Tema+1 M0 MP C2011 2012

Auditoria y Peritaje
Curso 2011 / 2012

Universidad Catlica San Antonio de Murcia - Tlf: (+34) 968 27 88 00 info@ucam.edu - www.ucam.edu
Javier Cao Avellaneda: jcao@pdi.ucam.edu y auditoriayperitaje@gmail.com

Grado en Ingeniera en Informtica
T!"# %& '()*+,-.'/0 1 /*(.+*2 '(.3+(*
ndice del tema.
Introduccin.
Gobierno TI
Necesidades de control interno.
Esquemas de gestin y control interno.
La funcin de auditora de sistemas de informacin.
Auditora y Peritaje: Tema 1.
2
La revolucin de la informacin
Las tecnologas de la informacin se han adentrado en el da a
da de las actividades de toda organizacin.
Procesadores de texto vs mquinas de escribir.
Correo electrnico vs fax
Archivos electrnicos vs expedientes papel.
Servicios Web vs consultas telefnicas o por fax
La informacin se almacena y gestiona en soportes digitales
3
Estamos inmersos en plena revolucin de la informacin. La
sociedad industrial se transforma hacia la sociedad de la
informacin.
Caractersticas:
Alta velocidad de transmisin de informacin (autopistas de la
informacin).
Sociedad globalizada e interconectada (Internet).
Servicios telemticos que no requieren presencia fsica (e-commerce, e-
banking, e-Administracin, e-Learning).
4
Los negocios ahora venden informacin en vez de productos
tangibles. Ejemplos:
Buscadores como Google, MSN Live, Yahoo.
Portales como Terra, Hotmail.
Tiendas online como Amazon, Ebay
Estos negocios son muy sensibles a los problemas con la
informacin e influyen en los resultados de otros.
5
Caso United Airlines el da 8 de septiembre de 2008.
6
Los sistemas informticos que daban apoyo a las tareas ms
bsicas (ofimtica y contabilidad) ahora se han transformado en
los sistemas de informacin de la empresa.
Esta evolucin ha generado grandes beneficios pero ha
incorporado nuevos riesgos:
Alta dependencia de las TIC.
Efectos cascada de un fallo, con consecuencias cada vez mayores.
El valor de una Organizacin es su informacin y conocimiento ms que
los servicios o productos que proporciona.
7
Soporte papel vs electrnico
El soporte papel es tangible:
Su creacin ocupa un espacio material.
Su traslado implica el transporte fsico y el tiempo de entrega est
condicionado por la distancia fsica.
Su destruccin supone una eliminacin del soporte tangible.
Su tratamiento deja evidencias fsicas.
El tratamiento de soportes tangibles se encuentra limitado por las
restricciones de espacio y tiempo.
8
Soporte papel vs electrnico
La informacin en formato electrnico es intangible pero se
almacena en soportes tangibles. No est tan limitada por las
restricciones fsicas.
Un documento electrnico tiene propiedades lgicas
Fecha de creacin, de modificacin, autor, tamao, etc.
A priori, no existe original y copia si no se aaden pruebas adicionales.
La velocidad de transmisin es mucho mayor.
Se ha multiplicado la capacidad de tratamiento de informacin.
9
Perdida del control interno sobre la informacin
La capacidad de almacenamiento se ha multiplicado
exponencialmente
=
.
10
Ln1C8nCS CL88AuCS (enLornos de los 80 y prlnclplos de 90)
Crandes malnframes.
1er mlnales de acceso.
ublcaclones nslcas locallzadas.
Ln1C8nCS A8lL81CS (enLornos de nales de los 90 y slglo xxl)
Conecuvldad global y movllldad de usuarlo
CllenLes C.
ublcaclones nslcas no conLroladas.
Prdida del control interno sobre la informacin
11
Contexto del Gobierno TI
Para muchas empresas, la informacin y la tecnologa que las
soportan representan sus ms valiosos activos, aunque con
frecuencia son poco entendidos.
Las organizaciones entienden que deben empezar a administrar
los riesgos asociados al uso de las tecnologas de la informacin
dada su actual dependencia crtica de ellos para la ejecucin de
sus procesos de negocio.
12
Procesos de negocio Procesos de negocio

Entradas

Salidas
Tecnologas de la informacin
Personal
Organizacin
Organizaciones actuales
Infraestructuras
13
Organizaciones y procesos de negocio
Toda Organizacin puede ser contemplada como un conjunto de
procesos de negocio que transforma unas entradas en unas
salidas, generando valor aadido.
Un proceso de negocio es un conjunto de tareas relacionadas
lgicamente llevadas a cabo para lograr un resultado de negocio
definido.

