Procedimientos de Auditoría de Sistemas

aplicando Prácticas Clave de

Mario Hernán Cornejo Pérez

Enero de 2021
Contenidos a desarrollar
1. Mejores Prácticas
1. Definición
2. Modelos de Gestión de TI

2. Objetivos de Gobierno y Control de la Información y Tecnologías

Relacionadas (COBIT)
1. Definición
2. Evolución
3. Principios
4. Componentes
5. Modelo Núcleo
6. Aplicación de COBIT en Auditoría de Sistemas
7. Caso práctico de aplicación de COBIT
 Mejores prácticas
Conjunto coherente de acciones que han rendido buen o incluso
excelente servicio en un determinado contexto y que se espera que, en
contextos similares, rindan similares resultados. Éstas dependen de las
épocas, de las modas y hasta de la empresa consultora o del autor que
las preconiza.
La Real Academia de la Lengua recomienda "el empleo de otros
términos alternativos, dependiendo del contexto, como mejores
soluciones, mejores métodos, procedimientos más adecuados, prácticas
recomendables, o similares.
Las Mejores prácticas corporativas de forma
general, las podemos definir como una
serie de metodologías, sistemas,
herramientas, y técnicas aplicadas y
probadas con resultados sobresalientes en
empresas que han sido reconocidas como
de clase mundial.
 Empresas más grandes del mundo 2020
Por su capitalización bursátil el 17/02/2020, en miles de millones de dólares

Cap
Nº Nombre País Industria
bursátil
1 Aramco Arabia Saudí 1.764,96 Energía
2 Apple Inc Estados Unidos 1.421,81 Tecnología, hardware
3 Microsoft Corp Estados Unidos 1.409,78 Tecnología, software
4 Amazon.Com Estados Unidos 1.062,76 Internet, distribución retail
5 Alphabet Inc Estados Unidos 1.044,53 Medios interactivos y servicios
6 Facebook Inc Estados Unidos 610,51 Medios interactivos y servicios
7 Alibaba China 589,21 Internet, distribución retail
8 Berkshire Hathaway Estados Unidos 554,55 Fondo de inversión
9 Tencent China 512,31 Servicios de comunicación
10 JP Morgan Chase Estados Unidos 431,14 Banco
11 Visa Inc Estados Unidos 412,70 Tecnologías de la información
12 Johnson&Johnson Estados Unidos 395,12 Cuidado de la salud
13 Mastercard Inc-A Estados Unidos 342,69 Tecnologías de la información
14 Walmart Inc Estados Unidos 334,47 Productos básicos de consumo
15 Nestle Sa-Reg Suiza 327,21 Productos básicos de consumo

Fuente: https://economipedia.com/ranking/empresas-mas-grandes-del-mundo-2020.html
 Algunas organizaciones de cualquier industria
se adelantan debido a la adopción o al
desarrollo de Mejores prácticas. Con el tiempo,
otras organizaciones adoptan las mismas
prácticas u otras salidas del negocio. Una vez
que "la practica común" esté instalada,
entonces la industria opera en un estado de
Buenas prácticas.

Mejores prácticas
 El acercamiento a una garantía que ya ha sido probada de ser la
mas efectiva.
 Es derivada de la práctica de las personas más exitosas y efectivas
del campo.

Buenas prácticas
 Lo que todo el mundo esta haciendo, visto como algo, y a lo que
usualmente se refieren como "lo mas apropiado de hacer“.
 · Hay una búsqueda continua de mejoramiento.
 BENCHMARKING
Consiste en tomar "comparadores" o benchmarks a aquellos productos, servicios
y procesos y de trabajo que pertenezcan a organizaciones que evidencien las
mejores prácticas sobre el área de interés, con el propósito de transferir el
conocimiento de las mejores prácticas y su aplicación.
Es una técnica para buscar las mejores prácticas que se pueden encontrar fuera
o a veces dentro de la empresa, en relación con los métodos, procesos de
cualquier tipo, productos o servicios, siempre encaminada a la mejora continua y
orientada fundamentalmente a los clientes.
Implica aprender de lo que está haciendo el otro y entonces adaptar sus propias
prácticas según lo aprendido, realizando los cambios necesarios, no se trata
solamente de copiar una buena práctica, sino que debe de efectuarse una
adaptación a las circunstancias y características propias.
 Modelos de Gestión de TI

Control objectives for information and related Technology (COBIT)

Information Services Procurement Library (ISPL)

IT Process Model (ITPM)

IT Infrastructure Library (ITIL)

Microsoft Operations Framework (MOF)

Metodología de Análisis y Gestión de Riesgos de los Sistemas de

Información (MAGERIT)

PRojects IN Controlled Environments (PRINCE2)

Normas ISO/IEC 27000 – series

 Definición
COBIT es un marco de referencia para el gobierno y la gestión de la
información y la tecnología, dirigido a toda la empresa. La I&T
empresarial significa toda la tecnología y procesamiento de la
información que la empresa utiliza para lograr sus objetivos,
independientemente de dónde ocurra dentro de la empresa. En
otras palabras, la información y la tecnología (I&T) empresarial no
se limita al departamento de TI de una organización, aunque este
está indudablemente incluido.
 Evolución de COBIT
Gobierno Empresarial de la TI (GETI)

