La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

Mg. Sc. Miguel Cotaña Mier

Publicada porRosa María Quintana Mora Modificado hace 7 años

Presentaciones similares

Presentación del tema: "Mg. Sc. Miguel Cotaña Mier"— Transcripción de la presentación:

1 Mg. Sc. Miguel Cotaña Mier
Universidad Mayor de San Andres Facultad de Ciencias Economicas y Financieras Carrera de Contaduria Publica CPA-506 Mg. Sc. Miguel Cotaña Mier OCTUBRE 2007 LA PAZ - BOLIVIA

2 Estándar de Controles y Auditoría de Tecnología Informática

3 Information Systems Audit and Control Association
Misión: Soportar los objetivos empresariales mediante el desarrollo, promoción y entrega de investigaciones, estándares, competencias y prácticas para un efectivo gobierno, control y evaluación de los sistemas de información y la tecnología relacionada Information Systems Audit and Control Association (ISACATM) Information Systems Audit and Control Foundation (ISACFTM) ISACA's Mission: Our mission is to support enterprise objectives through the development, provision and promotion of research, standards, competencies and practices for the effective governance, control and assurance of information, systems and technology. ISACA's vision and mission statements announce that the Association exists to assist IT governance, control and assurance stakeholders deal with IT management, IT risk and IT process, and their interaction with corporate governance, corporate management, corporate risks and corporate processes. ISACA does that by providing value through various services, such as research, standards, information, education, certification, and professional advocacy. The Association helps IS audit, control and security professionals focus not only on IT, IT risks and security issues, but also on the relationship between IT and the business, business processes and business risks.

4 Es el resultado de uno de los mayores proyectos de investigacion completa-do y publicado por la Organización Mundial de Auditores de Sistemas de Informacion (ISACF). Es aplicable a un amplio rango de SI que van desde el nivel de PC, Mainfra-mes e instalaciones Cliente-Servidor.

5 COBIT Integra y concilia normas y reglamentaciones existentes como:
ISO (9000-3) Códigos de Conducta del Consejo Europeo COSO, IFAC, IIA, ISACA, AICPA y Otras Incluye el contenido de los Objetivos de Control emitidos por ISACA (EDPAA) Se publica Cobit 1 en Septiembre de 1996 Se publica Cobit 2 en Abril de 1998 Se publicó Cobit 3 en Marzo de 2000 Se publicó Cobit 4 en Diciembre de 2005 Se publicó Cobit 4.1 en Mayo de 2007

6 Control OBjectives for Information and Related Technology (Objetivos de Control para Tecnología de Información y Tecnologías relacionadas)

7 Objetivos Es una guia para la gerencia en la toma de decisiones sobre riesgos y controles. Ayuda al usuario de tecnologia a obtener seguridad y control sobre los productos y servicios que adquiere. Provee a la A.S.I., una herramienta fundamental para evaluar controles internos y gerenciales, y los minimos requerimientos de control compatibles con el necesario balance Costo-Beneficio de la organización.

8 ¿Qué es Cobit? Modelo para implantar Gobierno de TI
Es un estándar abierto y de amplia difusión. Consta de 34 procesos y 220 objetivos de Control. Es 100% compatible con ISO 17799, COSO I y II, y con otros estándares de menor nivel de abstracción. Cobit fija el Qué y los estánderes de apoyo el Cómo en materia de implantación de Gobierno de TI.

9 La necesidad del aseguramiento del valor de TI, la administración de los riesgos asociados a TI, así como el incremento de requerimientos para controlar la información, se entienden ahora como elementos clave del gobierno de la empresa. El valor, el riesgo y el control constituyen la esencia del gobierno de TI.

10 El gobierno de TI es responsabilidad de los ejecutivos, del consejo de directores y consta de liderazgo, estructuras y procesos organizacionales que garantizan que la TI de la empresa sostiene y extiende las estrategias y objetivos organizacionales.

11 Cobit, brinda buenas práctica a través de un marco de trabajo de dominios y procesos, y presenta las actividades en una estructura manejable y lógica. Las buenas prácticas de Cobit representan el consenso de los expertos. Están enfocados fuertemente en el control y menos en la ejecución

12 Preguntas frecuentes !!!

13 Gobierno de TI IT Governance. Es un término que representa el sistema que establece la alta gerencia para asegurar el logro de los objetivos de una organización.