E
14
Organizaciones y procesos de negocio
Los procesos de negocio pueden ser vistos como una coleccin
de actividades estructurales relacionadas que producen un valor
para la organizacin, sus inversores o sus clientes. Es, por
ejemplo, el proceso a travs del que una organizacin ofrece sus
servicios a sus clientes.
Un proceso de negocio puede ser parte de un proceso mayor
que lo abarque o bien puede incluir otros procesos de negocio
que deban ser incluidos en su funcin. En este contexto un
proceso de negocio puede ser visto a varios niveles de
granularidad. El enlace entre procesos de negocio y generacin
de valor lleva a algunos practicantes a ver los procesos de
negocio como los flujos de trabajo que efectan las tareas de una
organizacin.

E
15
El modelo de cadena de valor de Porter
Toda organizacin puede ser analizada por su cadena de valor.
sta categoriza las actividades que producen valor aadido en una
organizacin. Se dividen en dos tipos de actividades:

E
16
Las actividades primarias que conforman la creacin fsica del
producto o servicio, las actividades relacionadas con su venta y la
asistencia post-venta. Se dividen en:
Logstica interna: recepcin, almacenamiento y distribucin de las
materias primas.
Operaciones (produccin): recepcin de las materias primas para
transformarlas en el producto final.
Logstica externa: almacenamiento de los productos terminados y
distribucin del producto al consumidor.
Ventas y Marketing: actividades con las cuales se da a conocer el
producto.
Servicios post-venta (mantenimiento): actividades destinadas a
mantener o realizar el valor del producto. Ej.: garantas

E
17
Estas actividades son apoyadas por las tambin denominadas
actividades secundarias:
Infraestructura de la organizacin: actividades que prestan apoyo a
toda la empresa, como la planificacin, contabilidad, finanzas...
Direccin de recursos humanos: bsqueda, contratacin y motivacin
del personal.
Desarrollo de tecnologa (investigacin y desarrollo): obtencin,
mejora y gestin de la tecnologa.
Abastecimiento (compras): proceso de compra de los materiales.

E
18
Sistemas de informacin y cadena de valor
Los 4546!"#4 7! 589:;"#<5=8 perLenecen a la 589;#!46;><6>;# y
proporclonan los recursos de LraLamlenLo de la lnformacln LanLo de las
acuvldades prlmarlas como de las acuvldades de soporLe.
19
Ejercicio: El caso PDVSA
Identificar para el conjunto de procesos, cuales seran los que
pertenecen a:
Actividades primarias:
Logstica interna
Operaciones
Logstica externa
Marketing y ventas
Servicio post venta
Actividades soporte:
Infraestructuras de la empresa
Gestin de recursos humanos
Tecnologa
Compras
20
Toda organizacin puede ser analizada por su cadena de valor.
sta categoriza las actividades que producen valor aadido en una
organizacin. Se dividen en dos tipos de actividades:
21
Extraccin
Depsito
Reno
Exportacin
Distribucin
Facturacin
Gestin TIC
RR.HH.
Direccin
22
Extraccin
Depsito
Reno
Exportacin
Distribucin
Facturacin
Gestin TIC
RR.HH.
Direccin
23
LCClS1lCA
Lx1L8nA
8CuuCClCn
Procesos de transformacin
Extraccin Depsito Reno
Exportacin
Distribucin
Materia prima
Producto
24
lnl8ALS18uC1u8A
Procesos de gestin econmica
Producto
Facturacin
Direccin
8LCu8SCS PuMAnCS
1LCnCLCClA
RR.HH.
Gestin TIC
25
Ejercicio: El caso PDVSA.
s
o
p
o
r
t
e

primarias
Facturacin
Direccin
RR.HH. Gestin TIC
Extraccin Depsito
Reno
Exportacin
Distribucin
26
Definicin de sistemas de informacin
Un sistema de informacin es un conjunto organizado de
elementos. Estos son de 4 tipos:
Personas.
Datos.
Actividades o tcnicas de trabajo.
Recursos materiales en general (tpicamente recursos informticos y
de comunicacin, aunque no tienen por qu ser de este tipo
obligatoriamente).
Todo ese conjunto de elementos interactan entre si para
procesar los datos y la informacin (incluyendo procesos
manuales y automticos) y distribuirla de la manera ms
adecuada posible en una determinada organizacin en
funcin de sus objetivos.
Fuente: http://es.wikipedia.org/wiki/Sistema_de_informaci%C3%B3n
27
?;:<!4:4 : @!;A5<5:4
Nivel Funcional
Nivel Lgico
Nivel Fsico
Dependencias fsicas
Suministros
Aplicaciones
Equipos
Telecomunicaciones
Procesos de negocio
Personas
Datos

