Auditoría y Control

en Sistemas de
Información
CPC Guillermo Pedro Zegarra Cerna
MBA, Magister en Dirección Estratégica de Empresas
CRISC|CPDSE|CRMA|CHIAP|CICA|ISO 22301|ISO
3100 LRM, Cobit 5 F
[email protected]
https://www.linkedin.com/in/guillermozegarracerna/

2022-01 Semana 03
Unidades de aprendizaje

Unidad
AUDITORÍA A PROCESOS CLAVE DEL GOBIERNO DE TI
1 2 3 4 5 6

Logro
Comprender qué controles clave están relacionados a los de una auditoría al gobierno de
TI.

Temario
• Definición de Gobierno de las Tecnologías de Información
• Administración del riesgo en los gobiernos de TI
• Prácticas de auditoría a los gobiernos de TI
• La importancia de la segregación de funciones en la estructura organizacional de TI
• Auditoría del proceso de contratación del personal de TI
• Auditoría de la prestación de servicios de TI

Hora(s) / Semana(s)
6 H / 3, 4
GOBIERNO DE LAS
TECNOLOGÍAS DE
INFORMACIÓN

Semana 03
Evolución de COBIT ®

Con el paso de los años, se han desarrollado

y promocionado marcos de referencia de
mejores prácticas para contribuir a entender,
diseñar e implementar el GEIT.

COBIT 2019 se integra y se basa en más

de 25 años de desarrollo en este campo.

Desde su nacimiento en la comunidad de

auditoría de TI, COBIT ha pasado a ser un
marco de referencia de gestión y gobierno
de I&T más amplio y exhaustivo.

COBIT sigue estableciéndose como un

marco generalmente aceptado para el
gobierno de I&T.
 Gobierno de TI

COBIT ® es un marco de
referencia para el gobierno
y la gestión de la
información y la tecnología
(I&T) de la empresa, que
contribuye a la consecución
de las metas empresariales.
OBJETIVOS DE GOBIERNO Y GESTIÓN

Para que la información y la tecnología contribuyan a los objetivos

de la empresa, deberían lograrse una serie de objetivos de
gobierno y gestión. Los conceptos básicos incluyen:
• Un objetivo de gobierno o gestión siempre está relacionado
con un proceso y una serie de componentes relacionados de
otros tipos para contribuir a lograr el objetivo.
• Un objetivo de gobierno está relacionado con un proceso de
gobierno, mientras que un objetivo de gestión está
relacionado con un proceso de gestión.
• Los procesos de gobierno suelen ser responsabilidad de los
consejos de administración y la dirección ejecutiva, mientras
que los procesos de gestión pertenecen al dominio de la alta y
media gerencia.
 OBJETIVOS DE GOBIERNO Y GESTIÓN
Los objetivos de gobierno y gestión de COBIT se agrupan en
cinco dominios. Los dominios se nombran mediante verbos que
expresan el propósito clave y las áreas de actividad de los
objetivos que tienen:

Referencia: Marco de referencia COBIT 2019: Conceptos básicos: Sistemas de gobierno y componentes, Capítulo 4
 Gobierno de TI

Audit Program

Referencia: Marco de referencia COBIT 2019: Conceptos básicos: Sistemas de gobierno y componentes, Capítulo 4
 Gobierno vs Gestión

El marco de referencia COBIT hace una

distinción clara entre gobierno y
gestión. Estas dos disciplinas abarcan
distintos tipos de actividades,
requieren distintas estructuras
organizativas y sirven diferentes
propósitos.

¿Cuál diría usted que es la diferencia

entre gobierno y gestión?
 Gobierno vs Gestión

El gobierno garantiza que:

Las necesidades, condiciones y opciones de las partes interesadas se

evalúan para determinar objetivos empresariales equilibrados y
acordados.
La dirección se marca a través de la priorización y la toma de
decisiones.
El rendimiento y el cumplimiento se supervisan con relación a la
dirección y los objetivos acordados.
En la mayoría de las empresas, el gobierno en general es
responsabilidad del consejo de dirección bajo el liderazgo del
presidente.
Ciertas responsabilidades específicas del gobierno se pueden delegar a
estructuras organizativas especiales a un nivel adecuado, en particular,
en empresas más grandes y complejas.
10 Referencia: Marco de referencia COBIT 2019: Introducción y metodología Capítulo 1 Introducción
 Gobierno vs Gestión

Gestión
planifica, construye, ejecuta y monitorea actividades en
alineación con la dirección establecida por el órgano de
gobierno para alcanzar los objetivos de la empresa.

