La identificación de factores de riesgo relevantes.
La identificación de los requisitos importantes de cumplimiento.
La documentación de la Evaluación de Control Interno.
Fases
A. Fase Estudio Preliminar (Planificación)
1. Enviar una carta de compromiso para los Stakeholders.
2. Celebrar una reunión de lluvia de ideas del equipo incluyendo TI y los
empleados de fraude cuando se habla de los problemas de TI y el fraude, el
despilfarro y el abuso.
3. Revise los informes de auditoría anteriores (internos y externos). Documentar
los resultados de esos informes para el seguimiento adecuado. Identificar
debilidades reportadas que no han sido corregidos.
21. 21
Control de los Sistemas de Negocio ● Unidad didáctica 3
4. Revise el material de fondo para familiarizarse con las actividades de la
organización. Ejemplos son:
Normas legislativas
Código Administrativo
Las políticas y los procedimientos del Estado
Las normas y reglamentos de la entidad
Manuales de la Entidad
Regulaciones Gubernamentales
Reglamento de Control de Tráfico
Los informes por homólogos internos o externos
Estándares de la industria
Industria mejores prácticas
Misión, visión y objetivos
5. Obtener organigrama actual.
6. Entrevistas, encuestas y reuniones cara a cara con el personal de la
organización. Discuta las actividades de la entidad, cualquier cambio en la
política y los procedimientos, la tasa de rotación de personal de los empleados
y el medio ambiente de control interno general (objetivos de rendimiento,
informes de seguimiento / excepción, problemas conocidos, etc.)
7. Pregunta gestión si son conscientes de cualquier fraude, desperdicio o abuso.
8. Obtener las políticas y procedimientos relacionados con las funciones
principales de la organización. Tenga en cuenta los cambios en las normas,
reglamentos o leyes desde la última auditoría.
9. Preparar y enviar encuestas o cuestionarios a los clientes de las entidades.
10. Obtener una comprensión de los procesos clave del negocio. Sistemas de
documentos a través de un mapa de procesos (diagrama de flujo) y/o narrativa.
Identificar los vacíos potenciales de control y/o debilidades, incluyendo el costo
de oportunidad de tener demasiados controles.
11. Documentar el análisis de los datos de las operaciones de las organizaciones,
incluyendo las siguientes:
Gestión y organización
Factores que afectan a la organización
Los factores internos que afectan a la organización
Las políticas y cuestiones de contabilidad
22. 22
Escuela Profesional de Ingeniería de Sistemas e Informática
Los sistemas de procesamiento electrónico de datos utilizados en el
desempeño de las funciones y actividades.
La alineación estratégica
El diseño de control
Los temas identificados
Las zonas de riesgo en general y definible
Riesgos de ambiente interno y fraude
Documentación revisada
La evaluación de la evaluación del diseño de control
Resumen de la evaluación de riesgos
Alcance y fuera de las áreas de alcance
12. Validar el objetivo original o modificar sus objetivos.
13. Presentar su ámbito de aplicación y recibir la aprobación para seguir adelante.
Coordinar con el abogado general, según el enfoque de auditoría y el potencial
para el litigio.
14. Desarrollar un paso del programa para cada área de su alcance que tiene los
requisitos de cumplimiento. Resumir los requisitos para las pruebas y la
evaluación de los controles sobre el cumplimiento.
15. Desarrollar procedimientos específicos de auditoría y planes de muestreo para
los objetivos de la auditoría.
16. Obtener el programa de trabajo aprobado.
17. Planificar y organizar una conferencia de entrada con los Propietarios del
Reporte y/o Stakeholders claves, según el caso.
B. Fase ejecución (trabajo de campo)
1. Pruebas de auditoría completas y redactan gestión comentarios, conclusiones
y observaciones identificadas durante la prueba. Los papeles de trabajo deben
incluir, como mínimo, un propósito, el origen, el alcance y la conclusión.
2. Celebrar reuniones de estado del equipo auditor semanales para confirmar el
estado del proyecto, los resultados y preparar las reuniones de estado
semanales con la gerencia entidad.
23. 23
Control de los Sistemas de Negocio ● Unidad didáctica 3
3. Proporcionar una comunicación continua (reuniones semanales del estado) con
la gestión de la entidad sobre los problemas identificados o mejores prácticas.
4. Trabajar con la entidad para discutir las recomendaciones y obtener planes de
acción de gestión para hacer frente a los riesgos identificados en las
conclusiones.
5. Revise el progreso del equipo en el punto medio de su trabajo de campo.
Asegurar la gestión de Auditoría está al tanto de los resultados y observaciones
posibles.
6. Preparar un proyecto de informe de auditoría, incluidos los resultados, las
respuestas de gestión, planes de acción y opinión trabajo de auditoría, según
el caso.
C. Fase Clausura (Reporte)
1. Celebrar una reunión con la Dirección de Auditoría Dictamen en recibir la
aprobación de los resultados, las respuestas de gestión, planes de acción y de
opinión trabajo de auditoría, según el caso.
2. Asegúrese de que todos los papeles de trabajo son revisados y aprobados.
3. Mantenga conferencia de salida con la entidad.
4. Después de que se aprueba el proyecto de informe, envíe el proyecto de
informe aprobado al Asesor General y el informe de auditoría propietarios y
Stakeholders, según corresponda.
5. Después de concurrencia y/o resolución de los comentarios devueltos, emitir
informe final de auditoría.
6. Completar informe final de auditoría.
7. Evaluaciones completas de rendimiento del equipo, en relación con la
ejecución del compromiso.
8. Planes de Acción Gestión Seguimientos y establecer el seguimiento de
compromisos para confirmar la recuperación de los riesgos.
9. Evaluación completa de calidad interno del trabajo de auditoría
24. 24
Escuela Profesional de Ingeniería de Sistemas e Informática
COBIT 5
COBIT 5 ofrece un marco integral que ayuda a las empresas a alcanzar sus objetivos
para el gobierno y la gestión de TI de la empresa. En pocas palabras, que ayuda a las
empresas a crear valor óptimo de las TI mediante el mantenimiento de un equilibrio entre
la obtención de beneficios y la optimización de los niveles de riesgo y el uso de recursos.
