La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

Fernando Izquierdo Duarte

Publicada porAbella Luy Modificado hace 9 años

Presentaciones similares

Presentación del tema: "Fernando Izquierdo Duarte"— Transcripción de la presentación:

1 Fernando Izquierdo Duarte
Estándar de Controles y Auditoría de Tecnología Informática Fernando Izquierdo Duarte 2002

2 CobiT Information Systems Audit and Control Association® Information Systems Audit and Control Foundation ISACA's Vision: Our vision is to be the recognized global leader in IT governance, control and assurance. ISACF's Vision: Our vision is to be the recognized global leader in IT governance, control and assurance. Reconocida como líder mundial en el gobierno, control y evaluación de TI.

3 Information Systems Audit and Control Association
CobiT Misión: Soportar los objetivos empresariales mediante el desarrollo, promoción y entrega de investigaciones, estándares, competencias y prácticas para un efectivo gobierno, control y evaluación de los sistemas de información y la tecnología relacionada Information Systems Audit and Control Association (ISACATM) Information Systems Audit and Control Foundation (ISACFTM) ISACA's Mission: Our mission is to support enterprise objectives through the development, provision and promotion of research, standards, competencies and practices for the effective governance, control and assurance of information, systems and technology. ISACA's vision and mission statements announce that the Association exists to assist IT governance, control and assurance stakeholders deal with IT management, IT risk and IT process, and their interaction with corporate governance, corporate management, corporate risks and corporate processes. ISACA does that by providing value through various services, such as research, standards, information, education, certification, and professional advocacy. The Association helps IS audit, control and security professionals focus not only on IT, IT risks and security issues, but also on the relationship between IT and the business, business processes and business risks.

4 Historia ISACA Fundada in 1969, como EDP Auditors Association
CobiT Historia ISACA Fundada in 1969, como EDP Auditors Association Más de 26,000 miembros en más de 100 paises Más de 160 capítulos alrededor del mundo With more than 23,000 members in over 100 countries, the Information Systems Audit and Control Association® (ISACA™) is a recognized global leader in IT governance, control and assurance. Founded in 1969, ISACA sponsors international conferences, administers the globally respected CISA® (Certified Information Systems Auditor™) designation earned by more than 26,000 professionals worldwide, and develops globally applicable information systems (IS) auditing and control standards. An affiliated foundation undertakes the leading-edge research in support of the profession. The IT Governance Institute, established by the association and foundation in 1998, is designed to be a "think tank" offering presentations at both ISACA and non-ISACA conferences, publications and electronic resources for greater understanding of the roles and relationship between IT and enterprise governance.

5 Definición, Misión y Usuarios Características Generales
CobiT Antecedentes Definición, Misión y Usuarios Características Generales Principios (Requerimientos de Información, Recursos de TI y Procesos de TI) Estructura de CobiT CobiT como Producto (Componentes) CobiT y Otros estándares

6 Antecedentes El gremio de profesionales en TI se mostró preocupado por la falta de una guía estándar sobre el control en TI, que sirviera para diferentes grupos de interés. LA ISACF, como órgano que agrupa a profesionales de diferentes áreas interesados en el control de TI, se dió a la tarea de dearrollar un conjunto común de conceptos sobre la materia.

7 Antecedentes COBIT Integra y concilia normas y reglamentaciones existentes como: ISO (9000-3) Códigos de Conducta del Consejo Europeo COSO, IFAC, IIA, ISACA, AICPA y Otras Incluye el contenido de los Objetivos de Control emitidos por ISACA (EDPAA) Se publica por 1ra vez en Septiembre de 1996 Se publica la 2a Edición en Abril de 1988 Se publicó la 3a Edición en Marzo de 2000

8 Definición Control OBjectives for Information and Related Technology
CobiT Definición Control OBjectives for Information and Related Technology (Objetivos de Control para Tecnología de Información y Tecnologías realacionadas)

9 Misión Investigar, desarrollar, publicar y promover un conjunto internacional y actualizado de objetivos de control para tecnología de información que sea de uso cotidiano para gerentes, auditores.