En la mayoría de las empresas, la gestión es responsabilidad

de la dirección ejecutiva bajo el liderazgo del director
general ejecutivo (CEO).

11 Referencia: Marco de referencia COBIT 2019: Introducción y metodología Capítulo 1 Introducción

 COMPONENTES DE UN
SISTEMA DE GOBIERNO

Semana 03
Componentes de un Sistema de Gobierno

Con el objetivo de cumplir con los objetivos de

gobierno y gestión, cada empresa debe
establecer, personalizar y sostener un sistema
de gobierno creado a partir de una serie de
componentes.

Los componentes son factores que, de forma

individual y colectiva, contribuyen al buen
funcionamiento del sistema de gobierno de la
empresa en cuanto a la I&T.

Los componentes interactúan entre sí, lo que da

lugar a un sistema holístico de gobierno de I&T.

Los componentes pueden ser de diversos tipos,

los más familiares son los procesos.
 Componentes de un Sistema de Gobierno

Procesos

Servicios, Estructuras
Infraestructura
y Aplicaciones Organizativas

Sistema
de
Flujos y
Cultura,
Ética y
Gobierno Elementos
Comportamiento
de
Información

Personas,
Políticas y
Procedimientos
Habilidades y
Competencias

Referencia: Marco de referencia COBIT 2019: Conceptos básicos: Sistemas de gobierno y componentes, Capítulo 4
 Componente Proceso

Procesos
Los Procesos describen una serie
de prácticas y actividades Servicios, Estructuras
Infraestructura
organizadas para lograr y Aplicaciones Organizativas

determinados objetivos y producir

una serie de resultados que
Sistema
contribuyan a la consecución de la
de
totalidad de los objetivos Cultura, Gobierno Flujos y
Elementos
relacionados con las TI. Ética y
Comportamiento
de
Informacion

Personas,
Políticas y
Procedimientos
Habilidades y
Competencias

Referencia: Marco de referencia COBIT 2019: Conceptos básicos: Sistemas de gobierno y componentes, Capítulo 4
 Componente Estructuras Organizativas

Procesos

Servicios,
Estructuras
Las Estructuras Infraestructura
y Aplicaciones Organizativas

organizativas son las

entidades claves de toma de
decisiones en una empresa. Sistema
de
Flujos y
Cultura,
Ética y
Gobierno Elementos
Comportamiento
de
Informacion

Personas,
Políticas y
Procedimientos
Habilidades y
Competencias

Referencia: Marco de referencia COBIT 2019: Conceptos básicos: Sistemas de gobierno y componentes, Capítulo 4
 Componente Flujos y Elementos de
Información

Procesos

La Información es generalizada en Servicios, Estructuras

Infraestructura
cualquier organización e incluye y Aplicaciones Organizativas

toda la información producida y

utilizada por la empresa. COBIT
Sistema
se centra en la información de
requerida para el Cultura, Gobierno Flujos y
Elementos
funcionamiento eficaz del sistema Ética y
Comportamiento
de
Informacion
de gobierno de la empresa.

