ROL DE LA AUDITORÍA DE SI EN EL GOBIERNO DE TI

1. ¿Qué es el gobierno TI?

El Gobierno de Tecnologías de Información - TI - hace referencia a la gestión

y el control de todos los aspectos relacionados con las tecnologías de información,
requeridos para apoyar el logro de los objetivos empresariales y agregar valor a la
organización.

El gobierno de Tecnologías de Información integra un conjunto de buenas

prácticas para su gestión, que permita justificar su inversión, que asegure a la
organización administrar estratégicamente la información, que se aprovechen al
máximo las oportunidades que brinde el entorno y que se obtengan ventajas
competitivas.

2. ¿Qué normas apoyan el gobierno TI?

• Information Technology Infrastructure Library – ITIL.

• Control Objectives for Information and Related Technology – COBIT.
• Las Normas ISO/IEC 20000.
• Project Management Body of Knowledge PMBOK.
• Capability Maturity Model Integration CMMI.

3. ¿Qué es la auditoria de gobierno TI?

La auditoría del gobierno de TI. El estándar de auditoría para gobierno de TI

propuesto por ISACA (2004a) define que los deberes que establece esta norma para
el auditor son:

1. Revisar y evaluar si la función de los Sistemas de Información - SI - está

alineada con la misión, visión, valores, objetivos y estrategias de la
organización.
2. Revisar si la función de los SI tiene una declaración en cuanto al desempeño
esperado por la empresa y evaluar su cumplimiento.
3. Revisar y evaluar la eficacia de los recursos de SI y el desempeño de los
procesos administrativos.
4. Revisar y evaluar el cumplimiento de los requisitos legales, ambientales y de
calidad de la información, así como de los requisitos fiduciarios y de
seguridad.
 5. Utilizar un enfoque basado en riesgos para evaluar la función de SI.
6. Revisar y evaluar el ambiente de control de la organización.
7. Revisar y evaluar los riesgos que pueden afectar de manera adversa el entorno
de SI que apoyan los procesos del negocio.

4. ¿Qué es COBIT?
COBIT ofrece un conjunto de mejores prácticas e indicadores para el control
y auditoría de los sistemas de información, tiene cuatro características principales que
son: orientado a negocios, orientado a procesos, basado en controles y dirigido por
mediciones.

5. Explique las áreas del gobierno TI.

Se definen que las actividades de gobierno de Ti se enfocan fundamentalmente a cinco
grandes áreas, estas se muestran en la Figura 1.

Figura 1. Esquema de las Áreas del Gobierno TI.

• Alineación Estratégica: Alinear los objetivos, planes y operaciones de Tecnologías

de Información con los de la organización.
• Entrega de Valor: Asegurar que las Tecnologías de Información genere los
beneficios prometidos, enfocándose en optimizar costos y ofrecer el valor intrínseco
de las TI.
• Administración de Recursos: Inversión óptima en recursos de Tecnologías de
Información y gestión de estos.
• Administración de Riesgos: Análisis y gestión de riesgos, determinar las
responsabilidades de la gestión de riesgos en la organización.
• Medición del Desempeño: Monitoreo de TI en aspectos como el uso de recursos,
desempeño de los procesos, entrega de servicios y desarrollo de proyectos.

6. ¿En qué consisten los siguientes marcos de trabajo: ITIL, PMBOK, CMMi, y la
norma ISO 2000? y ¿Cómo están relacionadas con el gobierno de TI?

6.1.¿En qué consisten los siguientes marcos de trabajo: ITIL, PMBOK, CMMi, y la
norma ISO 2000?

6.1.1. Information Technology Infrastructure Library – ITIL:

Es un marco de trabajo público que provee un conjunto de conceptos y

mejores prácticas para la gestión de servicios de las TI. Concreta un modelo de
procesos muy amplio que abarca desde la definición de la estrategia hasta la gestión
de la infraestructura. Se estructura en torno al ciclo de creación de servicios,consta de
5 volúmenes: Service Strategy, Service Design, Service Transition, Service Operation
y Continual Service Improvement (itSMF, 2007), (OGC, 2007).

6.1.2. Project Management Body of Knowledge PMBOK

Es un marco para la gestión de proyectos de desarrollo de software, describe

los procesos, herramientas y técnicas utilizados para dirigir un proyecto y obtener un
resultado exitoso. Proporciona y promueve un vocabulario común para analizar,
escribir y aplicar conceptos de la dirección de proyectos.