COBIT 5 le permite ser gobernada y administrada de manera integral para toda la
empresa, teniendo en el negocio completo de extremo a extremo y de TI áreas
funcionales de la responsabilidad, teniendo en cuenta los intereses relacionados con la
TI de las partes interesadas internas y externas. COBIT 5 es genérico y útil para las
empresas de todos los tamaños, ya sea comercial sin fines de lucro o en el sector,
público.
Principios de COBIT 5
COBIT 5 se basa en cinco principios fundamentales para la gobernanza y la gestión de
TI de la empresa:
Figura 3.1 Principios de COBIT 5
25. 25
Control de los Sistemas de Negocio ● Unidad didáctica 3
Principio 1 Satisfacer las Necesidades de las partes interesadas
La Empresas existen para crear valor a sus accionistas, manteniendo un equilibrio entre
la obtención de beneficios y la optimización del riesgo y el uso de los recursos. COBIT
5 ofrece todos los procesos requeridos y otros facilitadores para apoyar el valor del
negocio a través del uso de las TI. Debido a que cada empresa tiene diferentes objetivos,
una empresa puede personalizar COBIT 5 para satisfacer su propio contexto a través
de la cascada de metas, traducir las metas empresariales de alto nivel en manejables,
los objetivos específicos relacionados con la TI y la cartografía de éstos a los procesos
y prácticas específicas.
Principio 2: Cubrir la Empresa de extremo a extremo
COBIT 5 se integra la gobernanza de las empresas de TI en gobierno de la empresa:
Cubre todas las funciones y procesos dentro de la empresa; COBIT 5 no se
centra sólo en la “función de TI”, pero trata la información y las tecnologías
relacionadas como activos que deben ser tratados como cualquier otro activo
por todo el mundo en la empresa.
Se considera que todos los facilitadores de gobierno y de gestión relacionados
con las TI sean para toda la empresa y de extremo a extremo, es decir, inclusive
de todo y de todos (interna y externa) que es relevante para la gobernabilidad y
la gestión de la información empresarial y de TI relacionados.
Principio 3: Aplicar un solo Marco de Referencia Único Integrado
Hay muchas normas relacionadas con la TI y las mejores prácticas, cada una
proporciona a la dirección en un subconjunto de las actividades de TI. COBIT 5 se alinea
con otras normas y marcos pertinentes en un nivel alto, y por lo tanto puede servir como
marco general de la gobernanza y gestión de TI de la empresa.
Principio 4: Hacer posible un enfoque holístico
Eficiente y efectiva gobernanza y la gestión de la empresa de TI requieren un enfoque
integral, teniendo en cuenta varios componentes que interactúan. COBIT 5 define un
conjunto de facilitadores para apoyar la implementación de un sistema integral de la
gobernanza y la gestión de las TI corporativas. Facilitadores se definen ampliamente
como algo que puede ayudar a lograr los objetivos de la empresa. El marco COBIT 5
define siete categorías de facilitadores:
26. 26
Escuela Profesional de Ingeniería de Sistemas e Informática
Principios, políticas y marcos
Procesos
Estructuras organizativas
Cultura, Ética y Conducta
Información
Servicios, Infraestructura y Aplicaciones
Usuarios, Habilidades y Competencias
Principio 5: Separar el Gobierno de la Gestión
El marco COBIT 5 establece una clara distinción entre la gobernabilidad y la gestión.
Estas dos disciplinas abarcan diferentes tipos de actividades, requieren diferentes
estructuras organizacionales y sirven para diferentes propósitos. La distinción
fundamental entre la gobernabilidad y la gestión es:
Gobierno
El Gobierno asegura que las necesidades de las partes interesadas, las
condiciones y las opciones se evalúan para determinar equilibrada y
consensuada de objetivos que la empresa desea alcanzar; establecimiento de
prioridades de la dirección a través de la toma de decisiones; y monitorear el
desempeño y controla el cumplimiento de los objetivos acordados en dirección.
En la mayoría de las empresas, la gobernanza global es la responsabilidad del
consejo de administración bajo la dirección del presidente. Las
responsabilidades específicas de gobierno podrán delegar a las estructuras
organizativas especiales a un nivel adecuado, sobre todo en las empresas
grandes y complejas.
Gestión
Manejo de Planes, construcción, ejecución y control de las actividades en la
alineación con la dirección establecida por el órgano de gobierno para alcanzar
los objetivos de la empresa.
En la mayoría de las empresas, la gestión es responsabilidad de la dirección
ejecutiva, bajo la dirección del jefe de ejecutivo (CEO).
27. 27
Control de los Sistemas de Negocio ● Unidad didáctica 3
En conjunto, estos cinco principios permiten a la empresa para construir un marco de
gobernanza y una gestión eficaz que optimiza la información y la tecnología de la
inversión y el uso para el beneficio de las partes interesadas.
Principio 1: Satisfacer las Necesidades de las partes interesadas
Cada empresa opera en un contexto diferente; este contexto está determinado por
factores externos (el mercado, la industria, la geopolítica, etc.) y factores internos (la
cultura, la organización, el apetito de riesgo, etc.), y requiere de un sistema de gobierno
y de gestión personalizada. Necesidades de los stakeholder (partes interesadas) tienen
que transformarse en acciones concretas la estrategia de una empresa. Las metas en
cascada de COBIT 5 es el mecanismo para traducir los interesados necesidades en
metas específicas, acciones concretas y personalizadas de la empresa, los objetivos
relacionados con la TI y los objetivos habilitadores. Esta traducción permite el
establecimiento de objetivos específicos en cada nivel y en cada área de la empresa en
apoyo de los objetivos generales y los requisitos de los interesados, por que apoya de
manera efectiva la alineación entre las necesidades empresariales con las soluciones y
servicios de TI.