Personas,
Políticas y
Procedimientos
Habilidades y
Competencias

Referencia: Marco de referencia COBIT 2019: Conceptos básicos: Sistemas de gobierno y componentes, Capítulo 4
 Componente Personas, Habilidades y
Competencias

Procesos
Las Personas, habilidades y
competencias son necesarias para Servicios, Estructuras
Infraestructura
tomar buenas decisiones, ejecutar y Aplicaciones Organizativas

acciones correctivas y completar

satisfactoriamente todas las
Sistema
actividades.
de
Flujos y
Cultura,
Ética y
Gobierno Elementos
Comportamiento
de
Informacion

Personas,
Políticas y
Procedimientos
Habilidades y
Competencias

Referencia: Marco de referencia COBIT 2019: Conceptos básicos: Sistemas de gobierno y componentes, Capítulo 4
 Componente Políticas y Procedimientos

Procesos

Las políticas y procedimientos Servicios,

Infraestructura
Estructuras
Organizativas
convierten el comportamiento y Aplicaciones

deseado en una guía práctica para

la gestión diaria. Sistema
de
Flujos y
Cultura,
Ética y
Gobierno Elementos
Comportamiento
de
Informacion

Personas,
Políticas y
Procedimientos
Habilidades y
Competencias

Referencia: Marco de referencia COBIT 2019: Conceptos básicos: Sistemas de gobierno y componentes, Capítulo 4
 Componente Cultura, Ética y Comportamiento

Procesos
La Cultura, Ética y
Comportamiento de individuos y Servicios, Estructuras
Infraestructura
de la empresa son, a menudo, y Aplicaciones Organizativas

subestimados como un factor de

éxito en las actividades de
Sistema
gobierno y gestión.
de
Flujos y
Cultura,
Ética y
Gobierno Elementos
Comportamiento
de
Informacion

Personas,
Políticas y
Procedimientos
Habilidades y
Competencias

Referencia: Marco de referencia COBIT 2019: Conceptos básicos: Sistemas de gobierno y componentes, Capítulo 4
 Componente Servicios, Infraestructura y
Aplicaciones

Procesos
Los Servicios, la infraestructura y
las aplicaciones incluyen la Servicios, Estructuras
Infraestructura
infraestructura, la tecnología y las y Aplicaciones Organizativas

aplicaciones que brindan a la

empresa un sistema de gobierno
Sistema
para el procesamiento de la I&T.
de
Flujos y
Cultura,
Ética y
Gobierno Elementos
Comportamiento
de
Informacion

Personas,
Políticas y
Procedimientos
Habilidades y
Competencias

Referencia: Marco de referencia COBIT 2019: Conceptos básicos: Sistemas de gobierno y componentes, Capítulo 4
ÁREAS PRIORITARIAS (DE
ENFOQUE)Y FACTORES DE
DISEÑO

Semana 03
 Áreas Prioritarias (De Enfoque)

Un área prioritaria o de Enfoque describe un tópico,

Ejemplos de áreas
dominio o asunto de gobierno determinado que puede
prioritarias o Enfoque:
abordarse como una colección de objetivos de gobierno
y gestión y sus componentes. Pequeñas y medianas
empresas
Las áreas prioritarias pueden incluir una combinación de Ciberseguridad
componentes de gobierno genéricos y variantes. Riesgo
La cantidad de áreas prioritarias es prácticamente Computación en la nube
ilimitada. Esto hace que COBIT sea abierto. Se pueden
Privacidad
añadir nuevas áreas prioritarias conforme sea necesario
o conforme los expertos y especialistas en la materia DevOps
contribuyan. Blockchain

Referencia: Marco de referencia COBIT 2019: Conceptos básicos: Sistemas de gobierno y componentes, Capítulo 4
 Factores de Diseño

Los factores de diseño son factores que pueden influir en el diseño del sistema
de gobierno de una empresa y la posicionan para que tenga éxito a la hora de
usar la I&T.
Referencia: Marco de referencia COBIT 2019: Conceptos básicos: Sistemas de gobierno y componentes, Capítulo 4
 Factor de Diseño 1: Estrategia Empresarial

Las empresas pueden contar con distintas estrategias, que

pueden expresarse como (una combinación de) los arquetipos
que se muestran a continuación. Las organizaciones suelen
contar con una estrategia principal y, como mucho, una estrategia
secundaria.
Figura 4.5—Factor de diseño de estrategia empresarial
Arquetipo de la estrategia Explicación
Crecimiento/Adquisición La empresa se centra en el crecimiento (ingresos).
Innovación/Diferenciación La empresa debe centrarse en ofrecer productos y servicios diferentes y/o
innovadores a sus clientes.
Liderazgo en costos La empresa debe centrarse en la minimización de costes a corto plazo.
Servicio al La empresa se centra en proporcionar un servicio estable y orientado al
cliente/Estabilidad cliente.

