Auditoría de Procesos Teoría.v0

1
Introduccin a la Auditora de Procesos de Sistemas de Informacin

Introduccin a la Auditora de
Procesos de Sistemas de Informacin
Damin Ruiz Soriano (CISA, CISSP, 27001 Lead Auditor)
Departamento de Auditora de Produccin (rea de Auditora de Sistemas). Bankia
fruizs@bankia.com

Noviembre 2011
2
Enfoque a procesos
Metodologa de
Auditora de Procesos
Estrategia Implantacin
de Auditora de Procesos

Auditora de SSII. Control. Misin. Funcin
Tipologas de auditoras
Por qu Auditora de Procesos?
Marcos de Referencia para gestin y control de SSII

Modelo de procesos genrico. Elementos
Ciclo bsico de un trabajo de auditora
Planificacin.
Trabajo de Campo.
Informe
Planificacin. Mapa Estratgico. Mapa Auditor
Proyecto de implantacin de Auditoras de Procesos
Ejercicio.
Gestin de
Acuerdo con
Proveedores
Ejercicio.
Gestin de
Incidencias
Ejercicio.
Programas de
Trabajo
Ejercicio.
Ejemplo de
Informe
ndice
3
Enfoque a procesos

Auditora de SSII. Control. Misin. Funcin
Tipologas de auditoras
Marcos de Referencia para gestin y control de SSII

4
O La Auditora de Sistemas de Informacin es el proceso de recoger, agrupar y evaluar
evidencias para determinar si un Sistema de Informacin:
Protege adecuadamente los activos (hw, sw, personas, ficheros, info).
Alcanza sus objetivos dentro de la Organizacin de una manera efectiva.
Es utilizado eficaz y eficientemente.

O Examen metdico del Servicio Informtico para determinar, por medio de la investigacin,
la adecuacin de los procedimientos establecidos, instrucciones, especificaciones,
estndares u otros requisitos, la adhesin a los mismos y la eficiencia de su implantacin.

O La Auditora de SSII debe ofrecer informacin objetiva e independiente sobre
El grado de cumplimento de los controles (polticas y procedimientos)
La deteccin de los riesgos donde existan debilidades significativas de control
Recomendaciones para realizar acciones correctivas

O La misin del Auditor de TI es evaluar el Control Interno e informar sobre sus conclusiones.
Convertirse en la referencia de la Alta Direccin de la organizacin, as como de las
unidades de negocio y soporte, en relacin al control, la integridad, confidencialidad y
disponibilidad de los sistemas de informacin,
Ser el proveedor de recomendaciones de control de alto valor aadido para el negocio
Especialmente en aquellas reas que puedan mitigar riesgos de ndole econmico, evaluar
la adaptacin de controles al marco legal vigente y a la normativa establecida.

Auditora de Sistemas de Informacin.
Control. Misin. Funcin

5
O Polticas, procedimientos, prcticas y estructuras organizacionales implementadas para
proveer una certeza razonable de que se alcanzarn los objetivos de negocio de una
organizacin y que los eventos de riesgo no deseados sern previstos o detectados.
O El control es el medio por el cual se alcanza los objetivos de control.
O Evaluar la estructura de control interno.
Fortalezas y debilidades materiales en el diseo e implementacin de controles internos
y su eficacia para alcanzar los objetivos de control
O Un objetivo de control en TI es una definicin del resultado o propsito que se desea
alcanzar implementando prcticas de control (tcnicos, humanos, procedimentales)
en un proceso especfico de TI (o directamente con las actividades especficas dentro
del proceso)
O Los objetivos de control son requisitos de alto nivel que deben ser considerados para
el control eficaz del proceso.