10 Usuarios La Gerencia: para apoyar sus decisiones de inversión en TI y control sobre el rendimiento de las mismas, analizar el costo beneficio del control. Los Usuarios Finales: quienes obtienen una garantía sobre la seguridad y el control de los productos que adquieren interna y externamente

11 Usuarios Los Auditores : para soportar sus opiniones sobre los controles de los proyectos de TI , su impacto en la organización y determinar el control mínimo requerido. Los Responsables de TI: para identificar los controles que requieren en sus áreas

12 Características Orientado al negocio
Alineado con estándares y regulaciones “de facto” Basado en una revisión crítica y analítica de las tareas y actividades en TI Alineado con estándares de control y auditoría (COSO, IFAC, IIA, ISACA, AICPA)

13 Principios REQUERIMIENTOS DE INFORMACIÓN DEL NEGOCIO PROCESOS DE TI
RECURSOS DE TI

14 Requerimientos de la Información del Negocio
CobiT combina los principios contenidos por modelos existentes y conocidos, como COSO, SAC y SAS Requerimientos de Calidad Calidad (Confiabilidad, amistosidad). Costo. Oportunidad. Requerimientos Financieros (COSO) Efectividad y eficiencia operacional. Confiabilidad de los reportes financieros. Cumplimiento de leyes y regulaciones. Requerimientos de Seguridad Confidencialidad. Integridad. Disponibilidad.

15 Planeación y Organización
CobiT Objetivos del Negocio Planeación y Organización Definir un plan estratégico de TI Definir la arquitectura de información Determinar la dirección tecnológica Definir la organización y relaciones de TI Manejo de la inversión en TI Comunicación de la directrices Gerenciales Administración del Recurso Humano Asegurar el cumplir requerimientos externos Evaluación de Riesgos Administración de Proyectos Administración de Calidad Seguimiento Seguimiento de los procesosEvaluar lo adecuado del control Interno Obtener aseguramiento inndependiente Proveer una auditoría independiente Recursos de TI Datos, Aplicaciones Tecnología, Instalaciones, Recurso Humano Req. Información Efectividad, Eficiencia, Confidencialidad, Integridad, Disponibilidad, Cumplimiento, Confiabilidad Adquisición e Implementación Identificación de soluciones Adquisición y mantenimiento de SW aplicativo Adquisición y mantenimiento de arquitectura TI Desarrollo y mantenimiento de Procedimientos de TI Instalación y Acreditación de sistemas Administración de Cambios Servicios y Soporte Definición del nivel de servicio Admistración del servicio de terceros Admon de la capacidad y el desempeño Asegurar el servicio continuo Garantizar la seguridad del sistema Identificación y asignación de costos Capacitación de usuarios Soporte a los clientes de TI Admistración de la configuración Administración de problemas e incidentes Administración de datos Administración de Instalaciones Administración de Operaciones

16 Requerimientos de la Información del Negocio
Efectividad: La información debe ser relevante y pertinente para los procesos del negocio y debe ser proporcionada en forma oportuna, correcta, consistente y utilizable Eficiencia: Se debe proveer información mediante el empleo óptimo de los recursos (la forma más productiva y económica) Confidencialidad: Protección de la información sensitiva contra divilgación no autorizada Integridad: Refiere a lo exacto y completo de la información así como a su validez de acuerdo con las expectativas de la empresa.

17 Requerimientos de la Información del Negocio
Disponibilidad: accesibilidad a la información cuando sea requerida por los procesos del negocio y la salvaguarda de los recursos y capacidades asociadas a los mismos. Cumplimiento: de las leyes, regulaciones y compromisos contractuales con los cuales está comprometida la empresa. Confiabilidad: proveer la información apropiada para que la administración tome las decisiones adecuadas para manejar la empresa y cumplir con las responsabilidades de los reportes financieros y de cumplimiento normativo.