28
El boicot a PDVSA.
s
o
p
o
r
t
e

primarias
Facturacin
Direccin
RR.HH. Gestin TIC
Extraccin Depsito
Reno
Exportacin
Distribucin
29
El boicot a PDVSA.
s
o
p
o
r
t
e

primarias
Facturacin
Direccin
RR.HH. Gestin TIC
Extraccin Depsito
Reno
Exportacin
Distribucin
30
ndice del tema.
Introduccin.
Gobierno TI
31
El contexto del Gobierno TI
La confianza es la clave de nuestra economa, economa que
sera hoy en da impensable sin el soporte de las tecnologas de
la informacin, cada das ms ubicuas y que han cambiado para
siempre la manera de entender y hacer negocios.
Nos encontramos con que la economa gira en gran medida en
torno a la idea de confianza descrita y que los sistemas de
informacin debe ser de confianza, o mejor dicho, fiables.
Qu pruebas tenemos?
32
Debate sobre la fiabilidad de la informtica.
Pruebas de buen funcionamiento.
Pruebas de mal funcionamiento.
Qu y hasta donde es tolerable?
Ejemplos del da a da.
33
Ha existido una brecha entre expectativas-resultados.
LxpecLauvas
- LxploLar 1l para lograr valor.
- Lograr rpldos desarrollos con
calldad y segurldad.
- lnverslones 1l uenen un reLorno
cuanuLauvo y se logra ms con
menos.
- Converur gananclas de
eclencla y producuvldad en la
creacln de valor y efecuvldad
del negoclo.
8esulLados
- ueclslones sln adecuado soporLe
y perdlda compeuuva.
- La efecuvldad de los procesos es
dlrecLamenLe proporclonal a la
calldad de los servlclos 1l.
- lracaso en la lmplanLacln de
nuevas apllcaclones.
- 1ecnologla lnadecuada o
caduca.
- uebll soporLe a los negoclos.
- royecLos desfasados en uempo
y presupuesLo.
- Mayor cosLo y menor calldad
que la esperada.
34
Las organizaciones quieren ahora contemplar lo que se denomina
Riesgo operativo que es el riesgo o prdida que resulta de un
fallo o inadecuados procesos internos, gente y sistemas o
eventos externos.
35
ulreccln
Servlclos 1l
P
r
o
c
e
s
o
s