Auditora Informtica: Misin
Control. Prctica de control
Objetivo de Control
Controles
Evaluar
Auditora de Sistemas de Informacin.
Control. Misin. Funcin
6
Procesos de
Sistemas de
Informacin
Cumplimiento
Normativo
Arquitecturas y
Servicios
Aplicaciones
Seguridad Lgica
Seguridad Fsica
Mecanismos de Respaldo
Planes de Contingencia
Rastros de Auditora
Monitorizacin
Mecanismos de Alta Disponibilidad
Comunicaciones
Tipologa auditoras de SSII
7
Procesos de
Sistemas de
Informacin
Cumplimiento
Normativo
Arquitecturas y
Servicios
Aplicaciones
Seguridad Lgica
Seguridad Fsica
Rastros de Auditora
Monitorizacin
Mecanismos de Alta Disponibilidad
Comunicaciones
S
e
r
v
i
c
i
o

A

S
e
r
v
i
c
i
o

N

8
Introduccin a la Auditora de Procesos de Sistemas de Informacin 8
Aplicaciones
Cumplimiento
Normativo
Arquitecturas y
Servicios
Procesos de
Sistemas de
Informacin
MQ series. Dependiendo de
diversos parmetros (tipo de
transaccin, volumen de carga,
etc), las peticiones de cajero
sern dirigidas a Host o Tandem
Formado principalmente por
- Un PC que presenta el interfaz al
usuario y genera las transacciones.
- Un EPP en el que son realizadas las
operaciones criptogrficas.
- Y en el caso de cajeros desplazados
dispositivos de comunicaciones
SERMEPA
Comunicacin cifrada con Sermepa
a travs de claves compartidas para
validacin de PIN de tarjetas Caja
Madrid en cajeros externos y envo
de PIN de tarjetas externas usadas
en cajeros Caja Madrid.
Comunicaciones
(Oneclick)
Dispositivos
(Gasper)
Seguridad Fsica
(Central Receptora de Alarmas)
Entorno Tandem
Entorno Host
Arquitectura
Monitorizacin/Gestin
Cajero
Escalado eventos
(Centro de Atencin)
Granja Servidores
balanceados
Comunicacin cifrada
https
Sistema de Deteccin de
Intrusos
9
AUDITORA DE PLATAFORMAS
SOFTWARE BASE
SISTEMAS OPERATIVOS
WINDOWS
LINUX
UNIX
Z/OS - RACF
VMWare
IOS Cisco
IMS
SISTEMAS GESTORES DE BASES DE DATOS
DB2
DL1
Oracle
SQL
SYBASE
COMUNICACIONES
VOZ S/IP
MQ-SERIES
CORREO ELECTRNICO
TELEFONA MVIL
WIFI
DIRECTORIOS
SSA
DIRECTORIO ACTIVO
MIIS
SYSPLEX
Servicio del Centro de Atencin
AUDITORA DE SERVICIOS
Sistemas Comunes
Sistema de Informacin Contable
Sistema de Informacin de
Personas

Sistemas de Captacin
Pasivo (ahorro, depsitos, cuentas...) Planes de Pensiones
Fondos de Inversin
Sistemas de Operaciones y Servicios
Compensacin Gestin del Efectivo
Sistemas de Financiacin (Banca Comercial)
Tramitacin de Activo Tarjetas
Prstamos Comercios
Cuentas de Crdito Valores
Sistemas de Financiacin
Prstamos Bilaterales y Sindicados
Crditos Bilaterales y Sindicados

Avales Bilaterales y Sindicados
Sistemas de Mercados
Isis Kondor+
Teseo Murex
Posicin en divisa List
Sistemas de Informacin
NBA Recuperaciones
SIG Activos Adjudicados
Almacn de Datos Insolvencias
Riesgos (SGR, Scoring, Rating)
Sistemas Comerciales y de Distribucin
Servicios de la Oficina Internet
Servicio de la Oficina Telefnica

Autoservicios
Sistemas de Recursos Humanos (Nminas, SVR, ePersonas, HR-Access)
10
Aplicaciones
Cumplimiento
Normativo
Arquitecturas y
Servicios
Aplicaciones
Seguridad
Desarrollo
Produccin
Segregacin de funciones
Rastros de Auditora
Calidad de informacin
Coherencia de Procesos y Control de Errores
Procesos de negocio soportados
Mecanismos de alta disponibilidad
Monitorizacin
Seguridad Lgica
Proceso de desarrollo y pase a produccin
Seguridad Fsica
A
p
l
i
c
a
c
i
n