18 Recursos de TI Datos: Todos los objetos de información. Considera información interna y externa, estructurada o nó, gráficas, sonidos, etc. Aplicaciones: entendido como los sistemas de información, que integran procedimientos manuales y sistematizados. Tecnología:incluye hardware y software básico, sistemas operativos, sistemas de administración de bases de datos, de redes, telecomunicaciones, multimedia, etc. Instalaciones:Incluye los recursos necesarios para alojar y dar soporte a los sistemas de información. Recurso Humano: Por la habilidad, conciencia y productividad del personal para planear, adquirir, prestar servicios, dar soporte y monitorear los sistemas de Información.

19 Planeación y Organización
CobiT Objetivos del Negocio Planeación y Organización Definir un plan estratégico de TI Definir la arquitectura de información Determinar la dirección tecnológica Definir la organización y relaciones de TI Manejo de la inversión en TI Comunicación de la directrices Gerenciales Administración del Recurso Humano Asegurar el cumplir requerimientos externos Evaluación de Riesgos Administración de Proyectos Administración de Calidad Seguimiento Seguimiento de los procesos Evaluar lo adecuado del control Interno Obtener aseguramiento inndependiente Proveer una auditoría independiente Recursos de TI Datos, Aplicaciones Tecnología, Instalaciones, Recurso Humano Req. Información Efectividad, Eficiencia, Confidencialidad, Integridad, Disponibilidad, Cumplimiento, Confiabilidad Adquisición e Implementación Identificación de soluciones Adquisición y mantenimiento de SW aplicativo Adquisición y mantenimiento de arquitectura TI Desarrollo y mantenimiento de Procedimientos de TI Instalación y Acreditación de sistemas Administración de Cambios Servicios y Soporte Definición del nivel de servicio Admistración del servicio de terceros Admon de la capacidad y el desempeño Asegurar el servicio continuo Garantizar la seguridad del sistema Identificación y asignación de costos Capacitación de usuarios Soporte a los clientes de TI Admistración de la configuración Administración de problemas e incidentes Administración de datos Administración de Instalaciones Administración de Operaciones

20 Procesos de TI - Los Tres Niveles Dominios Actividades o tareas
Agrupación Natural de procesos, normalmente corresponden a un dominio o una responsabilidad organizacional Procesos Conjuntos o series de actividades unidas con delimitación o cortes de control. Actividades o tareas Acciones requeridas para lograr un resultado medible. Las Actividades Tienen un ciclo de vida mientras que las tareas son discretas.

21 Procesos de TI - Dominios
Planeación y Organización (Planning and Organization) Adquisición e implementación (Acquisition and Implementation) Prestación de Servicios y Soporte (Delivery and Support) Seguimiento (monitoring)

22 Planeación y Organisación
Procesos de TI - Procesos Planeación y Organisación Definir un plan estratégico de TI Definir la arquitectura de información Determinar la dirección tecnológica Definir la organización y relaciones de TI Manejo de la inversión en TI Comunicación de la directrices Gerenciales Administración del Recurso Humano Asegurar el cumplir requerimientos externos Evaluación de Riesgos Administración de Proyectos Administración de Calidad Adquisición e Implementación Identificación de soluciones Adquisición y mantenimiento de SW aplicativo Adquisición y mantenimiento de arquitectura TI Desarrollo y mantenimiento de Procedimientos de TI Instalación y Acreditación de sistemas Administración de Cambios

23 Procesos de TI - Procesos Servicios y Soporte Seguimiento
Definición del nivel de servicio Admistración del servicio de terceros Admon de la capacidad y el desempeño Asegurar el servicio continuo Garantizar la seguridad del sistema Identificación y asignación de costos Capacitación de usuarios Soporte a los clientes de TI Admistración de la configuración Administración de problemas e incidentes Administración de datos Administración de Instalaciones Administración de Operaciones Seguimiento Seguimiento de los procesos Evaluar lo adecuado del control Interno Obtener aseguramiento independiente Proveer una auditoría independiente