d
e

n
e
g
o
c
i
o

P
r
o
c
e
s
o
s

d
e

n
e
g
o
c
i
o

P
r
o
c
e
s
o
s

d
e

n
e
g
o
c
i
o

P
r
o
c
e
s
o
s

d
e

n
e
g
o
c
i
o

36
La Direccin de las Empresas quiere poder establecer el rumbo
que debe seguir el desarrollo de sus Organizaciones.
Para ello, es necesario planificar, dirigir y gestionar el desarrollo y
despliegue de los sistemas de informacin de la Organizacin.
37
Evolucin del rea TI
Ha pasado el tiempo en el que los departamentos de informtica
(departamentos de Tecnologas de la Informacin) eran unos
departamentos puramente tcnicos que realizaban dos funciones
bsicas: Desarrollo de aplicaciones y el mantenimiento de la
infraestructura tcnica.
El negocio (la empresa) inverta dinero en este departamento y
eran percibidos nicamente como centros de coste. Los servicios
informticos, sobre todos los ms importantes para el negocio
(soporte y operaciones), eran suministrados por este
departamento integrado en la organizacin.
38
Evolucin del rea TI
Ahora, muchos de estos departamentos tienen la
necesidad de cambiar su imagen en la empresa.
Necesitan saber cunto valen sus servicios y demostrar a
sus clientes (su propia compaa) que son rentables y
necesarios, demostrando racionalizacin y eficiencia.
Por otra parte, las organizaciones son cada vez ms
dependientes de las TIs a la hora de satisfacer sus
propios objetivos corporativos y necesidades
empresariales (negocio). Esta dependencia conlleva un
aumento en la necesidad de unos servicios de TI,
independientemente del tamao de la organizacin,
ajustados econmicamente, fiables, consistentes y de la
ms alta calidad.
39
Contexto del Gobierno TI
Lo que se quiere es tener un control sobre la gestin de las
Tecnologas de la Informacin de igual manera al control que se
tiene de otras actividades de la Organizacin.
Control presupuestario y financiero.
Control sobre los recursos humanos.
Control sobre la produccin.
Gestin y Direccin de la Organizacin.
40
Definicin del Gobierno TI
El Gobierno TI determina el marco para la toma de decisiones y
la responsabilidad para fomentar el comportamiento deseado del
uso de las tecnologas de la informacin.
La necesidad de asegurar el valor de las TI, la administracin de
sus riesgos asociados as como el incremento de requisitos para
controlar la informacin (Legislacin como LOPD) se entienden
ahora como elementos clave del Gobierno de una empresa.
El valor, el riesgo y el control constituyen la esencia del
Gobierno TI.
41
El valor de la informacin
La informacin es un activo que, como otros activos importantes para las
organizaciones, tiene valor y por tanto, necesita ser adecuadamente
protegido. ISO/IEC 27002:2005
El valor de la informacin puede ser diferentes segn el criterio o
percepcin de la persona que la maneja.
El tratamiento en algunos momentos no se ajusta al valor que esa informacin
tiene.
Direccin
Financiero Informtica Secretara
60.000 ! 6.000 ! 600 ! 10 !
600 ! 0 !
60.000 !
10 !
lnforme
ulreccln
Coplas
segurldad
42
El riesgo
Amenaza
Acuvo
lmpacLo
ConLrol
43
El riesgo
vulnerabllldades
44
El riesgo
0/.'B*
0"!8#C#4
'8<!875:
/:;6! 3DE<6;5<:
B5;>4
)#DD!<5"5!86: !"FD!#7:
0A!;G# H#;7I#;!
@#DA#J>#;7#4
,!757#4 7! 4!J>;57#7
B>D8!;#K5D57#7!4
'"F#<6:
45
El riesgo
RIESGO
IMPACTO
Qu consecuencias tiene para el negocio?
PROBABILIDAD
Cunto de posible es que la amenaza supere a los controles?
ACTIVOS
Qu hay que
proteger?
AMENAZAS
Qu eventos
pueden
producirse?
SALVAGUARDAS
De que protecciones
disponemos?
VULNERABILIDAD
Cmo pueden
materializarse las
amenazas?
46
La gestin del riesgo
REDUCIR
ACEPTAR EVITAR
TRANSFERIR
No hacer nada
Contratar seguro
Poner alarma
Comprar puerta blindada
No comprarla
47
El control
Gestionar es tomar las decisiones pertinentes para lograr
un determinado fin u objetivo. En nuestro contexto, lograr
que los niveles de riesgo sean los adecuados.
386;#7#4 @#D57#4 ?;:<!4:
/:86;:D
48
El Gobierno TI
El Gobierno de las Tecnologas de la Informacin es
responsabilidad de los ejecutivos y consta de liderazgo,
estructuras y procesos organizacionales que garantizan que
las Tecnologas de la Informacin de la empresa sostienen y
extienden las estrategias y objetivos de la Organizacin.
En otras palabras, hacer que los sistemas de informacin sean
una herramienta productiva ms alineada con los objetivos de
negocio de la Organizacin.
49
El Gobierno TI
50
Las reas del Gobierno TI
Entrega de valor
Gestin del
riesgo
Administracin de recursos
Medicin del
desempeo
Alineacin
estratgica
Gobierno
TI
Gobierno
TI

E
51
Garantizar la coherencia y cohesin entre
los planes de negocio de la Organizacin y
de TI.
Definir, mantener y validar la propuesta de
valor de TI.
Alinear las operaciones de TI con las
operaciones de la empresa.
Alineacin
estratgica

E
52
Asegurar que TI genere los beneficios
prometidos en la estrategia.
Optimizar los costos y brindar el valor
intrnseco de las TI.
Entrega de
valor

E
53
Concienciar sobre los riesgos que conllevan
las TI
Analizar y establecer los riesgos para la
Organizacin.
Determinar los requisitos de cumplimiento,
lo que no debe tolerarse.
Gestionar adecuadamente los riesgos no
aceptables.
Gestin del
riesgo

E
54
Establecer las inversiones ptimas, as
como la administracin adecuada de los
sistemas de informacin:
Aplicaciones
Informacin
Infraestructuras tecnolgicas
Personas
Optimizacin del conocimiento y de la
infraestructura.
Administrar los
recursos