14 Cobit como soporte TI está alineado con el negocio
TI capacita el negocio y maximiza los beneficios Los recursos de TI se usen de manera responsable Los riesgos de TI se administren apropiadamente

15

16 Áreas de enfoque del Gobierno de TI
Alineamiento estratégico: Su enfoque está dirigido a la relación entre el Negocio y el Plan de TI; a la propuesta de valor que debe entregar su definición, a la mantención y validación. Valor Agregado: Es el ciclo que permite asegurar la entrega del valor propuesto, asegurando que la TI proporcionará los beneficios prometidos en la estrategia Administración de Recursos: Se trata de invertir en forma óptima y apropiada, la administración de los recursos críticos en TI: Aplicaciones, Información, Infraestructura y las Personas. Alineamiento Estratégico Gobierno de TI Valor Agregado Administración del Riesgo Medición de Resultados Administración de Recursos

17 Áreas de enfoque del Gobierno de TI
Administración del Riesgo: El administrador debe tener consciencia del riesgo empresarial, un claro entendimiento del apetito de la empresa por el riesgo, transparencia sobre el significado de los riesgos empresariales, y que debe incorporar la responsabilidad de los riesgos empresariales en la administración de la organización. Medición de Resultados: rastrea y monitorea la estrategia de implementación, la terminación del proyecto, el uso de los recursos. Alineamiento Estratégico Gobierno de TI Valor Agregado Administración del Riesgo Medición de Resultados Administración de Recursos

18 Productos Los productos se han organizado en tres niveles (figura 3) diseñados para dar soporte a: Administración y consejos ejecutivos Administración del negocio y de TI Profesionales en gobierno, aseguramiento, control y seguridad

19

20

21 Marco de trabajo Se basa en el principio de proporcionar la información que la empresa requiere para lograr sus objetivos, la empresa necesita administrar y controlar los recursos de TI, usando un conjunto estructurado de procesos que ofrezcan los servicios requeridos de información.

22 ? Marco Cobit REQUERIMIENTOS DE NEGOCIO CRITERIOS DE INFORMACIÓN
efectividad eficiencia confidencialidad integridad disponibilidad cumplimiento confiabilidad CRITERIOS DE INFORMACIÓN PROCESOS DE TI aplicaciones información infraestructura personal RECURSOS DE TI ?

23

24

25 Controles Los procesos requieren controles.
Control se define como las políticas, procedimientos, prácticas y estructuras organizacionales diseñadas para brindar una seguridad razonable que los objetivos del negocio se alcanzarán, y los eventos no deseados serán prevenidos o detectados y corregidos.

26 Objetivo de Control Es una declaración del resultado o fin que se desea lograr al implantar procedimientos de control en una actividad de TI en particular. Los objetivos de control de Cobit son los requerimientos mínimos para un control efectivo de cada proceso de TI.

27

28 IMCM Una necesidad básica de toda empresa es entender el estado de sus propios sistemas de TI y decidir qué nivel de administración y control debe proporcionar la empresa. Qué se debe medir y cómo?

29 Una organización debe crear un modelo de proceso que se ajuste a las directrices establecidas por la integración del modelo de capacidad de madurez (IMCM)

30

31

32

33

34 Marco de Trabajo Las metas se definen de arriba hacia abajo con base en las metas de negocio que determinarán el número de metas que soportará TI, las metas de TI decidirán las diferentes necesidades de las metas de proceso, y cada meta, establecerá las metas de las actividades.

35 Procesos de TIC - Los Tres Niveles Dominios Actividades o tareas
Agrupación Natural de procesos, normalmente corresponden a un dominio o una responsabilidad organizacional Procesos Conjuntos o series de actividades unidas con delimitación o cortes de control. Actividades o tareas Acciones requeridas para lograr un resultado medible. Las Actividades Tienen un ciclo de vida mientras que las tareas son discretas.

36 El marco de trabajo se creó para satisfacer las necesidades de gobernabilidad de TI. Está orientado a: Negocios Procesos Basado en controles Impulsado por mediciones

37 Orientado al negocio Está diseñado para ser utilizado no solo por proveedores de servicios, usuarios y auditores de TI, sino también y principalmente, como guía integral para la gerencia y para los propietarios de los procesos de negocio.

38 Procesos orientados Cobit define las actividades de TI en un modelo genérico de procesos en 4 dominios: Planear y Organizar Adquirir e Implementar Entregar y dar Soporte Monitorear y Evaluar

39 Planear y Organizar (PO)
Cubre las estrategias y las tácticas, y tiene que ver con identificar la manera en que TI pueda contribuir de la mejor manera al logro de los objetivos del negocio. ¿Están alineadas las estrategias de TI y del negocio?

40 ¿La empresa está alcanzando un uso óptimo de los recursos?
¿Entienden todas las personas, los objetivos de TI? ¿Se entienden y administran los riesgos de TI? ¿Es apropiada la calidad de los sistemas de TI para las necesidades del negocio?