Referencia: Marco de referencia COBIT 2019: Conceptos básicos: Sistemas de gobierno y componentes, Capítulo 4
 Factor de Diseño 2: Metas Empresariales

La estrategia empresarial se
logra mediante la
consecución de (una serie
de) metas empresariales.
Estas metas se definen en el
marco de referencia COBIT,
se estructuran en torno a las
dimensiones del cuadro de
mando integral (Balanced
Scorecard).

Referencia: Marco de referencia COBIT 2019: Conceptos básicos: Sistemas de gobierno y componentes, Capítulo 4
 Factor de Diseño 3: Perfil de Riesgo

El perfil de riesgo
identifica el riesgo
relacionado con la I&T al
que está expuesto la
empresa en la actualidad
e indica qué áreas de
riesgo exceden su
apetito al riesgo.
.

Referencia: Marco de referencia COBIT 2019: Conceptos básicos: Sistemas de gobierno y componentes, Capítulo 4
 Factor de Diseño 4: Problemas relacionados
con I&T

Un método asociado
para una valoración de
riesgos de I&T es que la
empresa considere a
qué problemas
relacionados con I&T se
enfrenta o, dicho de otro
modo, qué riesgo
relacionado con I&T se
ha materializado. Este es
el problema más común
de todos.
.

Referencia: Marco de referencia COBIT 2019: Conceptos básicos: Sistemas de gobierno y componentes, Capítulo 4
 Factor de Diseño 5: Escenario de Amenazas

El escenario de amenazas bajo el cual opera la empresa

pueden clasificarse tal como se muestra a continuación.

Figura 4.9 – Factor de diseño del escenario de amenazas

Escenario de Explicación
amenazas
Normal La empresa funciona bajo lo que se consideran niveles
de amenaza normales.

Alto Debido a su situación geopolítica, sector industrial o perfil

específico, la empresa funciona en un entorno de
amenazas elevadas.

Referencia: Marco de referencia COBIT 2019: Conceptos básicos: Sistemas de gobierno y componentes, Capítulo 4
 Factor de Diseño 6: Requerimiento de
Cumplimiento

Los requerimientos de cumplimiento a los que la empresa

está sujeta pueden clasificarse conforme a las categorías
siguientes
Figura 4.10—Factor de diseño de los requerimientos de cumplimiento
Entornos regulatorios Explicación
Requerimientos de La empresa está sujeta a un conjunto de requerimientos de cumplimiento
cumplimiento bajos mínimos que son inferiores a la media.

Requerimientos de La empresa está sujeta a un conjunto de requerimientos de cumplimiento

cumplimiento normales comunes a las distintas industrias.

Requerimientos de La empresa está sujeta a requerimientos de cumplimiento más

cumplimiento altos elevados de lo normal, en la mayoría de los casos relacionados con el
sector industrial y las condiciones geopolíticas.

Referencia: Marco de referencia COBIT 2019: Conceptos básicos: Sistemas de gobierno y componentes, Capítulo 4
 Factor de Diseño 7: Rol de TI