E
55
Monitorizacin del uso de los recursos.
Seguimiento de la implantacin de la
estrategia y cumplimiento de objetivos y
planes de proyectos.
Medicin del desempeo de los procesos y
de la entrega de servicios.
Medicin del
desempeo

E
56
El Gobierno TI
El Gobierno TI facilita que la empresa aproveche al mximo su
informacin, maximizando as los beneficios, capitalizando las
oportunidades y ganando ventajas competitivas.
Las organizaciones tienen como misin satisfacer la calidad, los
requisitos y la seguridad de la informacin as como la de todos
sus activos.
La Direccin debe optimizar el uso de los recursos TI disponibles,
incluyendo aplicaciones, informacin, infraestructuras y personas.
57
El Gobierno TI
Ls necesarlo garanuzar que:

.' F;:F:;<5:8#8 A#D:;
CosLe, uempo, rendlmlenLo, funclonalldad esperados
.' 8: F;:F:;<5:8#8 4:;F;!4#4
8lesgos mlugados
.' <:86;5K>L!8 #D 8!J:<5:
nuevas oporLunldades e lnnovaclones en producLos, procesos
y servlclos
Para ello, la Direccin debe tener cierto
CONTROL INTERNO sobre su funcionamiento y
gestin.
58
Repaso de los conceptos importantes
Cadena de Porter.
reas del Gobierno TI.
Necesidad del Gobierno TI
59
Sistemas de informacin y cadena de valor
Los 4546!"#4 7! 589:;"#<5=8 perLenecen a la 589;#!46;><6>;# y
proporclonan los recursos de LraLamlenLo de la lnformacln LanLo de las
acuvldades prlmarlas como de las acuvldades de soporLe.
60
Entrega de valor
Gestin del
riesgo
Administracin de recursos
Medicin del
desempeo
Alineacin
estratgica
Gobierno
TI
Gobierno
TI
61
El Gobierno TI
62
El Gobierno TI
34 8!<!4#;5: J#;#8MC#; N>!&

.' F;:F:;<5:8#8 A#D:;
CosLe, uempo, rendlmlenLo, funclonalldad esperados
.' 8: F;:F:;<5:8#8 4:;F;!4#4
8lesgos mlugados
.' <:86;5K>L!8 #D 8!J:<5:
nuevas oporLunldades e lnnovaclones en producLos, procesos
y servlclos
Para ello, la Direccin debe tener cierto
CONTROL INTERNO sobre su funcionamiento y
gestin.
63
Gestin del Gobierno TI
Gestin de la Organizacin
Tecnologas de la informacin
Gestin TI Gestin RR.HH.
Objetivos de negocio
Resultados empresariales

OK?
64
Cmo se logra el Gobierno TI?
La Direccin de la Empresa quiere saber cmo funciona el rea
TI.
Para ello, se establecen un conjunto de procesos generales (o
marco de trabajo) y se mide cmo funcionan cada uno de ellos.
(Control interno)
En las ltimas dcadas se han ido estableciendo diferentes
marcos de trabajo orientados a lograr estos objetivos:
Guias COBIT de ISACA.
ISO 20000 Gestin de Servicios TI
ISO 27001 Gestin de la Seguridad de la Informacin

65
roporclonar
ulreccln
Medlr el
desempeno

Comparar
Actividades TI
AumenLar la
auLomauzacln.(Pacer ms
!O<#C el negoclo)
8educlr cosLos (Pacer ms
!O<5!86! la empresa)
ConLrolar los rlesgos
(Segurldad, conanza y
cumpllmlenLo)
Establecer Objetivos
1l allneado con el negoclo.
8educlr cosLos (Pacer ms
eclenLe la empresa)
Mane[ar rlesgos (Segurldad,
conanza y cumpllmlenLo)
66
Para lograr el Gobierno TI es necesario proporcionar la
informacin que la empresa requiere para lograr sus
objetivos, administrar y controlar los recursos de TI
usando un conjunto estructurado de procesos que
ofrezcan los servicios requeridos de informacin.