A
A
p
l
i
c
a
c
i
n

N
11
Procesos de
Sistemas de
Informacin
Cumplimiento
Normativo
Arquitecturas y
Servicios
Aplicaciones
Dar respuesta a los requerimientos legales y obligaciones frente a los
organismos reguladores y supervisores relacionados con la Auditora de SSII
OBLIGACIN REPORTE PERIDICO
Riesgo de Crdito (Anual)
Riesgo Operacional (Anual)
BIS II
Circ. 6/2009
CNMV
(Anual)
LOPD
(Bienal)

NO OBLIGACIN REPORTE PERIDICO
LSSI - CE VISA FED
PCI-DSS MiFID

12
Procesos de
Sistemas de
Informacin
GE S TIN DE NIVE L E S DE S E R VIC IO DE LOS S IS TE MAS DE INFOR MAC I N
GE S TIN F INANC IE R A DE L OS S IS TE MAS DE INF OR MAC IN
PL AN DE C ONTINGE NC IAS INFOR MTIC AS
PL AN DE C ONTINUIDAD DE NE GOC IO
GE S TIN DE L A C ONTINUIDAD DE L OS S IS TE MAS DE INF OR MAC IN
GE S TIN DE L A DIS PONIBILIDAD DE L OS S IS TE MAS DE INF OR MAC I N
GE S TIN DE L A C APAC IDAD DE LOS S IS TE MAS DE INF OR MAC IN
PR OVIS IN DE S E R VIC IO
GE S TIN DE L A C ONF IGUR AC IN DE LOS S IS TE MAS DE INF OR MAC IN
Gestin de C ambios de E mergencia
Gestin de C ambios
GE S TIN DE C AMBIOS E N LOS S IS TE MAS DE INF OR MAC IN
GE S TIN DE PR OBL E MAS E N L OS S IS TE MAS DE INFOR MAC IN
GE S TIN DE INC IDE NC IAS DE S E GUR IDAD
GE S TIN DE INC IDE NC IAS DE PR ODUC C IN
GE S TIN DE INC IDE NC IAS E N L OS S IS TE MAS DE INFOR MAC I N
S OPOR TE DE S E R VIC IO
PR OC E S OS DE PR ODUC C IN
AUDITOR A DE PR OC E S OS DE S IS TE MAS DE INF OR MAC IN
GE S TIN DE NIVE L E S DE S E R VIC IO DE LOS S IS TE MAS DE INFOR MAC I N
GE S TIN F INANC IE R A DE L OS S IS TE MAS DE INF OR MAC IN
PL AN DE C ONTINGE NC IAS INFOR MTIC AS
PL AN DE C ONTINUIDAD DE NE GOC IO
GE S TIN DE L A C ONTINUIDAD DE L OS S IS TE MAS DE INF OR MAC IN
GE S TIN DE L A DIS PONIBILIDAD DE L OS S IS TE MAS DE INF OR MAC I N
GE S TIN DE L A C APAC IDAD DE LOS S IS TE MAS DE INF OR MAC IN
PR OVIS IN DE S E R VIC IO
GE S TIN DE L A C ONF IGUR AC IN DE LOS S IS TE MAS DE INF OR MAC IN
Gestin de C ambios de E mergencia
Gestin de C ambios
GE S TIN DE C AMBIOS E N LOS S IS TE MAS DE INF OR MAC IN
GE S TIN DE PR OBL E MAS E N L OS S IS TE MAS DE INFOR MAC IN
GE S TIN DE INC IDE NC IAS DE S E GUR IDAD
GE S TIN DE INC IDE NC IAS DE PR ODUC C IN
GE S TIN DE INC IDE NC IAS E N L OS S IS TE MAS DE INFOR MAC I N
S OPOR TE DE S E R VIC IO
PR OC E S OS DE PR ODUC C IN
AUDITOR A DE PR OC E S OS DE S IS TE MAS DE INF OR MAC IN
GESTIN DE COMPETENCIAS EDEA
GESTIN DE PROCESOS
SOPORTE ORGANIZACIONAL
GESTIN DE MTRICAS EN PROYECTOS EN DESARROLLO
ASEGURAMIENTO EN PROYECTOS EN DESARROLLO
GESTIN DE LA CONFIGURACIN EN PROYECTOS EN DESARROLLO
SOPORTE
GESTIN DE PROYECTOS EN DESARROLLO
GESTIN DE ACUERDOS CON PROVEEDORES EN PROYECTOS EN DESARROLLO
GESTIN DE LA PETICIN EN PROYECTOS EN DESARROLLO
GESTIN
DESARROLLO TCNICO DE PROYECTOS EN DESARROLLO
GESTIN DE REQUISITOS EN PROYECTOS EN DESARROLLO
GARANTA DE CALIDAD DE LOS PROYECTOS EN DESARROLLO
Ejecucin y Evaluacin de las Pruebas
Elaboracin del Plan de Pruebas / Preparacin del Entorno de Pruebas
GESTIN DE PRUEBAS EN PROYECTOS EN DESARROLLO
INGENIERA
PROCESOS DE SISTEMAS
AUDITORA DE PROCESOS DE SISTEMAS DE INFORMACIN
GESTIN DE COMPETENCIAS EDEA
GESTIN DE PROCESOS
SOPORTE ORGANIZACIONAL
GESTIN DE MTRICAS EN PROYECTOS EN DESARROLLO
ASEGURAMIENTO EN PROYECTOS EN DESARROLLO
GESTIN DE LA CONFIGURACIN EN PROYECTOS EN DESARROLLO
SOPORTE
GESTIN DE PROYECTOS EN DESARROLLO
GESTIN DE ACUERDOS CON PROVEEDORES EN PROYECTOS EN DESARROLLO
GESTIN DE LA PETICIN EN PROYECTOS EN DESARROLLO
GESTIN
DESARROLLO TCNICO DE PROYECTOS EN DESARROLLO
GESTIN DE REQUISITOS EN PROYECTOS EN DESARROLLO
GARANTA DE CALIDAD DE LOS PROYECTOS EN DESARROLLO
Ejecucin y Evaluacin de las Pruebas
Elaboracin del Plan de Pruebas / Preparacin del Entorno de Pruebas
GESTIN DE PRUEBAS EN PROYECTOS EN DESARROLLO
INGENIERA
PROCESOS DE SISTEMAS
Gestin de claves criptogrficas
Securizacin perimetral
Securizacin de Aplicaciones
Securizacin de Arquitecturas
Gestin de Usuarios
GESTIN DE LA SEGURIDAD
EVALUACIN Y ADMINISTRACIN DE RIESGOS DE TI
GESTIN DE RECURSOS HUMANOS DE TI
GESTIN DE PROYECTOS DE SISTEMAS DE INFORMACIN
PROCESO DE PLANIFICACIN ESTRATGICA DE SISTEMAS DE INFORMACIN
PROCESOS COMPLEMENTARIOS
Gestin de claves criptogrficas
Securizacin perimetral
Securizacin de Aplicaciones
Securizacin de Arquitecturas
Gestin de Usuarios
GESTIN DE LA SEGURIDAD
EVALUACIN Y ADMINISTRACIN DE RIESGOS DE TI
GESTIN DE RECURSOS HUMANOS DE TI
GESTIN DE PROYECTOS DE SISTEMAS DE INFORMACIN
PROCESO DE PLANIFICACIN ESTRATGICA DE SISTEMAS DE INFORMACIN
PROCESOS COMPLEMENTARIOS
13
Elementos de la arquitectura de TI
IT Governance y su control
Estructura de control
Evolucin de la prctica Auditora de SSII