El rol de TI para la empresa puede clasificarse tal como se

muestra a continuación:
Figura 4.11—Factor de Diseño del rol de TI
Rol de TI Explicación
Soporte No es crucial para el funcionamiento y la continuidad del proceso
comercial y los servicios del negocio ni para su innovación.
Fábrica Cuando las TI fallan, hay un impacto inmediato en el funcionamiento y
continuidad de los procesos y servicios del negocio. Sin embargo, las TI
no se consideran un factor impulsor de la innovación de procesos y
servicios del negocio.
Cambio Las TI se consideran un factor impulsor de la innovación de procesos y
servicios del negocio. En este momento, sin embargo, no hay una
dependencia crítica en TI para el funcionamiento y la continuidad actual
de los procesos y servicios del negocio.
Estratégico Las TI son críticas para el funcionamiento e innovación de los procesos y
servicios del negocio de la organización.
Referencia: Marco de referencia COBIT 2019: Conceptos básicos: Sistemas de gobierno y componentes, Capítulo 4
 Factor de Diseño 8: Modelo de
Abastecimiento o Aprovisionamiento para TI
El modelo de abastecimiento o aprovisionamiento (sourcing) para TI
que la empresa adopta puede clasificarse tal como se muestra a
continuación:
Figura 4.12—Factor de diseño del modelo de abastecimiento de proveedores para TI
Modelo de abastecimiento de Explicación
proveedores
Externalización La empresa requiere los servicios de un tercero para proporcionar servicios de TI.
(outsourcing)
Nube La empresa maximiza el uso de la nube para proporcionar servicios de TI a sus
usuarios.
Personal interno (insourced) La empresa aporta su propio personal y servicios de TI.

Híbrido Se aplica un modelo híbrido que combina los otros tres modelos en distintos
grados.

Referencia: Marco de referencia COBIT 2019: Conceptos básicos: Sistemas de gobierno y componentes, Capítulo 4
 Factor de Diseño 9: Métodos de
Implementación de TI
Los métodos de implementación de TI para la empresa puede
clasificarse tal como se muestra a continuación:
Figura 4.13—Factor de diseño de los métodos de implementación de TI
Método de Explicación
implementación de TI
Agil La empresa utiliza los métodos de desarrollo de trabajo Agil para su
desarrollo de software.
DevOPs La empresa usa los métodos de trabajo DevOps para la creación,
despliegue y operaciones de software.
Tradicional La empresa usa un método más clásico para el desarrollo de software
(cascada) y separa el desarrollo de software de las operaciones.
Híbrido La empresa usa una mezcla de implementación de TI tradicional y TI
moderna, a la que solemos referirnos como «TI bimodal».

Referencia: Marco de referencia COBIT 2019: Conceptos básicos: Sistemas de gobierno y componentes, Capítulo 4
 Factor de Diseño 10: Estrategia de Adopción
de Tecnología
La estrategia de adopción de Tecnología puede clasificarse tal
como se muestra a continuación:
Figura 4.14—Factor de diseño de la estrategia de adopción de tecnología

Estrategia de adopción de tecnología Explicación

El que primero se mueve (First La empresa suele adoptar nuevas tecnologías lo antes
mover) posible e intenta lograr la «ventaja del que primero se
mueve».
Seguidor (Follower) intenta lograr la «ventaja del que primero se mueve»
generalicen y pongan a prueba antes de adoptarlas.

Adoptadores lentos (Slow adopter) La empresa tarda mucho en adoptar las nuevas tecnologías.

Referencia: Marco de referencia COBIT 2019: Conceptos básicos: Sistemas de gobierno y componentes, Capítulo 4
 Factor de Diseño 11: Tamaño de la Empresa

Se han identificado dos categorías para el diseño del sistema de

gobierno de una empresa. Las microempresas, por ejemplo
empresas con menos de 50 empleados, no se consideran en esta
vista.
Figura 4.15— Factor de diseño del tamaño de la empresa
Tamaño de la empresa Explicación
Empresa grande (predeterminada) Empresa con más de 250 empleados que laboran tiempo
completo (FTE)
Pequeñas y medianas empresas Empresa con entre 50 y 250 empleados que laboran tiempo
completo (FTE)

Referencia: Marco de referencia COBIT 2019: Conceptos básicos: Sistemas de gobierno y componentes, Capítulo 4
GESTIÓN DEL RIESGO EN
EL GOBIERNO DE TI

Semana 03
Gestión del Riesgo en el
Gobierno de TI

Evaluar las prácticas de gestión de riesgos para

determinar si los riesgos de la organización
relacionados con TI se identifican, evalúan,
monitorean, informan y gestionan.
 Términos clave