8equlslLos de
negoclo
8ecursos 1l
rocesos 1l
67
68
ndice del tema.
Introduccin.
Gobierno TI
69
Informe IT Governance Institute (ITGI)-2008.
Un estudio del ITGI determina las prioridades de ejecutivos
en gobernabilidad TI y los problemas con los que se han de
enfrentar:
El 58% advirti que la cantidad de personal en TI es insuficiente,
comparada con el 35% de 2005.
El 48% expres que las dificultades en la prestacin del servicio de TI
continan siendo el segundo problema ms comn.
El 38% seal que los problemas relacionados con el personal tienen
que ver con la ausencia de aptitudes adecuadas.
Un 30% de los encuestados tambin inform dificultades relacionadas
con la previsin del retorno de la inversin (ROI) para los gastos de
TI.
70
Informe IT Governance Institute (ITGI)-2008.
El 93% de los encuestados expres que TI posee una importancia de
media a elevada para la estrategia corporativa general, lo cual implica
un aumento de 6% en comparacin con 2005.
La TI siempre est en la agenda de la gerencia, de acuerdo con las
respuestas del 32% de los encuestados: un incremento en comparacin
con el 25% de 2005.
El 18% de los encuestados manifest que el departamento de TI siempre
proporciona informacin a la empresa acerca de potenciales
oportunidades de negocio, un incremento en comparacin con el 14% de
2005.
Las reas de mejora incluyen alineacin: el 36% de los encuestados
informaron que la alineacin entre la estrategia de TI y la estrategia
corporativa es estndar, deficiente o muy deficiente.
71
lnforme l1 Covernance lnsuLuLe (l1Cl)-2008.
El resultado final es que muchas organizaciones de todo el
mundo sacrifican intilmente dinero, productividad y ventaja
competitiva al no implementar una administracin eficaz de TI.
Se ha demostrado que las empresas bien administradas obtienen
un mejor retorno para las partes interesadas, y lo mismo sucede
con la gobernabilidad en lo concerniente a la TI. Los ejecutivos
deben orientar sus reas de TI para obtener la ventaja ptima,
manejar los riesgos relacionados con la TI y medir el valor
que la TI proporciona.
72
Conclusiones del estudio ITGI-2008
Los sistemas de informacin ya no son un complemento para la
organizacin sino que forman parte de su estructura.
Aumento de la complejidad en los entornos TI.
Nivel de servicio de TI decepcionante tanto por parte de las
funciones internas como proveedores externos.
Costes de TI fuera de control.
Necesidad de garantizar el cumplimiento legal que empieza a
regular las TI.
Potencial de las TI para cambiar espectacularmente las
organizaciones y las prcticas empresariales, crear nuevas
oportunidades y reducir costes.
73
Control Interno
La definicin de control interno se entiende como el proceso que
ejecuta la administracin con el fin de evaluar operaciones
especificas con seguridad razonable en tres principales
categoras:
Efectividad y eficiencia operacional.
Seguridad de la informacin.
Cumplimiento de polticas, leyes y normas.
74
Necesidades de control interno
El Control Interno Informtico controla diariamente que todas las
actividades sean realizadas cumpliendo los procedimientos,
estndares y normas fiados por la Direccin de la Organizacin
as como los requisitos legales.
El control interno tiene como principales objetivos:
Controlar que las actividades se realizan cumpliendo los procedimientos
y normas fijados, evaluar su funcionamiento y asegurar el cumplimiento
de las normas legales.
Asesorar sobre el conocimiento de las normas y procedimientos internos.
Colaborar y apoyar al rea de Auditora Informtica.
Definir, implantar y ejecutar mecanismos y controles para comprobar el
logro de los objetivos planteados sobre el servicio de Tecnologas de la
Informacin de la empresa.
75
Necesidades de control interno
Para ello, se despliegan diferentes tipos de controles sobre las
actividades operativas del tipo:
Cumplimiento de los procedimientos y normas internas.
Vigilancia sobre el control de cambios y versiones del software.
Controles sobre la produccin diaria.
Controles sobre la calidad y eficiencia del desarrollo y mantenimiento
software y de los sistemas de informacin.
Controles sobre la administracin y gestin de las redes de
telecomunicaciones.
Controles sobre los sistemas microinformticos.