14
Informacin/aplicaciones. Datos en todas sus
formas procesados y generados por los sistemas
de informacin que son utilizados por el negocio.
Infraestructura. Tecnologa e instalaciones (hw,
ssoo, bbdd, redes, ubicaciones,etc) que permiten
el procesamiento de la informacin.
Personas. Personal requerido para planear,
organizar, adquirir, implementar, entregar,
soportar, monitorear y evaluar los sistemas y
los servicios de informacin. Estas pueden ser
internas, por outsourcing o contratadas, de
acuerdo a como se requieran.
Conjunto de tareas, actividades o acciones interrelacionadas entre s que dan lugar a una
serie de productos/servicios finales o entradas a otros procesos (ej. procesos de negocio).
RECURSOS de TI
La organizacin de TI se organiza como un conjunto de procesos definidos que utiliza las habilidades de las
personas, y la infraestructura de tecnologa para proporcionar sistemas de informacin para el negocio.
Recursos y Procesos constituyen una arquitectura empresarial para TI.
PROCESOS de TI
Motivo #1: Los Procesos son elementos en una arquitectura de TI
Elementos de la Arquitectura empresarial para TI
15
Elementos de la Arquitectura empresarial para TI
Motivo #2: Los Procesos requieren controles
Monitorizar y Evaluar
Adquirir e
Implementar
Entrega y dar Soporte
Planificar y Organizar
Controles Generales de TI
Controles de Aplicacin
Controles de
Negocio
Controles de
Negocio
Servicios
Automatizados
Requerimientos
Funcionales
Requerimientos de
Control
Responsabilidades de
Negocio
Responsabilidades de
Negocio
Responsabilidad de TI
16
Dentro del Gobierno Empresarial, el Gobierno de TI se est volviendo ms y ms importante y
est definido como
una estructura de relaciones y procesos
para dirigir y controlar a la empresa
con el fin que sta pueda cumplir sus metas dando valor agregado
mientras balancea sus riesgos versus el retorno sobre TI y sus procesos.