Figura 3.2 Necesidades de los Stakeholders
Las metas en cascada de COBIT 5 implican los siguientes pasos:
28. 28
Escuela Profesional de Ingeniería de Sistemas e Informática
Paso 1. Los conductores interesados influenciarán las necesidades de las partes
interesadas.
Las necesidades de las partes interesadas se ven influidas por una serie de
conductores, por ejemplo, cambios de estrategia, un entorno empresarial y regulatorio
cambiante, y las nuevas tecnologías.
Paso 2. Necesidades en Cascada de los Stakeholder a Objetivos empresariales
Necesidades de las partes interesadas pueden estar relacionadas con una serie de
objetivos empresariales genéricos. Estos objetivos de la empresa se han desarrollado
utilizando las dimensiones de Balanced Scorecard (BSC), y representan una lista de
objetivos de uso común que una empresa puede definir por sí mismo. Aunque esta
lista no es exhaustiva, la mayoría de los objetivos específicos de la empresa se
pueden asignar fácilmente en uno o varios de los objetivos genéricos de la empresa.
Una tabla de las necesidades de las partes interesadas y los objetivos de la empresa
se define en 17 objetivos genéricos, que incluye la siguiente información:
La dimensión BSC en las que el objetivo de la empresa encaja
Objetivos de la empresa
La relación con los tres principales objetivos de gobierno-prestaciones de
realización de riesgos optimización y optimización de recursos. ('p' representa la
relación primaria y 's' para la relación secundaria, es decir, una relación menos
fuerte.)
Paso 3. Objetivos de la empresa en cascada a metas relacionadas con TI
El logro de las metas de la empresa requiere de una serie de resultados relacionados
con la TI, que están representados por los objetivos relacionados con TI. Objetivos
relacionados de TI para la información y la tecnología, y los objetivos relacionados con
la TI se estructuran a lo largo de las dimensiones del cuadro de mando integral de TI
(BSC TI). COBIT 5 define 17 objetivos relacionados con TI. La tabla de asignación entre
los objetivos relacionados con TI y los objetivos de la empresa muestran cómo cada
objetivo de la empresa se apoya en una serie de objetivos relacionados con la TI.
29. 29
Control de los Sistemas de Negocio ● Unidad didáctica 3
Paso 4. Cascada de Objetivos Relacionados con TI a Objetivos facilitadores
El logro de los objetivos relacionados con TI requiere de la aplicación exitosa y el uso
de una serie de facilitadores. El concepto de facilitador incluye los procesos, las
estructuras organizativas y de información, y para cada facilitador un conjunto de
objetivos específicos pertinentes que se pueden definir en apoyo de los objetivos
relacionados con TI. Los procesos son uno de los facilitadores, que contienen una
correspondencia entre los objetivos relacionados con la TI y los correspondientes
procesos de COBIT 5.
Beneficios de los metas en cascada de COBIT 5
La cascada de objetivos es importante, ya que permite la definición de las prioridades
para la implementación, mejora y aseguramiento de la gobernanza de las empresas de
TI basada en objetivos (estratégicos) de la empresa y el riesgo relacionado. En la
práctica, los objetivos cascada:
Define las metas y los objetivos relevantes y tangibles de varios niveles de
responsabilidad.
Filtros de la base de conocimiento de COBIT 5, basado en los objetivos de la
empresa, extraen la orientación relevante para inclusión en la ejecución, mejora
o la garantía de proyectos específicos.
Identifica claramente y comunica cómo los facilitadores (a veces muy operativos)
son importantes para lograr objetivos de la empresa.
Usando cuidadosamente los objetivos cascada de COBIT 5
Los objetivos en cascada con sus tablas de asignación entre los objetivos de la empresa
y los objetivos relacionados con la TI y entre los objetivos relacionados con la TI y COBIT
5 facilitadores (incluyendo procesos) no contiene la verdad universal, y los usuarios no
deben tratar de usarlo en una manera puramente mecanicista, sino más bien como una
guía. Hay varias razones para esto, incluyendo:
La empresa tiene prioridades diferentes en sus objetivos y las prioridades
pueden cambiar con el tiempo.
30. 30
Escuela Profesional de Ingeniería de Sistemas e Informática
Las tablas de asignación no distinguen entre tamaño y/o industria de la empresa.
Representan una especie de denominador común de cómo, en general, los
diferentes niveles de objetivos están interrelacionados.
Los indicadores utilizados en el uso mapeo de dos niveles de importancia o
relevancia sugiere que hay niveles "discretos" de relevancia, mientras en la
realidad, la asignación será de cerca un continuo de diversos grados de
correspondencia.
Usando el COBIT 5 Objetivos de la cascada en la Práctica
De la nota anterior, es evidente que el primer paso de una empresa siempre debe
aplicarse cuando utiliza la cascada objetivos es personalizar la asignación, teniendo en
cuenta su situación específica. En otras palabras, cada empresa debe construir sus
propias metas en cascada, compararlo con COBIT y luego refinarlo.
Principio 2: Cubrir la Empresa de extremo a extremo
COBIT 5 se aborda la gobernanza y la gestión de la información y la tecnología
relacionada de una para toda la empresa, de extremo a extremo perspectiva. Esto
significa que COBIT 5:
Integra de gobierno empresarial de TI dentro de la gobernanza de la empresa.
Que el sistema de gobierno para la empresa, propuesto por COBIT 5 se integre
perfectamente en cualquier sistema de gobierno. COBIT 5 se alinea con los
últimos puntos de vista sobre la gobernanza.
Cubre todas las funciones y procesos necesarios para gobernar y administrar
información de la empresa y las tecnologías relacionadas donde quiera que la
información puede ser procesada. Dado este ámbito extendido de objetivos
empresariales, COBIT 5 direcciona todos los servicios pertinentes internos y
externos, así como los procesos de negocios externos e internos.