Monitorizacin sobre la seguridad informtica establecida.
Licencias y relaciones contractuales con terceros.
76
Control interno y Gobierno TI
El control interno mide si los procesos generan las salidas
correctas en relacin a los objetivos planteados.
En relacin al Gobierno TI, proporciona indicadores sobre el
funcionamiento de los sistemas de informacin.
386;#7#4 @#D57#4 ?;:<!4:
/:86;:D
77
El Gobierno TI debe establecer las lneas estratgicas de la
empresa (el rumbo) y el control interno debe verificar que en el
da a da se va por el buen camino.
78
79
ndice del tema.
Introduccin.
Gobierno TI
80
Esquemas de gestin y control interno
Aunque existen diferentes tipos de organizaciones y empresas, la
gestin de las TIC comparte una misma problemtica en cuanto a
los procesos necesarios para su gestin.
La misin fundamental del rea de TIC de cualquier organizacin
es velar por el buen funcionamiento de las infraestructuras
TIC, elementos que posibilitan a los usuarios el acceso a las
aplicaciones y datos que requieren para el desarrollo de su
actividad dentro de la compaa, garantizar la seguridad de la
informacin y los activos en general asociados al rea y dar
soporte a los usuarios cuando sea necesario.
81
La situacin se ha tratado de solucionar con la aparicin en el
escenario de buenas prcticas y normas internacionales
diseadas a paliar el problema de la falta de control interno.
Se ha trabajado en estos ltimos aos para poder consensuar
buenas prcticas y trata de establecer estndares, de manera
que todas las organizaciones establezcan los controles internos
de una misma forma.
82
Ello se ha producido, en parte por:
Preocupacin por el creciente nivel de gasto en TI.
Necesidad de satisfacer cada vez ms diferentes requisitos regulatorios
( Ley de Proteccin de Datos, Sabarnes-Oxley, Basilea II, etc.)
Necesidad de valorar servicios externos (outsourcing).
Riesgos crecientemente complejos de las TI (seguridad informtica,
fugas de datos, etc.)
Necesidad de optimizar costes, siguiendo siempre que sea posible un
enfoque estandarizado.
Madurez creciente y continua aceptacin de aceptados marcos de
trabajo como ISO 9001, Cobit, ITIL, ISO 27001, etc.
Necesidad de poder comparar el desempeo y rendimiento de los
sistemas propios y valorarlos respecto a los de otros.
83
Los objetivos globales de cualquier rea de Explotacin TIC son:
Maximizar la satisfaccin de los clientes internos o externos.
Garantizar la seguridad de los sistemas
Garantizar la seguridad de la informacin
Maximizar la disponibilidad de las redes
Maximizar la disponibilidad de los sistemas
Maximizar la disponibilidad de las aplicaciones
84
Los objetivos globales de cualquier rea de Explotacin TIC son:
Responder en el mnimo tiempo posible ante incidencias relacionadas
con los activos TIC de la compaa.
Optimizar el tiempo de respuesta de las aplicaciones.
Mantener actualizado el sistema documental fijado para el correcto
mantenimiento y soporte de los Sistemas de Informacin corporativos.
Garantizar la gestin de conocimiento.
Garantizar la medicin de los procesos mediante indicadores de eficacia
y eficiencia.
Garantizar la trazabilidad de las operaciones de soporte realizadas.
Trabajar en la mejora continua de procesos, maximizando los
mantenimientos preventivos a costa de los reactivos.
85
Aparecen guas, normas y estndares planteados como
catlogos de objetivos de control y controles que pueden ayudar a
gobierno TI.
COBIT: marco de procesos para la gestin TI.
CMMI: centrado en actividades de desarrollo
ITIL /ISO 20000: centrado en la gestin de los servicios de tecnologa de
la informacin.
ISO 27001: centrado en la seguridad de la informacin.
ISO 38500: centrado en el Gobierno TI
86
COBIT
COBIT (Control Objectives for Information and related Technology) es un
conjunto de mejores prcticas para el manejo de informacin creado por
ISACA e ITGI.
COBIT marca las directrices gerenciales sobre un marco internacional de
referencias que abordan las mejores prcticas de auditora y control de
sistemas de informacin. Permiten que la gerencia incluya, comprenda y
administre los riesgos relacionados con la tecnologa de informacin y
establezca el enlace entre los procesos de administracin, aspectos tcnicos,
la necesidad de controles y los riesgos asociados.