El Gobierno de TI es parte integral del xito de la Gerencia de la Empresa al asegurar mejoras
medibles, eficientes y efectivas de los procesos relacionados de la empresa.

El Gobierno de TI provee las estructuras que unen:
los procesos de TI,
los recursos de TI y
La informacin con las estrategias y los objetivos de la empresa.

Adems, el Gobierno de TI integra e institucionaliza buenas (o mejores) prcticas de:

Planificacin y organizacin,
Adquisicin e implementacin,
Entrega de servicios y soporte y
Monitorizacin del desempeo de TI

El Gobierno de TI est orientado a asegurar que la informacin de la empresa y las tecnologas
soportan sus objetivos del negocio.

El Gobierno de TI conduce a la empresa a tomar total ventaja de su informacin logrando con
esto maximizar sus beneficios, capitalizar sus oportunidades y obtener ventaja competitiva.

17
-
-
-
Objetivos/Metas
de negocio
Procesos TI
Objetivos/
Metas
TI
Indicadores
Clave de
Desempeo
Indicadores
Clave de
Meta
Modelos de
madurez
Actividades
Clave
Matriz de
responsabilidades
RACI
Objetivos de
Control
Prcticas de
Control
Pruebas de
Diseo del
Control
Informacin
Basado en
i
m
p
l
e
m
e
n
t
a
d
o

c
o
n
C
o
n
t
r
o
la
d
o

p
o
r
A
u
d
i
t
a
d
o

c
o
n
M
e
d
i
d
o

p
o
r
P
a
r
a

m
a
d
u
r
e
z
R
e
n
d
i
m
i
e
n
t
o

/

d
e
s
e
m
p
e
o
P
a
r
a

r
e
s
u
l
t
a
d
o
s
h
e
ch
o
e
fe
ctivo
y e
ficie
n
te
co
n
r
e
a
l
i
z
a
d
o

p
o
r
Pruebas de
resultado del
Control
Derivado de
A
u
d
i
t
a
d
o

p
o
r
Requerimientos
18
Gestin
Control
Gestin
Gobierno
m
b
i
t
o
s

IT
Governance
Poltica
Procesos
Procedimientos
Guas Tcnicas
Configuraciones tcnicas
Controles

Control
Cobit3
2000
Cobit4
2005
Cobit2
1998
Procesos:
elementos en una arquitectura de TI
que requieren controles
Procesos:
como elementos del IT Governance
Auditora de
Evolucin de la prctica auditora de SSII
19
Mejores prcticas
Cobit
ITIL

Marcos de referencia para gestin y control de SSII

20
Mejores prcticas: "una manera de hacer las cosas o un trabajo, aceptado ampliamente por la industria y
que funciona correctamente..." Aidan Lawes, CEO itSMF

"Las mejores prcticas" son la mejor identificacin de acercamiento a una situacin basada en
observaciones sobre organizaciones efectivas en similares circunstancias de negocio.