COBIT 5 ofrece una visión holística y sistémica sobre la gobernanza y la gestión de TI
de la empresa (véase el principio 4), sobre la base en un número de agentes. Los
facilitadores son para toda la empresa y de extremo a extremo e Inclusive de todo y
31. 31
Control de los Sistemas de Negocio ● Unidad didáctica 3
todos internos y externos que son relevantes para la gobernanza y gestión de
información empresarial y afines, incluidas las actividades y responsabilidades tanto de
las funciones y no funciones del negocio. La información es una de las categorías
facilitadoras de COBIT. El modelo por el cual COBIT 5 define facilitadores que permiten
a todos los interesados definir extensa y completa los requisitos para la información y el
tratamiento del ciclo de vida de la información así como la conexión de la empresa y su
necesidad de información adecuada y la función y el apoyo a la empresa y el foco de
contexto.
Figura 3.3 Objetivos de Gobierno
El enfoque de gobierno de extremo a extremo que está en el fundamento de COBIT 5.
Muestra los componentes principales de un sistema de gobierno. Además del objetivo
de la gobernanza, los otros elementos principales del enfoque de gobernanza incluyen
facilitadores; ámbito de aplicación; y roles, actividades y relaciones.
Facilitadores de Gobierno
Facilitadores de Gobierno son los recursos de la organización para la gobernanza, como
marcos, principios, estructuras, procesos y prácticas, a través o hacia los cuales se
dirige la acción y los objetivos pueden alcanzarse. Facilitadores también incluyen
recursos-por ejemplo, de la empresa, la capacidad de servicio (infraestructura de TI,
aplicaciones, etc.), personas e información. La falta de recursos o habilitadores puede
afectar a la capacidad de la empresa para crear valor. Dada la importancia de los
32. 32
Escuela Profesional de Ingeniería de Sistemas e Informática
facilitadores de gobierno, COBIT 5 incluye una única forma de ver y hacer frente a los
facilitadores.
Ámbito de Gobierno
Gobernanza se puede aplicar a toda la empresa, una entidad, un activo tangible o
intangible, etc. Es decir, es posible definir diferentes puntos de vista de la empresa a la
que el gobierno se aplica, y es esencial para definir este ámbito de la gobernanza
sistema bien. El ámbito de aplicación de COBIT 5 es la empresa, pero en esencia COBIT
5 se puede hacer frente a cualquiera de los puntos de vista diferentes.
Las funciones, las actividades y relaciones
Un último elemento de gobernanza son las funciones, actividades y relaciones. Define
quién está involucrado en la gestión pública, la forma en que están involucrados, lo que
hacen y cómo interactúan, dentro del alcance de cualquier sistema de gobierno. En
COBIT 5, diferenciación clara entre las actividades de gobierno y de gestión en los
ámbitos de gobierno y gestión, así como la interconexión entre ellos y los jugadores de
rol que están involucrados.
Principio 3: Aplicar un solo Marco de Referencia Único Integrado
COBIT 5 es un marco único e integrado, porque:
Se alinea con otras normas y marcos pertinentes más recientes y por lo tanto
permite a la empresa a usar COBIT 5 como la gobernabilidad global y el marco
de gestión integrador.
Es completa en la cobertura de la empresa proporcionando una base para
integrar efectivamente otros marcos de las normas y métodos utilizados. Un
único marco global sirve como una fuente consistente e integrada de orientación
en un lenguaje común independiente de la tecnología no técnica.
Proporciona una arquitectura simple para estructurar materiales de orientación y
producir un consistente conjunto de productos.
33. 33
Control de los Sistemas de Negocio ● Unidad didáctica 3
El marco COBIT 5 ofrece a los grupos de interés las más completas y de orientación
sobre la gobernanza y la gestión de las empresas de TI a través de:
Investigación y el uso de un conjunto de fuentes que han conducido el desarrollo
de nuevos contenidos incluidos.
- Reunir a la guía de ISACA existente (COBIT 4.1, Val IT 2.0, Risk IT, BMIS)
en este marco único
- Como complemento de este contenido con las áreas que requieren mayor
elaboración y actualizaciones
- Alinear a otros estándares y marcos pertinentes, tales como ITIL, TOGAF y
las normas ISO.
Definición de un conjunto de facilitadores de gobierno y gestión que proporcionan
una estructura para todos los materiales de orientación
Llenar una base de conocimientos de COBIT 5 que contiene todo de orientación
y contenido produce ahora y proporcionará una estructura para el contenido
adicional en el futuro
Proporcionar un sonido y la base de referencia integral de buenas prácticas
Principio 4: Hacer posible un enfoque holístico
Los facilitadores son factores que, individual y colectivamente, influyen en que algo va
a funcionar, en este caso, la gobernanza y la gestión a través de las TI corporativas.
Facilitadores son impulsados por la cascada de los objetivos, es decir, los objetivos de
nivel superior relacionados con TI definen los diferentes facilitadores que se deben
lograr. El marco COBIT 5 describe siete categorías de facilitadores:
Principios, políticas y marcos son el vehículo para traducir el comportamiento
deseado en una guía práctica para la gestión del día a día.
Procesos describe un conjunto organizado de prácticas y actividades para
alcanzar ciertos objetivos y producir un conjunto de salidas en apoyo del logro
de los objetivos generales relacionados con la TI.
Estructura Organizacional son las instancias de toma de decisiones clave en
una empresa.
34. 34
Escuela Profesional de Ingeniería de Sistemas e Informática
Cultura, ética y hábitos de las personas de la empresa son muy a menudo
subestimados como factor de éxito en las actividades de gobierno y gestión.
Información es preservada a través de cualquier organización, e incluye toda la
información producida y utilizada por la empresa. La información se requiere
para mantener la organización funcionando y bien gobernado, pero a nivel
operativa, la información es muy a menudo el producto clave de la propia
empresa.
Servicios, infraestructuras y aplicaciones incluye la infraestructura, la
tecnología y aplicaciones que proporcionan a la empresa con el procesamiento
y servicios de tecnología de la información.