La misin de COBIT es "investigar, desarrollar, publicar y promocionar un
conjunto de objetivos de control generalmente aceptados para las tecnologas
de la informacin que sean autorizados (dados por alguien con autoridad),
actualizados, e internacionales para el uso del da a da de los gestores de
negocios (tambin directivos) y auditores.
87
CMMI
Es un modelo concebido para mejorar los procesos de desarrollo
y mantenimiento de productos de software. Fue creado por el
Software Engineering Institute (SEI) de la Universidad
estadounidense Carnegie Mellon, combinando tres modelos del
SEI:
CMM-SW (CMM for Software)
SE-CMM (Systems Engineering Capability Maturity Model)
IPD-CMM (Integrated Product Development)
CMMI tambin se inspira en buenas prcticas de la industria y de
la experiencia adquirida en la evaluacin e implantacin de mejora
de procesos en entornos reales.

88
ITIL / ISO 20000
ITIL es una seria de libros con las mejores prcticas de TI. Es un marco de
referencia de dominio pblico. Probado empricamente y bajo constante
desarrollo, soportado por herramientas, utilizado por la mayora de los grandes
data-centers de mundo.
La serie ISO/IEC 20000 proviene de la adopcin de la serie BS 15000 que
especifica un conjunto de procesos de gestin interrelacionados, esta basada en
gran medida en el marco de trabajo ITIL y se pretende que formen una base de
una auditora del servicio gestionado.
ISO 20000-1 establece los requisitos de un sistema de gestin de las tecnologas
de la informacin (SGTI) para ser certificable por una entidad independiente.
ISO 20000-2 proporciona un conjunto de buenas prcticas basada en el estndar
"de facto" ITIL.
89
ISO 27000
La serie ISO/IEC 27000 es un conjunto de estndares desarrollados que
proporcionan un marco de gestin de la seguridad de la informacin utilizable
por cualquier tipo de organizacin, pblica o privada, grande o pequea.
ISO 27001 establece los requisitos de un sistema de seguridad de la informacin
(SGSI) para ser certificable por una entidad independiente.
ISO 27002 proporciona un conjunto de buenas prcticas para la gestin de la
seguridad de su informacin.
90
ndice del tema.
Introduccin.
Gobierno TI
91
La funcin de auditora
Se establece un modelo de control interno basado en la
comparacin de lo deseable con lo obtenido.
Se establece un determinado nivel de temperatura (Objetivo de
control) para el sistema de acondicionamiento de aire (Proceso).
El termostato medir continuamente la temperatura del ambiente
(Salida) y la comparar con la temperatura deseada (Objetivo de
control) e indicar cual es la accin a realizar (accin de control)
92
Objetivos de control y controles
El control mide si los procesos generan las salidas correctas en
relacin a los objetivos planteados.
386;#7#4 @#D57#4 ?;:<!4:
/:86;:D
*KP!MA: 7! <:86;:D
93
94
Objetivos de control y controles
Un objetivo de control TI es una declaracin del resultado o fin
que se desea lograr al implantar procedimientos de control en una
actividad TI en particular.
Un control se define como las polticas, normas, procedimientos,
prcticas y estructuras organizacionales diseadas para brindar
una seguridad razonable que los objetivos de negocio se
alcanzarn, y los eventos previstos sern prevenidos o detectados
o corregidos.
95
Se establecen diferentes objetivos de control para el rea de
Tecnologas de la Informacin y se comparan los servicios o
productos que se obtienen con los resultados deseables, en base
a la valoracin de los registros de funcionamiento que establecen
los diferentes controles implantados.
Los controles son como sensores de funcionamiento que
proporcionan informacin para tomar acciones de control.
96
Control interno y auditora TI
Son tareas similares con objetivos comunes aunque algunas
diferencias
/:86;:D '86!;8: 0>756:;G#
SlmlllLudes
ersonal lnLerno
ConoclmlenLos especlallzados en 1ecnologlas de la lnformacln.
verlcacln del cumpllmlenLo de las normauvas y procedlmlenLos esLablecldos
sobre los slsLema de lnformacln.
ulferenclas
Anllsls de los conLroles dla a dla
lnforma a la ulreccln del
ueparLamenLo de lnformuca
ersonal lnLerno
Anllsls de los conLroles en un momenLo
dado.
lnforma a la ulreccln de la Crganlzacln.
ersonal lnLerno o exLerno.
97
La funcin de auditora TI
Es quien verifica el correcto funcionamiento de los controles y
valora el nivel de cumplimento de los objetivos de control para dar
una opinin a la Direccin del estado de los elementos auditados
en base a unos criterios de auditora establecidos.
98

Tema+1 M0 MP C2011 2012

Diunggah oleh

Informasi Dokumen

Judul Asli

Hak Cipta

Format Tersedia

Bagikan dokumen Ini

Bagikan atau Tanam Dokumen

Opsi Berbagi

Apakah menurut Anda dokumen ini bermanfaat?

Apakah konten ini tidak pantas?

Hak Cipta:

Format Tersedia

Tema+1 M0 MP C2011 2012

Diunggah oleh

Hak Cipta:

Format Tersedia

Auditoria y Peritaje

Curso 2011 / 2012

Anda mungkin juga menyukai