41 Adquirir e Implementar (AI)
Las soluciones de TI necesitan ser identificadas, desarrolladas o adquiridas así como la implementación e integración en los procesos. ¿Los nuevos proyectos generan soluciones que satisfagan las necesidades del negocio?

42 ¿Los cambios afectarán las operaciones actuales del negocio?
¿Los nuevos proyectos son entregados a tiempo y dentro del presupuesto? ¿Trabajarán adecuadamente los nuevos sistemas una vez sean implementados? ¿Los cambios afectarán las operaciones actuales del negocio?

43 Entregar y dar Soporte (DS)
Cubre la entrega en sí de los servicios requeridos, lo que incluye la prestación del servicio, la administración de la seguridad y de la continuidad, el soporte del servicio a los usuarios, la administración de los datos. ¿Se están entregando los servicios de TI de acuerdo a prioridades?

44 ¿Están optimizados los costos de TI?
¿Es capaz la fuerza de trabajo de utilizar los sistemas de TI de manera productiva y segura? ¿Están implantadas de forma adecuada la confidencialidad, la integridad y la disponibilidad?

45 Monitorear y Evaluar (ME)
Todos los procesos de TI deben evaluarse de forma regular en el tiempo en cuanto a su calidad y cumplimiento de los requerimientos de control. Abarca la administración del desempeño, el monitoreo del control interno, cumplimiento regulatorio. ¿Se mide el desempeño de TI para detectar los problemas antes de que sea demasiado tarde?

46 ¿La gerencia garantiza que los controles internos son efectivos y eficientes?
¿Puede vincularse el desempeño de lo que TI ha realizado con las metas del negocio? ¿Se miden y reportan los riesgos, el control, el cumplimiento y el desempeño?

47 Modelo de Marco de Trabajo
Relaciona los requerimientos de información y de gobierno a los objetivos de la función de servicio de TI. El modelo de procesos Cobit permite que las actividades de TI y los recursos que los soportan sean administrados y controlados basados en los objetivos de control.

48

49 Los recursos de TI son manejados por procesos de TI para lograr las metas de TI que respondan a los requerimientos del negocio. Este es el principio básico del marco de trabajo Cobit

50

51 En detalle, el marco de trabajo general Cobit se muestra en el siguiente gráfico, con el modelo de procesos de Cobit compuesto de 4 dominios que contienen 34 procesos genéricos, administrando los recursos de TI para proporcionar información al negocio de acuerdo con los requerimientos del negocio y del gobierno.

52 Objetivos del gobierno
CobiT Objetivos del Negocio Planear y Organizar PO1 Definir un plan estratégico de TI PO2 Definir la arquitectura de información PO3 Determinar la dirección tecnológica PO4 Definir procesos, organización y relac. PO5 Administrar la inversión en TI PO6 Comunicar aspiraciones y la direc.ger. PO7 Administración del Recurso Humano PO8 Administrar calidad PO9 Evaluar y administrar Riesgos PO10 Administración de Proyectos Objetivos del gobierno Monitorear Y evaluar ME1 Monitorear y evaluar el desempeño ME2 Monitorear y evaluar el control Interno ME3 Garantizar cumplimiimiento regulatorio ME4 Proporcionar gobierno de TI Recursos de TI Aplicaciones Información, Infraestructura,Personas Req. Información Efectividad, Eficiencia, Confidencialidad, Integridad, Disponibilidad, Cumplimiento, Confiabilidad Adquirir e Implantar AI1 Identificar soluciones automatizadas AI2 Adquirir y mantener el Sw aplicativo AI3 Adquirir y mantener la infraestructura tecnológica AI4 Facilitar la operación y el uso AI5 Adquirir recursos de TI AI6 Administrar cambios AI7 Instalar y acreditar soluciones y cambios Servicios y Soporte DS1 Definir y administrar niveles de servicio DS2 Administrar servicios de terceros DS3 Adm. Desempeño y capacidad DS4 Garantizar la continuidad del servicio DS5 Garantizar la seguridad de los sistemas DS6 Identificar y asignar costos DS7 Educar y entrenar a los usuarios DS8 Administrar la mesa de serv. e incidentes DS9 Administrar la configuración DS10 Administrar los problemas DS11 Administración de datos DS12 Administrar el ambiente físico DS13 Administrar las Operaciones

53 Requerimientos de Información del Negocio
Efectividad: La información debe ser relevante y pertinente para los procesos del negocio y debe ser proporcionada en forma oportuna, correcta, consistente y utilizable Eficiencia: Se debe proveer información mediante el empleo óptimo de los recursos (la forma más productiva y económica) Confidencialidad: Protección de la información sensitiva contra divulgación no autorizada Integridad: Refiere a lo exacto y completo de la información así como a su validez de acuerdo con las expectativas de la empresa.