24 Estructura de INFORMACIÓN EVENTOS Datos Applicaciones Tecnología
Efectividad Eficiencia Confidencialidad Integridad Disponibilidad Cumplimiento Confiabilidad EVENTOS Objetivos de negocio Oportunidades de negocio Requerimientos externos Regulación Riesgos Datos Applicaciones Tecnología Instalaciones Recurso Humano

25 Eficiencia Confidencialidad
Estructura de Procesos del Negocio Lo que Usted Necesita Criterios Efectividad Eficiencia Confidencialidad Integridad Disponibilidad Cumplimiento Confiabilidad Información Lo que usted Obtiene Recursos de TI Datos Aplicaciones Tecnología Instalaciones Recurso Humano Concuerdan ?

26 Estructura de CUBO de CobiT Relación entre los componentes
Calidad Confiabilidad Seguridad Criterios de la Información (7) CUBO de CobiT Relación entre los componentes Datos Applicaciones Tecnología Instalaciones Recurso Humano Recursos de TI Procesos TI Dominios Procesos Actividades

27 Planeación y Organización
CobiT Objetivos del Negocio Planeación y Organización Definir un plan estratégico de TI Definir la arquitectura de información Determinar la dirección tecnológica Definir la organización y relaciones de TI Manejo de la inversión en TI Comunicación de la directrices Gerenciales Administración del Recurso Humano Asegurar el cumplir requerimientos externos Evaluación de Riesgos Administración de Proyectos Administración de Calidad Seguimiento Seguimiento de los procesos Evaluar lo adecuado del control Interno Obtener aseguramiento inndependiente Proveer una auditoría independiente Recursos de TI Datos, Aplicaciones Tecnología, Instalaciones, Recurso Humano Req. Información Efectividad, Eficiencia, Confidencialidad, Integridad, Disponibilidad, Cumplimiento, Confiabilidad Adquisición e Implementación Identificación de soluciones Adquisición y mantenimiento de SW aplicativo Adquisición y mantenimiento de arquitectura TI Desarrollo y mantenimiento de Procedimientos de TI Instalación y Acreditación de sistemas Administración de Cambios Servicios y Soporte Definición del nivel de servicio Admistración del servicio de terceros Admon de la capacidad y el desempeño Asegurar el servicio continuo Garantizar la seguridad del sistema Identificación y asignación de costos Capacitación de usuarios Soporte a los clientes de TI Admistración de la configuración Administración de problemas e incidentes Administración de datos Administración de Instalaciones Administración de Operaciones

28 Como Producto Resumen Ejecutivo Marco de Referencia (Framework)
Objetivos de Control Guías de Auditoría Guías de Administración Herramientas de implementación CD-ROM 2a Edición disponible en español

29 - Resumen Ejecutivo Documento dirigido a la alta gerencia
Presenta los antecedentes y la estructura básica de COBIT. Describe de manera general los procesos, los recursos y los criterios de información, los cuales conforman la “Columna Vertebral” de COBIT.

30 - Marco de Referencia Incluye la introducción contenida en el resumen ejecutivo Presenta las guías de navegación para que los lectores se orienten en la exploración del material de COBIT. Hace una presentación detallada de los 34 procesos contenidos en los cuatro dominios.

31 - Objetivos de Control Integran en su contenido lo expuesto tanto en el resumen ejecutivo como en el marco de referencia Presenta los objetivos de control detallados para cada uno de los 34 procesos. En total se describen 302 objetivos de control (de 3 a 30 objetivos por cada uno de los procesos)

32 - Guías de Auditoría Se hace una presentación del proceso de auditoría generalmente aceptado (relevamiento de información,evaluación de control, evaluación de cumplimiento y evidenciación de los riesgos). Este documento incluye guías detalladas para auditar cada uno de los 34 procesos teniendo en cuenta los 318 objetivos de control detallados.

33 Guías de Administración
Se enfoca de manera similar a los otros productos Integra los principios del Balanced Businnes Scorecard. Para ayudar a determinar cuales son los adecuados niveles de seguridad y control integra losconceptos de: Modelo de madurez CMM (prácticas de Control) Indicadores claves de Desempeño de los procesos de TI Factores Críticos de Éxito a tener en cuenta para mentener bajo control los procesos de TI.