Las personas, las habilidades y competencias están vinculadas a las
personas y son necesarios para la finalización con éxito de todas las actividades
y de tomar las decisiones correctas y tomar las medidas correctivas.
Figura 3.4 Facilitadores corporativos de COBIT 5
Algunos de los facilitadores definidos anteriormente también son recursos de la
empresa que deben ser gestionados y regulados también. Esto se aplica a:
La información que debe ser gestionado como un recurso. Alguna información
como informes de gestión e información de inteligencia de negocios, son
habilitadores importantes para el gobierno y la gestión de la empresa.
Infraestructura y aplicaciones de servicio
Personas, habilidades y competencias
35. 35
Control de los Sistemas de Negocio ● Unidad didáctica 3
Gobernanza sistémica y gestión a través Facilitadores Interconectados
Figura 12 también transmite la mentalidad que debe adoptarse para la gobernanza de
la empresa, incluido el gobierno de las TI, que es lograr los principales objetivos de la
empresa. Cualquier empresa siempre debe tener en cuenta un conjunto interconectado
de facilitadores. Es decir, cada facilitador:
Necesidades de la entrada de otros facilitadores para ser completamente
efectiva, por ejemplo los procesos necesitan información estructuras
organizativas necesitan aptitudes y comportamientos.
Entrega de salida para el beneficio de otros agentes, por ejemplo los procesos
de entregar las habilidades de información y comportamiento hacen procesos
eficientes.
Así que cuando se trata de la gobernanza y la gestión de las TI de la empresa, las
buenas decisiones sólo pueden adoptarse cuando se toma esta naturaleza sistémica de
las disposiciones de gobernanza y de gestión en cuenta. Esto significa que para hacer
frente a cualquier necesidad de los interesados, todos los facilitadores interrelacionadas
tienen que ser analizadas para determinar su relevancia y abordar si es necesario. Esta
mentalidad tiene que ser conducido por la parte superior de la empresa
Dimensiones de los facilitadores de COBIT 5
Todos los facilitadores tienen un conjunto de dimensiones comunes. Este conjunto de
dimensiones comunes (figura 4.5):
Proporciona una manera simple y estructurada común para hacer frente a los
agentes
Permite a una entidad para gestionar sus complejas interacciones
Facilita resultados exitosos de los facilitadores
36. 36
Escuela Profesional de Ingeniería de Sistemas e Informática
Figura 4.5 Dimensiones de los facilitadores
Dimensiones de los Facilitadores
Las cuatro dimensiones comunes para facilitadores son:
Stakeholders: cada facilitador tiene interesados directos (partes que juegan un
papel activo y/o que tienen un interés en el facilitador). Por ejemplo, los procesos
tienen diferentes partes que ejecutar las actividades del proceso y/o que tienen
un interés en el proceso de resultados; estructuras organizativas tienen las
partes interesadas, cada una con su / sus propios roles e intereses, que son
parte de la estructuras. Las partes interesadas pueden ser internas o externas a
la empresa, todos ellos con su propio, a veces en conflicto, intereses y
necesidades. Necesidades de los interesados se traducen en objetivos de la
empresa, que a su vez se traducen en objetivos relacionados con la TI para la
empresa.
Objetivos: Cada capacitador tiene una serie de metas, y facilitadores
proporcionan valor mediante el logro de estos objetivos. Objetivos pueden
definirse en términos de:
- Resultados esperados del facilitador
- Aplicación o funcionamiento del propio facilitador
37. 37
Control de los Sistemas de Negocio ● Unidad didáctica 3
Los objetivos de habilitadores son el paso final en el COBIT 5 goles en
cascada. Los objetivos pueden dividirse aún más en las diferentes categorías:
- La calidad intrínseca: medida en que los facilitadores trabajan con precisión,
de manera objetiva y proporcionar información precisa, objetiva y resultados
de buena reputación
- La calidad contextual: medida en que los facilitadores y sus resultados son
aptos para el propósito dado el contexto en el que operan. Por ejemplo, los
resultados deben ser pertinentes, completa, actualizada, adecuada,
coherente, comprensible y fácil de usar.
- El acceso y la seguridad: medida en que los facilitadores y sus resultados
sean accesibles y se fija, por ejemplo:
Habilitadores están disponibles cuando, y si, sea necesario.
Los resultados están garantizados, es decir, el acceso está restringido a
los que tienen derecho y que lo necesitan.
Ciclo de vida: Cada capacitador tiene un ciclo de vida, desde su concepción a
través de una vida útil/útil hasta su eliminación. Esto se aplica a la información,
estructuras, procesos, políticas, etc. Las fases del ciclo de vida consisten en:
- Plan de (incluye el desarrollo de conceptos y la selección de conceptos)
- Diseño
- Construir/adquisición/crear/ejecutar
- Usar/operar
- Evaluar/monitor de
- Actualizar/eliminar
Buenas prácticas: para cada uno de los facilitadores, se pueden definir las
buenas prácticas. Buenas prácticas apoyan el logro de los objetivos facilitadores.
Buenas prácticas ofrecen ejemplos o sugerencias sobre la mejor manera de
poner en práctica el facilitador, y lo que se requieren productos de trabajo o las
entradas y salidas. COBIT 5 ofrece ejemplos de buenas prácticas para algunos
habilitadores proporcionados por COBIT 5 (por ejemplo,
38. 38
Escuela Profesional de Ingeniería de Sistemas e Informática
procesos). Por otro apoyo, la orientación de otras normas, marcos, etc., se
puede utilizar.
Performance de la gestión de facilitadores
Las empresas esperan que los resultados positivos de la aplicación y el uso de
facilitadores. Para gestionar el rendimiento de los facilitadores, las siguientes preguntas
tendrán que ser monitoreados y con ello posteriormente respondida basada en métricas
de forma regular:
Están direccionadas las necesidades de los interesados
Se facilitan alcanzan las metas
Se gestiona el facilitador ciclo de vida
Se aplican buenas prácticas
Los dos primeros puntos se refieren con el resultado real del facilitador. Las métricas
utilizadas para medir hasta qué punto se han alcanzado los objetivos pueden ser
llamados “indicadores de retraso”. Los dos últimos puntos se ocupan del funcionamiento
real del propio facilitador, y las métricas para esto pueden ser llamados "indicadores
líderes".