Un acercamiento a "las mejores prcticas"
significa la bsqueda de ideas y experiencias
que han funcionado con aquellos que emprendieron
actividades similares en el pasado y
se decide cul de esas prcticas son relevantes
con la situacin actual que se tiene.

"Las mejores prcticas" evitan "re-inventar la rueda",
sino que es el aprendizaje a travs de otros,
con implementaciones que han sido
desarrolladas para que funcionen correctamente.

Qu buscamos en Marcos de Control y Gestin?

Controles (Misin del auditor)
Procesos (mapas, actividades,)
Requerimientos de negocio.
Alineamientos Negocios con TI
Herramienta de comunicacin

Marcos de gestin y control de SSII
Mejores prcticas
-
-
21
Objetivos de Control para Tecnologa de Informacin
Qu es?: Un estndar de Controles y Auditora de Tecnologa Informtica
Un conjunto internacional y actualizado de objetivos de control para tecnologa de
informacin que sea de uso cotidiano para gerentes, auditores.

Cobit
Gerencia (apoyo a decisiones de inversin en TI y control sobre el rendimiento de
las mismas, analizar el costo beneficio del control)
Auditores : soportar opiniones sobre los controles de los proyectos de TI , su
impacto en la organizacin y determinar el control mnimo requerido.
Responsables de TI: para identificar los controles que requieren en sus reas
Define las actividades de TI de una organizacin, en un modelo genrico de procesos.
El marco de trabajo de COBIT proporciona un modelo de procesos de referencia y un lenguaje comn
para todos los implicados en los trabajos de la organizacin, con el fin de que visualicen y administren
las actividades de TI. La incorporacin de un modelo y un lenguaje comn para todas las partes de un
negocio involucradas en TI es uno de los pasos iniciales ms importantes hacia un buen gobierno.
Brinda un marco de trabajo para la medicin y monitorizacin del desempeo de las Tecnologas de
Informacin, e integra las mejores prcticas administrativas.
Fomenta la propiedad de los procesos, permitiendo que se definan las responsabilidades. Determina las
actividades y los riesgos que requieren ser administrados.

Cobit
22
Requerimientos de la informacin del negocio.
Recursos de Tecnologa Informtica
Procesos de Tecnologa Informtica
Pilares del Modelo CobiT
REQUERIMIENTOS
DE INFORMACIN
DEL NEGOCIO
RECURSOS
DE TI
PROCESOS
DE TI
Cobit
23
Confidencialidad: Proteccin de la informacin sensible contra divulgacin no autorizada o desde
el punto de vista del uso no autorizado.
Grado de proteccin que tiene la informacin y los sistemas de informacin para evitar el acceso no
autorizado
Integridad: Refiere a lo exacto y completo de la informacin as como a su validez de acuerdo con
las expectativas de la empresa.
Que la informacin sea coherente, competa, fiable y veraz
Disponibilidad: accesibilidad a la informacin cuando sea requerida por los procesos del negocio
y la salvaguarda de los recursos y capacidades asociadas a los mismos.
Que la informacin y los sistemas de informacin estn disponibles siempre que se necesiten
Cumplimiento: de las leyes, regulaciones y compromisos contractuales con los cuales est
comprometida la empresa.

Efectividad: La informacin debe ser relevante y pertinente para los procesos del negocio y debe
ser proporcionada en su debido momento oportuna, correcta, consistente y de manera utilizable .
Que los sistemas informticos sea suficientes para dar soporte a los procesos
Eficiencia: Se debe proveer informacin mediante el empleo ptimo de los recursos (la forma ms
productiva y econmica).
Que los costes en los que se incurre sean razonables y proporcionados a sus necesidades y que estn
correctamente gestionados
Confiabilidad: proveer la informacin apropiada para que la administracin tome las decisiones
adecuadas para manejar la empresa y cumplir con las responsabilidades de los reportes
financieros y de cumplimiento normativo.

Requerimientos de la Informacin del Negocio
Cobit
24
Datos: Los objetos de informacin. Informacin interna y externa, estructurada o no,
grficas, sonidos, etc. Informacin

Aplicaciones: Entendido como los sistemas de informacin, que integran
procedimientos manuales y sistematizados. Aplicaciones propias, desarrolladas por
terceras casa o compradas a terceros.