6.1.3. Capability Maturity Model Integration CMMI

Es el modelo más aceptado para la medición de la madurez de los procesos de

gestión en la construcción de aplicaciones. Es un modelo estructurado
que incluye un gran conjunto de buenas prácticas útiles para optimizar las actividades
propias de una organización de TI.

6.1.4. Las Normas ISO/IEC 20000

Definen los procesos y las actividades esenciales para que las áreas de TI
puedan prestar un servicio eficiente y alineado con las necesidades de la empresa u
organización.
6.2.¿Cómo están relacionadas con el gobierno de TI?

Para apoyar el gobierno de TI existe un conjunto de normas y estándares que

reúnen buenas prácticas y ofrecen alternativas de solución a diversos problemas de
gestión al respecto. Algunas de las más reconocidas y aceptadas son: Information
Technology Infrastructure Library - ITIL, Control Objectives for Information and
Related Technology - COBIT, normas ISO/IEC 20000, Project Management Body of
Knowledge - PMBOK y Capability Maturity Model Integration - CMMI.

7. Explique cada una de las principales características de COBIT.

7.1. Orientado a Negocios.

Es una guía integral para la dirección y los responsables de los procesos de

negocio en la organización, así como para los proveedores de servicios, usuarios y
auditores de TI. Su principio básico es obtener la información que la organización
requiere para alcanzar sus objetivos, identificar necesidades de inversión en
Tecnologías de Información, administrar y controlar dichas inversiones (ISACA,
2007).

Para satisfacer los objetivos del negocio, la información suministrada debe

cumplir con los siguientes criterios: efectividad, eficiencia, confidencialidad,
integridad, disponibilidad, cumplimiento (legalidad) y confiabilidad.

En cuanto a los recursos de TI, COBIT define básicamente los siguientes:

• Las Aplicaciones, los sistemas automáticos y sistemas manuales para el

procesamiento de la información.
• La Información en todas sus formas, que es generada por los sistemas de
información a partir del procesamiento de los datos de entrada.
• La Infraestructura, tecnología de hardware y software (sistemas operativos,
sistemas de gestión de bases de datos, redes, herramientas de desarrollo, entre
otros) y las instalaciones físicas donde se encuentran.
• Las Personas involucradas en las diferentes actividades de la función
informática de la organización.
7.2. Orientado a Procesos.

El marco de trabajo define las actividades del área de Tecnologías de

Información en un modelo genérico de dominios, procesos y objetivos de control. La
versión COBIT 4.1 define 4 dominios, 34 procesos y un total de 220 objetivos de
control (ITGI, 2007). Los dominios son:

• Planear y Organizar (PO): Proporciona la orientación para la entrega de

soluciones y la entrega de servicio. Tiene como objetivos formular estrategias
y tácticas; identificar cómo el área TI contribuye al negocio y a planear,
comunicar y gestionar la realización de la visión estratégica. Consta de 10
procesos.
• Adquirir e Implementar (AI): Entrega las soluciones y las convierte en
servicios. Sus objetivos son identificar, desarrollar, adquirir, implementar, e
integrar soluciones de TI, el manejo de los cambios y mantenimiento de
sistemas existentes. Está conformado por 7 procesos.
• Entregar y Dar Soporte (DS): Recibe las soluciones y las hace utilizables
por los usuarios finales. Sus objetivos son la entrega real de los servicios
requeridos y la gestión de la seguridad, continuidad, datos y facilidades
operacionales. Consta de 13 procesos.
• Monitorear y Evaluar (ME): Monitorea todos los procesos para asegurar la
dirección correcta. Tiene como objetivos la gestión del desempeño, el
monitoreo y control interno, verificar el cumplimiento de regulaciones y los
aspectos relacionados con el gobierno de TI. Lo conforman 4 procesos.

7.3.Basado en Controles.
El concepto de control hace referencia a las políticas, procedimientos,
prácticas y estructuras organizacionales diseñadas para ofrecer una seguridad
razonable y que los objetivos de negocio se alcanzarán, así como que los eventos no
deseados serán prevenidos o detectados y corregidos oportunamente.
Un objetivo de control define el resultado o propósito que se desea alcanzar
mediante la implementación de procedimientos específicos en la función informática
de las organizaciones. Los objetivos están definidos con una fuerte orientación a los
procesos de negocio.

7.4.Dirigido por Mediciones.

Las organizaciones deben tener la capacidad de medir su desempeño con el

propósito de saber dónde se encuentran y dónde se requieren mejoras e implementar
un conjunto de herramientas gerenciales que permitan monitorear estas mejoras.
 COBIT atiende estos aspectos mediante modelos de madurez, medición del
desempeño y metas de actividades (ISACA, 2007).