Principio 5: Separar el Gobierno de la Gestión
El marco COBIT 5 establece una clara distinción entre la gobernabilidad y la gestión.
Estas dos disciplinas abarcan diferentes tipos de actividades, requieren diferentes
estructuras organizacionales y sirven para diferentes propósitos. La distinción
fundamental entre la gobernabilidad y la gestión es:
Gobierno
El Gobierno asegura que las necesidades de las partes interesadas, las
condiciones y las opciones se evalúan para determinar equilibrada y
consensuada de objetivos que la empresa desea alcanzar; establecimiento de
prioridades de la dirección a través de la toma de decisiones; y monitorear el
desempeño y controla el cumplimiento de los objetivos acordados en dirección.
39. 39
Control de los Sistemas de Negocio ● Unidad didáctica 3
En la mayoría de las empresas, la gobernabilidad es la responsabilidad del
consejo de administración bajo la dirección del presidente.
Gestión
Manejo de Planes, construcción, ejecución y control de las actividades en la
alineación con la dirección establecida por el órgano de gobierno para alcanzar
los objetivos de la empresa.
En la mayoría de las empresas, la gestión es responsabilidad de la dirección
ejecutiva, bajo la dirección del jefe ejecutivo (CEO).
Interacciones entre Gobierno y Gestión
De las definiciones de gobierno y gestión, es evidente que comprenden diferentes tipos
de actividades, con diferentes responsabilidades; Sin embargo, dado el papel de la
gobernanza (para evaluar, dirigir y controlar) se requiere un conjunto de interacciones
entre el gobierno y la gestión para dar lugar a un sistema de gobernanza eficaz y
eficiente.
Proceso de Modelo de Referencia de COBIT 5
COBIT 5 no es prescriptiva, sino que aboga por que las empresas a implementar
procesos de gobierno y de gestión de forma que las áreas clave están cubiertos, como
se muestra en la figura 4.6.
Figura 4.6 Áreas claves de gobierno y gestión
40. 40
Escuela Profesional de Ingeniería de Sistemas e Informática
Una empresa puede organizar sus procesos como lo estime conveniente, siempre y
cuando todos los objetivos de gobierno y de gestión necesarios están cubiertos. Las
empresas más pequeñas pueden tener un menor número de procesos; empresas
grandes y complejos y más pueden tener muchos procesos, todo para cubrir los mismos
objetivos.
COBIT 5 incluye un modelo de referencia de proceso, que define y describe en detalle
una serie de procesos de gobierno y gestión. Representa todos los procesos que
normalmente se encuentran en una empresa en relación con las actividades de TI,
proporcionando un modelo de referencia común entendible para operaciones de TI y
administradores de empresas. El modelo de proceso que se propone es un modelo
integral, completo, pero no es el único modelo posible proceso. Cada empresa debe
definir su propio proceso de establecido, teniendo en cuenta su situación específica. La
incorporación de un modelo operativo y un lenguaje común para todas las partes de la
empresa que participan en las actividades de TI es uno de los pasos más importantes y
críticos hacia el buen gobierno. También proporciona un marco para medir y monitorear
el desempeño de TI, proporcionar seguridad TI, la comunicación con los proveedores
de servicios, y la integración de las mejores prácticas de gestión. El modelo de referencia
de proceso COBIT 5 divide los procesos de gobierno y de gestión de TI de la empresa
en dos dominios principales del proceso:
Gobernanza: contiene cinco procesos de gobernanza; dentro de cada proceso,
evaluar, dirigir y supervisar (EDM) 5 se definen prácticas.
Gestión: contiene cuatro dominios, de acuerdo con las áreas de responsabilidad
de planear, construir, ejecutar y monitorear (PBRM), y proporciona una cobertura
de extremo a extremo de las TI. Estos dominios son una evolución del dominio y
proceso de estructura de COBIT4.1. Los nombres de los dominios se eligen de
acuerdo con estas principales designaciones de áreas, pero contienen más
verbos para describirlas:
- Alinear, Planificar y Organizar (APO)
- Construir, Adquirir e Implementar (BAI)
- Entregar, Servicio y Apoyo (DSS)
- Monitorear, evaluar y valorar (MEA)
41. 41
Control de los Sistemas de Negocio ● Unidad didáctica 3
Figura 4.5 Procesos de Gobierno y Gestión de COBIT 5
42. 42
Escuela Profesional de Ingeniería de Sistemas e Informática
PIATTINI VELTHUIS, MARIO PESO NAVARRO y otros. Auditoría de Tecnologías y
Sistemas de Información RA-MA, Madrid 2008. 732 Págs.
PIATTINI M., Hervada F. Gobierno de las Tecnologías y los Sistemas de Información
2007. Rústica, 489 pp.
CASCARINO, RICHARD Auditor's. Guide to Information Systems Auditing. John Wiley
& Sons Inc. USA. 2007
JACK CHAMPLAIN. Practical IT Auditing – with CD-ROM. 2008
PIATTINI, MARIO Y EMILIO DEL PESO. Auditoria Informática – Un enfoque práctico.
2.ª Edición ampliada - 1998, 680 páginas.
GUSTAVO ADOLFO SOLÍS MONTES, CISA. Reingeniería de la Auditoría Informática.
Editorial Trillas 2002, México, 304 páginas.
Fuentes de información
43. 43
Control de los Sistemas de Negocio ● Unidad didáctica 3
El presente trabajo debe presentarse hasta máximo el día domingo de la 12va semana
de clases.
La cantidad de integrante por Grupos es indicado por el Docente.
No hay cantidad máxima o mínima de hojas o tiempo de duración en caso realice un
video.
Responde las siguientes preguntas.
1.- Lea el caso que se encuentra en la siguiente hoja y elabore lo siguiente:
Plan de Auditoria General, que se encuentra en la unidad.