Tecnologa: Incluye hardware y software bsico, sistemas operativos, sistemas de
administracin de bases de datos, de redes, telecomunicaciones, multimedia, etc.

Instalaciones: Incluye los recursos necesarios para alojar y dar soporte a los
sistemas de informacin. Infraestructura: Hardware, sistemas operativos, gestores de
bases de datos, redes e instalaciones.

Recurso Humanos: Todo lo relacionado con la gestin de personal propio o
subcontratado para planificar, adquirir, prestar servicios, dar soporte y monitorizar
los sistemas de Informacin.
Cobit
25
Procesos de TI :Los Tres Niveles
Dominios
Agrupacin Natural de procesos, normalmente corresponden a un dominio
o una responsabilidad organizacional
Procesos
Conjuntos o series de actividades unidas con
delimitacin o cortes de control.
Actividades o tareas
Acciones requeridas para lograr un resultado medible. Las
Actividades tienen un ciclo de vida mientras que las tareas
son discretas.
Planificacin y Organizacin (Planning and Organization)
Adquisicin e implementacin (Acquisition and Implementation)
Prestacin de Servicios y Soporte (Delivery and Support)
Seguimiento (monitoring)
Cobit
26
OBJETIVOS DEL NEGOCIO
OBJETIVOS DE GOBIERNO
Eficiencia
Aplicaciones
Informacin
Infraestructura
Personas
ENTREGA
Y
SOPORTE
MONITORIZAR
Y
EVALUAR
ADQUISICIN
E
IMPLEMENTACIN
INFORMACION
RECURSOS
DE
TI
MARCO DE REFERENCIA
C O B I T
Efectividad Confidencialidad
Integridad
Disponibilidad
Cumplimiento
DS1 Definir y administrar niveles de servicio.
DS2 Administrar servicios de terceros.
DS3 Administrar desempeo y capacidad.
DS4 Asegurar continuidad de servicio.
DS5 Garantizar la seguridad de sistemas.
DS6 Identificar y asignar costos.
DS7 Educar y capacitar usuarios.
DS8 Administrar servicios de apoyo e incidentes.
DS9 Administrar la configuracin.
DS10 Administrar problemas.
DS11 Administrar datos.
DS12 Administrar el ambiente fsico.
DS13 Administrar operaciones.

ME1 Monitorear y Evaluar el desempeo de TI.
ME2 Monitorear y Evaluar el control interno.
ME3 Garantizar el cumplimiento regulatorio.
ME4 Proveer Gobierno de TI.
PO1 Definir un plan estratgico de TI.
PO2 Definir la arquitectura de informacin.
PO3 Determinar la direccin tecnolgica.
PO4 Definir los procesos de TI, la
organizacin y sus relaciones.
PO5 Administrar las inversiones en TI.
PO6 Comunicar la direccin y objetivos de la
gerencia.
PO7 Administrar los recursos humanos de TI.
PO8 Administrar calidad.
PO9 Evaluar y administrar riesgos de TI.
PO10 Administrar proyectos.
AI1 Identificar soluciones de automatizacin.
AI2 Adquirir y mantener software de aplicacin.
AI3 Adquirir y mantener la infraestructura tecnolgica.
AI4 Permitir la operacin y uso.
AI5 Obtener recursos de TI.
AI6 Administrar cambios.
AI7 Instalar y acreditar soluciones y cambios.
PLANIFICACIN
Y
ORGANIZACIN
Confiabilidad
Cobit
27
P
r
o
c
e
s
o
s