Gobierno Corporativo de TI
Evolución del Alcance

Gobierno de TI

Administración
Val IT 2.0
2008

Control
Risk IT
2009

Auditoría

COBIT 1 COBIT 2 COBIT 3 COBIT 4.0/4.1 COBIT 5 COBIT 2019

1996 1998 2000 2005/2007 2012 2019

 Principios del Sistema de Gobierno

1.
Proporcionar 3. Sistema
valor a las 2. Enfoque de gobierno
partes holístico dinámico
interesadas

4. Separar el 5. Adaptar a 6. Sistema de

gobierno de las gobierno
la gestión necesidades íntegro
de la empresa
 Principios del sistema de gobierno
1. Cada empresa necesita un sistema de gobierno para satisfacer las necesidades de las
partes interesadas y generar valor del uso de la I&T. El valor refleja un equilibrio entre
el beneficio, el riesgo y los recursos, y las empresas necesitan una estrategia y un
sistema de gobierno práctico para materializar este valor.
2. Un sistema de gobierno para la I&T de la empresa se crea a partir de una serie de
componentes que pueden ser de distinto tipo y que funcionan conjuntamente de forma
holística.
3. Un sistema de gobierno debería ser dinámico. Esto significa que cada vez que se
cambian uno o más factores del diseño, debe considerarse el impacto de estos
cambios en el sistema GETI. Una visión dinámica de la GETI llevará a un sistema de
GETI preparado para el futuro.
4. Un sistema de gobierno debería distinguir claramente entre actividades de gobierno y
gestión, y estructuras.
5. Un sistema de gobierno debería personalizarse de acuerdo con las necesidades de la
empresa, utilizando una serie de factores de diseño como parámetros para
personalizar y priorizar los componentes del sistema de gobierno.
6. Un sistema de gobierno debería cubrir la empresa de principio a fin, centrándose no
solo en la función de TI, sino en todo el procesamiento de tecnología e información
que la empresa pone en funcionamiento para lograr sus objetivos,
independientemente de dónde se realice el procesamiento en la empresa.
 Principios del Marco de Gobierno

1. Basado en el 2. Abierto y 3. Alineado con

modelo flexible las principales
conceptual normativas
 Principios del marco de gobierno
1. Un marco de gobierno se debería basar en un modelo conceptual que
identifique los componentes principales y las relaciones entre componentes
para maximizar la uniformidad y permitir la automatización.

2. Un marco de gobierno debería ser abierto y flexible. Debería permitir la

incorporación de nuevo contenido y la capacidad para abordar nuevos
asuntos de la forma más flexible, mientras mantiene la integridad y
uniformidad.

3. Un marco de gobierno debería alinearse con los principales estándares,

marcos y regulaciones relacionados.
Visión general de COBIT
Componentes COBIT de un sistema de gobierno

Procesos

Servicios,
Estructuras
infraestructura y
organizativas
aplicaciones

Sistema de
gobierno
Personas, Principios,
habilidades y políticas,
competencias procedimientos

Cultura, ética y
Información
comportamiento
Modelo Core de COBIT
OBJETIVOS DE GOBIERNO Y GESTIÓN DE COBIT

Evaluar, Dirigir y Monitorizar (EDM)

Alinear, Planificar y Organizar (APO)

Construir, Adquirir e Implementar (BAI)

Entregar, Dar Servicio y Soporte (DSS)

Monitorizar, Evaluar y Valorar (MEA)

 Enfoque de COBIT 2019
1. Evaluar, Orientar y Supervisar
1. Gobierno 2. Alinear, Planificar y Organizar
2. Gestión 3. Construir, Adquirir e Implementar
4. Entregar, dar Servicio y Soporte
5. Supervisar, Evaluar y Valorar

2 1. EDM01 Asegurar el establecimiento y

mantenimiento del Marco de Gobierno.
Disciplinas …
40. MEA04 Gestionar el aseguramiento
5
Dominios
1. EDM01.01 Evaluar el sistema
de gobierno
…
40 231. MEA04.09 Hacer seguimiento
Objetivos G/C a las recomendaciones y a las
acciones.

231
Prácticas clave

Mario Cornejo
 ALCANCE COBERTURA

SEGURIDAD FÍSICA

AUDITORÍA A SI EN OPERACIÓN
SEGURIDAD LÓGICA
SEGURIDAD
DEL SISTEMA VALORES PARAMETRIZABLES

PISTAS DE AUDITORÍA
COMPONENTES

ELEMENTOS
AUDITORÍA
SI EN OPERACIÓN

ORIGEN DE DATOS

FUNCIONAMIENTO
ENTRADA DE DATOS
DEL SISTEMA

PROCESO DE DATOS

SALIDA DE INFORMACIÓN
Aplicando
COBIT
Procedimientos de Auditoría de Sistemas
aplicando Prácticas Clave
Procedimientos de Auditoría de Sistemas
aplicando Prácticas Clave de
Procedimientos de Auditoría de Sistemas
aplicando Prácticas Clave de
Procedimientos de Auditoría de Sistemas
aplicando Prácticas Clave de