2.- Buscar un caso éxito de implementación con los Principios de COBIT 5, realice un resumen
ejecutivo y establezcan las conclusiones y recomendaciones.
Responda las preguntas y de un ejemplo real en cada caso.
3.- ¿Cuáles son los tipos de auditoría?
4.- ¿Cuáles son los objetivos principales de un Plan de Auditoría General?
Presentación de Trabajo Nº 3
44. 44
Escuela Profesional de Ingeniería de Sistemas e Informática
La empresa RESULTSYS Consultora Profesional Cía Ltda. es una empresa privada que
ofrece servicios de tercerización de la gestión financiera contable en las áreas de
Contabilidad, Nómina, Administración de Inventarios, Tesorería, Facturación,
Cobranzas, Administración de Activos Fijos, Tasaciones y Valoraciones. RESULTSYS
Consultora Profesional Cía Ltda., constituida en 1978, tiene por objeto la prestación de
servicios de asesoramiento y consultoría administrativa y empresarial para instituciones
y empresas públicas, semipúblicas, mixtas y privadas. RESULTSYS es una empresa
que se ha comprometido a realizar cambios de alto impacto para crear y mantener
ventajas competitivas, tomando en cuenta que el entorno actual y futuro de la industria
ecuatoriana está direccionado por los factores: competencia, globalización, políticas de
cambio, rentabilidad del crecimiento y servicio al cliente. Es necesario entonces
determinar con claridad su estructura, para tener los elementos necesarios que permitan
identificar el alcance de la auditoría de sistemas. La estructura orgánica funcional de
RESULTSYS se puede observar en la siguiente figura:
Caso de estudio del curso
45. 45
Control de los Sistemas de Negocio ● Unidad didáctica 4
RESULTSYS tiene tres departamentos para los servicios de tercerización que ofrece,
estos son: Nómina, Contabilidad y Activos Fijos e Inventarios. Los departamentos de
apoyo a la gestión de servicio son: los departamentos Administrativo Financiero,
Soluciones de Tecnología (Informática), y Recursos Humanos, Secretaría General,
Marketing y Asesoría Legal. Los servicios de tercerización que RESULTSYS ofrece son:
CONTABILIDAD. Elaboración de estados financieros bajo normas locales, US
GAAP, declaraciones tributarias, indicadores de gestión.
TESORERÍA, FACTURACIÓN, COBRANZAS. Gestión de cobranzas, pagos,
control de cuentas bancarias, análisis financiero, etc.
NÓMINA. Manejo integral de la nómina del personal, declaración de impuestos,
cumplimiento de obligaciones sociales, indicadores de gestión.
ADMINISTRACIÓN DE INVENTARIOS. Método de valuación, implantación de
nuevos sistemas, planificación y control de inventarios.
ADMINISTRACIÓN DE ACTIVOS FIJOS. Inventarios y conciliación, métodos de
valuación, depreciaciones, implantación de base de datos, manual de
procedimientos.
DESCRIPCIÓN DE FUNCIONES DEL NIVEL DIRECTIVO
Se considera importante hacer una descripción general de las funciones de quienes
trabajan en la empresa especialmente en el nivel ejecutivo de los departamentos con
incidencia relevante en el desarrollo de la auditoría de sistemas.
GERENTE GENERAL
Ejecutar las políticas, normas y procedimientos de la empresa.
Dirigir la marcha institucional, coordina y evalúa las actividades técnicas y
administrativas de RESULTSYS.
Cumplir y hacer cumplir los reglamentos, estatutos y demás normas vigentes
de la empresa.
Analizar y aprobar los estados financieros de la empresa.
Aplicar reglamentos, manuales, procedimientos técnicos y administrativo-
financieros de la empresa.
46. 46
Escuela Profesional de Ingeniería de Sistemas e Informática
Coordinar la ejecución de los programas y/o proyectos, y evaluar su
cumplimiento.
Determinar políticas sobre el desarrollo de la Empresa y la administración de
sus recursos.
Dirigir la planificación estratégica, técnica, económica, financiera y
administrativa de RESULTSYS.
Implementar políticas para el mejoramiento funcional de la empresa.
GERENTE DE OUTSOURCING
Vigilar el cumplimiento de los contratos.
Autoriza y fijar los precios de los proyectos.
Revisar y entregar los proyectos
Preparar y actualizar el presupuesto de los proyectos.
Cumplir y hace cumplir las políticas establecidas por la empresa y demás
actividades que le asigne el jefe inmediato superior.
Reportar sus actividades al gerente general y su principal objetivo es dirigir,
controlar, capacitar, y planificar para que la empresa obtenga los máximos
resultados.
GERENTE ADMINISTRATIVO FINANCIERO
Ejecutar la dirección y control de la administración financiera de la empresa.
Dirigir la formulación del presupuesto de gasto y participar en el control de su
aplicación posterior.
Colaborar y supervisar la preparación de reportes financieros de verificación de
resultados reales y presupuestados.
Colaborar y supervisar la preparación de reportes financieros de verificación de
resultados reales y presupuestados.
Mantener constante correspondencia y comunicación con bancos
Organizar, planificar y controlar el flujo de fondos
Revisar y aprobar la emisión anual de balances, en cumplimiento con los
requerimientos y regulaciones legales vigentes.
Elaborar reportes financieros locales y al exterior.
47. 47
Control de los Sistemas de Negocio ● Unidad didáctica 4
ESTRUCTURA ORGANIZACIONAL DEL AREA DE SISTEMAS
RESULTSYS cuenta con un departamento de sistemas, que forma parte de los equipos
de Administración de Redes, Administración de Bases de Datos, Soporte al usuario final
y Mantenimiento de equipo electrónico, cuyo principal objetivo es asesorar y asistir
técnicamente en lo correspondiente al campo tecnológico informático, y tiene asociados
de negocios para áreas como las de desarrollo y renta de equipos de computación.