54 Disponibilidad: accesibilidad a la información cuando sea requerida por los procesos del negocio y la salvaguarda de los recursos y capacidades asociadas a los mismos. Cumplimiento: de las leyes, regulaciones y compromisos contractuales con los cuales está comprometida la empresa. Confiabilidad: proveer la información apropiada para que la administración tome las decisiones adecuadas para manejar la empresa y cumplir con las responsabilidades de los reportes financieros y de cumplimiento normativo.

55 Recursos de TIC Aplicaciones: entendido como los sistemas de información, que integran procedimientos manuales y sistematizados. Información: Todos los objetos de información. Considera información interna y externa, estructurada o nó, gráficas, sonidos, etc. Infraestructura:Incluye los recursos necesarios para alojar y dar soporte a los sistemas de información. incluye hardware y software básico, sistemas operativos, sistemas de administración de bases de datos, de redes, telecomunicaciones, multimedia, etc. Personas: Por la habilidad, conciencia y productividad del personal para planear, adquirir, prestar servicios, dar soporte y monitorear los sistemas de Información.

56 Procesos de TIC - Procesos Adquirir e Implantar
Planear y Organizar PO1 Definir un plan estratégico de TI PO2 Definir la arquitectura de información PO3 Determinar la dirección tecnológica PO4 Definir procesos, organización y relac. PO5 Administrar la inversión en TI PO6 Comunicar aspiraciones y la direc.ger. PO7 Administración del Recurso Humano PO8 Administrar calidad PO9 Evaluar y administrar Riesgos PO10 Administración de Proyectos Adquirir e Implantar AI1 Identificar soluciones automatizadas AI2 Adquirir y mantener el Sw aplicativo AI3 Adquirir y mantener la infraestructura tecnológica AI4 Facilitar la operación y el uso AI5 Adquirir recursos de TI AI6 Administrar cambios AI7 Instalar y acreditar soluciones y cambios

57 Procesos de TIC - Procesos Servicios y Soporte Monitorear y Evaluar
DS1 Definir y administrar niveles de servicio DS2 Administrar servicios de terceros DS3 Adm. Desempeño y capacidad DS4 Garantizar la continuidad del servicio DS5 Garantizar la seguridad de los sistemas DS6 Identificar y asignar costos DS7 Educar y entrenar a los usuarios DS8 Administrar la mesa de serv. e incidentes DS9 Administrar la configuración DS10 Administrar los problemas DS11 Administración de datos DS12 Administrar el ambiente físico DS13 Administrar las Operaciones Monitorear y Evaluar ME1 Monitorear y evaluar el desempeño ME2 Monitorear y evaluar el control Interno ME3 Garantizar cumplimimiento regulatorio ME4 Proporcionar gobierno de TI

58 Nivel de aceptabilidad
Cobit se basa en el análisis y armonización de estándares y mejores práctica de TI existentes y se adapta a principios de gobierno generalmente aceptados.

59 Está posicionado a un nivel alto, impulsado por los requerimientos del negocio, cubre el rango completo de actividades de TI, y se concentra en lo que se debe lograr en lugar de cómo lograr un gobierno, administración y control efectivos.

60 Funciona como un integrador de prácticas de gobierno de TI y es de interés para la dirección ejecutiva; para la gerencia del negocio; para la gerencia y gobierno de TI; para los profesionales de aseguramiento y seguridad; así como para los profesionales de auditoria y control de TI.

61 Navegar: marco de trabajo
Para cada uno de los procesos de TI de Cobit, se proporciona un objetivo de control de alto nivel, junto con las metas y métricas clave en forma de cascada.

62 Modelo de Navegación CobiT
Eficacia Eficiencia Confidencialidad Integridad Disponibilidad Seguridad Conformidad Planificación y Organización Modelo de Navegación CobiT Adquisición e Implementación Entrega y Soporte Control sobre el Proceso de TI Nombre del Proceso Evaluación y Monitoreo Que satisface el requerimiento de negocios de TI para Resumen de las metas de negocio más importantes Focalizándose en Resumen de las metas de TI más importantes Es conseguido por Alineamiento Estratégico Gobierno de TI Valor Agregado Administración del Riesgo Medición de Resultados Administración de Recursos Control claves Aplicaciones Información Infraestructura Personas Y medido por Indicadores claves (Métrica) P=Primario; S=Secundario