34 Herramientas de Implementación
Muestra algunas de las lecciones aprendidas por aquellas organizaciones que han aplicado CobiT Incluye una guía de implementación con dos herramientas: Diagnóstico de conciencia Administrativa y Diagnóstico de Control en TI Respuestas a las 25 preguntas mas frecuentes sobre CobiT

35 CD-ROM El CD-ROM de CobiT contiene toda la información relacionada con los objetivos de Control y guías de Auditoría, facilitando. su búsqueda y acceso. Permite contar con las guías por objetivo de control de una manera fácil y oportuna cuando se están realizando labores de auditoría.

36 Comparación de conceptos de Control Interno
CobiT 1996/1998 Definición de Control Interno Definición de Objetivos de Control de T I COSO 1992 SAC 1991/1994 Contribuciones al concepto de Control Interno Conceptos de Control Interno Conceptos de Control Interno SAS enmienda SAS

37

38 GRACIAS POR ASISTIR A ESTA CONFERENCIA www. isaca. org www
GRACIAS POR ASISTIR A ESTA CONFERENCIA

Descargar ppt "Fernando Izquierdo Duarte"

Presentaciones similares

SEMINARIO DE AUDITORÍA INTEGRAL

SEMINARIO DE AUDITORÍA INTEGRAL
COBIT INTEGRANTES : OLMARY GUTIERREZ LORENA MEDINA.

COBIT INTEGRANTES : OLMARY GUTIERREZ LORENA MEDINA.
SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN
C OB I T Control Objectives for Information and Related Technology Information Systems and Control Foundation.

C OB I T Control Objectives for Information and Related Technology Information Systems and Control Foundation.
Diagnóstico de la Organización de la Calidad PDVSA

Diagnóstico de la Organización de la Calidad PDVSA
NORMALIZACIÓN ISO 9000: GESTION DE LA CALIDAD.

NORMALIZACIÓN ISO 9000: GESTION DE LA CALIDAD.
CHARLA SISTEMA DE GESTIÓN AMBIENTAL ISO-14000

CHARLA SISTEMA DE GESTIÓN AMBIENTAL ISO-14000
Comprimido ARCHIformativo

Comprimido ARCHIformativo
Normas de Control Interno para Tecnología de la Información Res

Normas de Control Interno para Tecnología de la Información Res
en Tecnología de Información (TI)

en Tecnología de Información (TI)
COBIT César Pallavicini Z.

COBIT César Pallavicini Z.
Enfoque de Control Interno..COBIT

Enfoque de Control Interno..COBIT
Auditoria en Informatica Lic. Enrique Hernandez H.

Auditoria en Informatica Lic. Enrique Hernandez H.
Segunda Jornada Nacional de Seguridad Informática ACIS 2002

Segunda Jornada Nacional de Seguridad Informática ACIS 2002
Eveline Estrella Zambrano Sara Alvear Montesdeoca

Eveline Estrella Zambrano Sara Alvear Montesdeoca
ESCUELA POLITÉCNICA DEL EJÉRCITO

ESCUELA POLITÉCNICA DEL EJÉRCITO
COBIT César Pallavicini Z.

COBIT César Pallavicini Z.
Control Objectives for Information and related Technology

Control Objectives for Information and related Technology
La Administración de Riesgos como Herramienta del Gobierno Corporativo

La Administración de Riesgos como Herramienta del Gobierno Corporativo
Electivo Integración Normas de Calidad, Seguridad, Medio Ambiente y Riesgos en la Gestión de la Empresa. Profesor : Fernando Vargas Gálvez Ingeniero Civil.

Electivo Integración Normas de Calidad, Seguridad, Medio Ambiente y Riesgos en la Gestión de la Empresa. Profesor : Fernando Vargas Gálvez Ingeniero Civil.

Presentaciones similares

Anuncios Google