ORGANIGRAMA ESTRUCTURAL GENERAL
GERENCIA DE SOLUCIONES TECNOLÓGICAS
El departamento de sistemas se le denomina GTS (Global Technology Solutions), brinda
soporte a oficinas ubicadas en las ciudades de Quito y Guayaquil, actualmente está
estructurado de la siguiente manera:
CARACTERÍSTICASDE LOS SISTEMAS Y AMBIENTE COMPUTARIZADO
RESULTSYS tiene dos oficinas una en la ciudad de Quito y otra en la ciudad de
Guayaquil. En los dos casos son edificios de hormigón, relativamente nuevos, con
instalaciones eléctricas adecuadas, disponen de generadores de energía, disponen de
salas de servidores con aire acondicionado.
En el edificio en Quito se dispone de un UPS que abarca el 30% de los equipos de
computación entre ellos la sala deservidores, central telefónica y equipos activos
(Switchs, hubs, routers, etcétera) que es administrado para todo el edificio en forma
centralizada por el arrendatario. También se dispone de guardias de seguridad que
controlan el acceso edificio, y los empleados disponen de tarjetas magnéticas para
ingreso a las oficinas. Se dispone de extintores en las oficinas como en la sala de
servidores.
48. 48
Escuela Profesional de Ingeniería de Sistemas e Informática
En el edificio en Guayaquil se dispone de un UPS de uso exclusivo para la sala de
servidores, central telefónica y equipos activos (Switchs, hubs routers, etcétera) que es
administrado por RESULTSYS. El cableado estructurado es categoría 5e marca IBM y
disponen de certificaciones de cada una de las oficinas por parte de IBM como
fabricante. Se dispone de varios extintores en las oficinas y especialmente en la sala de
servidores y áreas como la central telefónica.
RESULTSYS cuenta con un contrato para servicios de VPN para permitir el acceso
remoto de los usuarios en cualquier ciudad del mundo.
Estructura de hardware: RESULTSYS Consultora Profesional Cía. Ltda. Posee:
SERVIDOR DE BASE DE DATOS
CARACTERÍSTICAS:
• (Proceso individual de la información contable de las empresas a las cuales
se presta
• servicio).
• 2 procesadores PentiumIII 700 Mhz c/u
• Memoria RAM: 384 MB
• Número de usuarios: 30 (Quito y Guayaquil)
• Sistema operativo: Windows NT 4.0
• Espacio total en disco duro: 45 GB
• Ubicación: oficina Quito
SERVIDORES DE ARCHIVOS.
CARACTERÍSTICAS:
• 1 procesador PentiumIII 500 Mhz
• Memoria RAM: 256 MB
• Sistema operativo: Netware 5.1
• Espacio total en disco duro: 27 GB
• Número de usuarios: 35 (Quito y Guayaquil)
• Ubicación: uno en la oficina de Quito y otro en la oficina de Guayaquil.
49. 49
Control de los Sistemas de Negocio ● Unidad didáctica 4
SERVIDOR DE CORREO ELECTRÓNICO
CARACTERÍSTICAS:
• 2 procesadores Xeon PentiumIII 850 Mhz
• Memoria RAM: 384 MB
• Sistema operativo: Windows NT 4.0
• Espacio total en disco duro: 91 GB
• Número de usuarios: 30 (Quito y Guayaquil)
• Ubicación: oficina Quito y otro en la oficina de Guayaquil de características
menores.
OTROS SERVIDORES
CARACTERÍSTICAS:
• Para servicios de DHCP/DNS, ArcsServer (software para backup), para
manejo de colas de impresión
• Procesadores PentiumII y III 250 Mhz
• Memoria RAM: 256 MB
• Sistema operativo: Windows NT 4.0
• Espacio total en disco duro: 27 GB
• Ubicación: Oficinas de Quito y Guayaquil
ESTACIONESDE TRABAJO
COMPAQ e IBM
• Tipo: notebooks y desktops
• Memoria RAM: Mínima: 64MB
• Procesador Mínimo: PentiumIII 700 Mhz
• Tiene una red UTP de categoría 5e con Hubs y Switch a 10 y 100Mbps
Estructura de Comunicaciones: en lo que respecta a comunicaciones se tiene
habilitado el acceso remoto tipo dial-up, y líneas de comunicación dedicadas entre las
oficinas de Quito y Guayaquil, la autenticación remota es a través de un Usernamey
Passwords únicos para cada persona.
50. 50
Escuela Profesional de Ingeniería de Sistemas e Informática
Estructura de Software: RESULTSYS cuenta con el siguiente software.
• SISTEMA OPERATIVO EN LAS ESTACIONES:
• Windows XP, Windows2000, Windows 95 (idioma: inglés)
• SOFTWARE UTILITARIO
Entre los principales utilitarios utilizados en RESULTSYS Consultora Profesional Cía.
Ltda. Podemos mencionar:
• Lotus Notes para correo electrónico y con base de datos de uso general y
especializado.
• Microsoft Office 97 Profesional
• Microsoft Project 98
• Adobe Acrobat
• WinZip
• Antivirus la empresa cuenta con MacAfee.
• Visio
• Todo el software se encuentra debidamente licenciado.
Software de aplicación: la aplicación utilizada por RESULTSYS Consultora Profesional
Cia. Ltda. para el procesamiento de la información contable de los clientes es un ERP
(Enterprise Resource Planning) de mediano rango denominado “Gestor”, sistema cuya
base de datos es Oracle y su front-end está desarrollado en Developer y tras
herramienta de Oracle.
• Gestor posee los módulos de Contabilidad, Nómina, Caja/Bancos, Cuentas
por Cobrar, Cuentas por Pagar, Tesorería, Activos Fijos, Facturación e
Inventarios.
• Platinum for Windows, con los módulos de: Contabilidad, Cuentas por cobrar
y Pagar,
• Libro Bancos entre otros. En base de datos PSQL (Pervasive SQL), que es
el software utilizado para la gestión administrativa interna.
• WIP, software propietario para control de Proyectos.