Descargar ppt "Mg. Sc. Miguel Cotaña Mier"

Presentaciones similares

CERTIFICACIONES EN AUDITORIA

CERTIFICACIONES EN AUDITORIA
AUDITORIA TECNOLOGIAS DE INFORMACION - COBIT

AUDITORIA TECNOLOGIAS DE INFORMACION - COBIT
(Control Objectives for Information and related Technology)

(Control Objectives for Information and related Technology)
Jenny Alexandra Marin Luis Carlos Avila Javier Murcia

Jenny Alexandra Marin Luis Carlos Avila Javier Murcia
CDA LA TERMINAL IMPLEMENTACION SISTEMA DE GESTION DE CALIDAD NORMA ISO 9001: REQUISITOS SISTEMA DE GESTION DE CALIDAD.

CDA LA TERMINAL IMPLEMENTACION SISTEMA DE GESTION DE CALIDAD NORMA ISO 9001: REQUISITOS SISTEMA DE GESTION DE CALIDAD.
ESTRATEGIA GOBIERNO EN LINEA Fundamentos Arquitectura Empresarial

ESTRATEGIA GOBIERNO EN LINEA Fundamentos Arquitectura Empresarial
Entrega y soporte de servicio de TI Operaciones de los sistemas de información Hardware de sistemas La arquitectura y software de SI Infraestructura de.

Entrega y soporte de servicio de TI Operaciones de los sistemas de información Hardware de sistemas La arquitectura y software de SI Infraestructura de.
PROSPECTIVAS Y ESTRATEGIAS PARA EL SECTOR FINANCIERO POPULAR Y SOLIDARIO GESTIÓN DE CONTINGENCIAS Y SEGURIDAD DE LA INFORMACIÓN.

PROSPECTIVAS Y ESTRATEGIAS PARA EL SECTOR FINANCIERO POPULAR Y SOLIDARIO GESTIÓN DE CONTINGENCIAS Y SEGURIDAD DE LA INFORMACIÓN.
NORMA ISO DIS 9001:2015 Draft International Standard.

NORMA ISO DIS 9001:2015 Draft International Standard.
Planeación Estratégica Aplicada Elaborado por: Departamento de Investigación y Divulgación, CORFOGA 2016.

Planeación Estratégica Aplicada Elaborado por: Departamento de Investigación y Divulgación, CORFOGA 2016.
 La serie de normas ISO/IEC 27000 son estándares de seguridad publicados por la Organización Internacional para la Estandarización (ISO) y la Comisión.

 La serie de normas ISO/IEC son estándares de seguridad publicados por la Organización Internacional para la Estandarización (ISO) y la Comisión.
NTC - ISO 9001 NORMA TÉCNICA COLOMBIANA (TERCERA ACTUALIZACIÓN)

NTC - ISO 9001 NORMA TÉCNICA COLOMBIANA (TERCERA ACTUALIZACIÓN)
FACULTAD DE INGENIERÍA ESCUELA ACADÉMICO PROFESIONAL DE INGENIERÍA DE SISTEMAS Curso: Gobierno de TI Alumnos: De La Cruz Domínguez Maycol Velasquez Calle.

FACULTAD DE INGENIERÍA ESCUELA ACADÉMICO PROFESIONAL DE INGENIERÍA DE SISTEMAS Curso: Gobierno de TI Alumnos: De La Cruz Domínguez Maycol Velasquez Calle.
NIA Planeación de una auditoria de Estados Financieros. NOMBRE: Beatriz Acero Zapana CURSO: Auditoria Financiera ESCUELA: Ciencias Contables y Financiera.

NIA Planeación de una auditoria de Estados Financieros. NOMBRE: Beatriz Acero Zapana CURSO: Auditoria Financiera ESCUELA: Ciencias Contables y Financiera.
International Organization for Standardization. Organización Internacional de Normalización La ISO es una organización no gubernamental establecida el.

International Organization for Standardization. Organización Internacional de Normalización La ISO es una organización no gubernamental establecida el.
Auditoria Informática Unidad IV

Auditoria Informática Unidad IV
ADMINISTRACION Y FINANZAS

ADMINISTRACION Y FINANZAS
COBIT 4.1 Entregar y Dar Soporte DS2 Administrar los Servicios de Terceros By Juan Antonio Vásquez.

COBIT 4.1 Entregar y Dar Soporte DS2 Administrar los Servicios de Terceros By Juan Antonio Vásquez.
Nuevo Marco de Control de las TI

Nuevo Marco de Control de las TI
Sistemas de Gestión.

Sistemas de Gestión.

Presentaciones similares

Anuncios Google