8. ¿Qué otros marcos de iniciativas están relacionados con COBIT?

8.1. Val IT.

Val IT implementado por ITGI, este producto busca responder a la necesidad

que tienen las organizaciones de optimizar las inversiones en Tecnologías de
Información y asegurar el valor agregado que estas deben generar.

Val IT complementa a COBIT desde el punto de vista financiero y de negocio

y es una herramienta de ayuda para los responsables de la entrega de valor a partir de
TI (ITGI, 2006).

8.2.Risk IT.

Risk IT es otro marco de trabajo relacionado con COBIT, que reúne un

conjunto de mejores prácticas para la gestión eficaz de riesgos de Tecnologías de
Información en las instituciones. Se soporta en una colección de principios, guías,
procesos y directrices de gestión asociados con riesgos de TI.

9. ¿Dentro del rol de auditoría informática para la evaluación del gobierno de TI, qué
incluye el marco de referencia?

• Objetivos de Control: Declaraciones genéricas de alto nivel y detalladas

sobre un nivel mínimo de buen control.
• Prácticas de Control: Razonamiento práctico y guías sobre cómo
implementar los objetivos de control.
• Directrices de Auditoría: Guías para cada área de control orientadas hacia
una mejor comprensión, cómo evaluar cada control, cómo evaluar el
cumplimiento y la estimación del riesgo en caso de que los controles no se
cumplan.
• Directrices Gerenciales: Guías sobre cómo evaluar y mejorar el desempeño
del proceso de Tecnologías de Información, utilizando modelos de madurez,
métricas y factores críticos de éxito. Proporcionan un marco de referencia
administrativo, orientado hacia una permanente y proactiva autoevaluación
del control.
10. ¿Qué es ISACA?

ISACA es una asociación independiente, global y sin fines de lucro. Están

comprometidos con el desarrollo, la adopción y uso de conocimiento y prácticas
líderes en la industria de TI. Estos conocimientos y prácticas tienen uso y aceptación
a nivel mundial.

ISACA ayuda a los profesionales globales a liderar, adaptar y asegurar la

confianza en un mundo digital en evolución ofreciendo conocimiento, estándares,
relaciones, acreditación y desarrollo de carrera innovadores y de primera clase.
Establecida en 1969, ISACA es una asociación global sin ánimo de lucro de 140 000
profesionales en 180 países.

ISACA también ofrece Cybersecurity Nexus TM (CSX), un recurso integral

y global en ciberseguridad, y COBIT®, un marco de negocio para gobernar la
tecnología de la empresa.

11. ¿Qué deberes establece la norma para el auditor?

• Revisar y evaluar si la función de SI está alineada con la misión, visión,

valores, objetivos y estrategias de la organización.
• Revisar si la función de SI tiene una declaración clara en cuanto al desempeño
esperado por la empresa (eficacia y eficiencia) y evaluar su cumplimiento.
• Revisar y evaluar la eficacia de los recursos de SI y el desempeño de los
procesos administrativos.
• Revisar y evaluar el cumplimiento de los requisitos legales, fiduciarios, de
seguridad, ambientales y de calidad de la información.
• Utilizar un enfoque basado en riesgos para evaluar la función de SI.
• Revisar y evaluar el ambiente de control de la organización.
• Revisar y evaluar los riesgos que pueden afectar de manera adversa el entorno
de SI. La auditoría debe asistir a la organización identificando y evaluando las
exposiciones significativas al riesgo y contribuir al mejoramiento de la
administración de riesgos y los sistemas de control.
12. Investigue sobre los estándares, directrices y procedimientos que se deben tener en
cuenta en un proceso de auditoria de sistemas de información publicadas por ISACA.

ISACA lanzó 18 guías de auditoría y aseguramiento de sistemas de

información (SI) para ayudar a los profesionales de seguridad a garantizar la calidad
y consistencia de sus trabajos de auditoría.

General

•2001 Reglamento de Auditoría

•2002 Independencia Organizacional
•2003 Independencia del Profesional
•2004 Expectativa Razonable (nueva)
•2005 Cuidado Profesional Adecuado
•2006 Aptitud (nueva)
•2007 Aseveraciones (nueva)
•2008 Criterios

Desempeño

•2201 Planeación del Trabajo

•2202 Evaluación de Riesgos en la Planeación de la Auditoría
•2203 Desempeño y Supervisión
•2204 Materialidad
•2205 Evidencia
•2206 Usando el Trabajo de Otros Expertos
•2207 Irregularidad y Actos Ilegales
•2208 Muestreo de la Auditoría

Reportes

•2401 Elaboración
•2402 Actividades de Seguimiento