Término clave Definición

Riesgo de TI El riesgo de negocio asociado con el uso, la propiedad, la
operación, la participación, la influencia y la adopción de TI
dentro de una empresa.
Gestión de riesgos 1. Las actividades coordinadas para dirigir y controlar una
empresa con respecto al riesgo.
2. Uno de los objetivos de gobierno. Conlleva el riesgo de
reconocer; evaluar el impacto y la probabilidad de que el
riesgo; y las estrategias de desarrollo, tales como evitar el
riesgo, lo que reduce el efecto negativo del riesgo y / o
transferir el riesgo, para su gestión en el contexto de
tolerancia al riesgo de la empresa.
 Gestión de riesgos

• El proceso de gestión de riesgos se centra en los recursos de

información de una empresa.
• Para ser eficaz, el proceso debe comenzar con una
comprensión del apetito de la alta gerencia por el riesgo.
 Gestión de riesgos (cont.)

• Cuatro posibles respuestas a los riesgos son:

– Evitar—eliminar la causa del riesgo
– Mitigar—reducir la probabilidad o el impacto del riesgo
– Compartir/Transferir—compartir el riesgo con los socios a
través de seguros o empresas conjuntas
– Aceptar—reconocer formalmente la existencia del riesgo y
monitorearlo
• Una quinta respuesta, rechazo de riesgo a través de la
elección de ignorarlo, no se considera como una gestión de
riesgos efectiva. La presencia de esta respuesta al riesgo debe
ser considerada una bandera roja por el auditor de SI.
 Programa de gestión de riesgos

Identificación de activo • Identificar los recursos o activos que son vulnerables

a amenazas.

Evaluación de amenazas • Determinar las amenazas y las vulnerabilidades

Objetivo:
asociadas con el activo. Un equilibrio
rentable entre
Evaluación del impacto las amenazas
• Describe lo que sucederá debe ser explotado una
vulnerabilidad. significativas, y
la aplicación
Cálculo del riesgo • Forma una visión general del riesgo basada en la de controles a
probabilidad de ocurrencia y la magnitud del esas
impacto.
amenazas.
Respuesta a riesgos • Evaluar los controles existentes o diseñar nuevos
controles para traer el riesgo residual en la alineación
con la tolerancia al riesgo de la empresa
 Métodos de análisis de riesgos

• El análisis de riesgos se define como un proceso por el cual se estiman la

probabilidad y la magnitud de los escenarios de riesgos de TI.
• Tres métodos se pueden emplear durante el análisis de riesgos:
– Métodos de análisis cualitativo de riesgo — Clasificaciones
descriptivas para describir los impactos o la probabilidad del riesgo.
– Métodos de análisis semi-cuantitativo — Clasificaciones descriptivas
asociadas con una escala numérica.
– Métodos de análisis cuantitativo — Valores numéricos, por ejemplo,
en forma de costos financieros, se utilizan para describir la
probabilidad y el impacto del riesgo.
• Cada uno de los tres métodos ofrece una perspectiva sobre el riesgo, pero
es importante reconocer los supuestos incorporados en cada análisis de
riesgos.
Análisis del impacto en el negocio

• El Análisis del impacto en el negocio (BIA) es un proceso para determinar

el impacto de la pérdida de cualquier recurso.
• Es un complemento importante para el análisis de riesgos, a menudo el
descubrimiento de los componentes vitales, pero menos visibles, que
apoyan los procesos críticos.
• Tres preguntas principales deberían considerarse durante el proceso de
BIA:
– ¿Cuáles son los diferentes procesos del negocio?
– ¿Cuáles son los recursos de información críticos relacionados con los
procesos del negocio críticos de una organización?
– En el caso de un impacto en los procesos de negocio críticos, ¿en qué
período de tiempo se sufrirán pérdidas significativas o inaceptables?
• El auditor de SI debe ser capaz de evaluar el BIA, lo que requiere un
conocimiento de los métodos de desarrollo del BIA.
 CONCLUSIÓN
Evaluar las prácticas de gestión de riesgos
para determinar si los riesgos de la
organización relacionados con TI se
identifican, evalúan, monitorean, informan
y gestionan.
La visión
general
Fundamental para cualquier
auditoría de SI es el
mantenimiento de una clara
comprensión de los riesgos
empresariales asociados con
el gobierno de TI a través de
las operaciones cotidianas.