T
I

Dominios
Procesos
Actividades
Criterios de la Informacin
Relacin entre componentes
Requerimientos de la informacin del negocio.
Procesos de Tecnologa Informtica
Cobit
28
DOMINIO PROCESOS
E
f
e
c
t
i
v
i
d
a
d
E
f
i
c
i
e
n
c
i
a
C
o
n
f
i
d
e
n
c
i
a
l
i
d
a
d
I
n
t
e
g
r
i
d
a
d
D
i
s
p
o
n
i
b
i
l
i
d
a
d
C
u
m
p
l
i
m
i
e
n
t
o
C
o
n
f
i
a
b
i
l
i
d
a
d
P
e
r
s
o
n
a
s
A
p
l
i
c
a
c
i
o
n
e
s
T
e
c
n
o
l
o
g
a
i
n
s
t
a
l
a
c
i
o
n
e
s
D
a
t
o
s
PLAN Y
ORGANIZACIN
PO1 Definir el plan estratgico de TI P S
PO2 Definir la Arquitectura de la informacin P S S S
PO3 Determinar la direccin tecnolgica P S
PO4 Definir procesos, organizacin y relaciones de TI P S
PO5 Administra la inversin en TI P P S
PO6 Comuinicar las aspiraciones y la direccin de Gerencia P S
PO7 Administrar Recursos Humanos de TI P P
PO8 Administrar calidad P P S
PO9 Evaluar y Administrar riesgos de TI P S P P P S S
PO10 Administrar proyectos P P
PO11 Administrar calidad P P P S
AI1 Identificar soluciones automatizadas P S
AI2 Adquiriri y mantener el Software aplicativo P P S S S
AI3 Adquiriri y mantener el la Infraestructura ttecnolgica P P S
AI4 Facilitar la operacin y el uso P P S S S
AI5 Adquirir recursos de TI P S S
AI6 Administrar Cambios P P P P S
DS1 Definir y administrar niveles de Servicio P P S S S S S
DS2 Administrar servicios de terceros P P S S S S S
DS3 Administrar desempeo y capacidad P P S
DS4 Garantizar la continuidad del Servicio P S P
DS5 Garantizar la seguridad de los sistemas P P S S S
DS6 Identificar y asignar costos P P
DS7 Educar y entrenar a los usuarios P S
DS8 Administrar la mesa de servicio y los incidentes P P
DS9 Administrar la configuracin P S S
DS10 Administrar los problemas P P S
DS11 Administrar los datos P P
DS12 Administrar el ambiente fsico P P
DS13 Administrar las operaciones P P S S
M1 Monitorear y evaluar el desempeo de TI P P S S S S S
M2 Monitorear y evaluaar el control interno P P S S S P S
M3 Garantizar cumplimiento interno P P S S S P S
M4 Proporcionar Gobierno de TI P P S S S P S
ENTREGA Y SOPORTE
MONITORIZACIN Y
EVALUACIN
PLAN Y
ORGANIZACIN
ADQUISICIN E
IMPLEMENTACIN
Relacin entre componentes
Cobit
29
DS1 Definir y administrar niveles de servicio.
DS2 Administrar servicios de terceros.
DS3 Administrar desempeo y capacidad.
DS4 Asegurar continuidad de servicio.
DS5 Garantizar la seguridad de sistemas.
DS6 Identificar y asignar costos.
DS7 Educar y capacitar usuarios.
DS8 Administrar servicios de apoyo e incidentes.
DS9 Administrar la configuracin.
DS10 Administrar problemas.
DS11 Administrar datos.
DS12 Administrar el ambiente fsico.
DS13 Administrar operaciones.
Dominio: DS Entrega y Soporte
DS8.1 Mesa de Servicio (Service Desk)
DS8.2 Registros de consultas de clientes
DS8.3 Escalamiento de incidentes
DS8.4 Cierre de incidentes
DS8.5 Anlisis de tendencias
P
r
o
c
e
s
o
s

d
e
l

D
o
m
i
n
i
o

Actividades del proceso de Administrar servicios de apoyo e
incidentes
Proceso
Actividad
Responder de manera oportuna y efectiva a las consultas y
problemas de los usuarios de TI, requiere de una mesa de servicio
bien diseada y bien ejecutada, y de un proceso de administracin
de incidentes.
Este proceso incluye la creacin de una funcin de mesa de servicio
con registro, escalamiento de incidentes, anlisis de tendencia,
anlisis causa-raiz y resolucin.
Los beneficios del negocio incluyen el incremento en la
productividad gracias a la resolucin rpida de consultas. Adems,
el negocio puede identificar la causa raz (tales como un pobre
entrenamiento a los usuarios) a travs de un proceso de reporte
efectivo.
Establecer procedimientos de mesa de servicios de manera que los
incidentes que no puedan resolverse de forma inmediata sean
escalados apropiadamente de acuerdo con los lmites acordados
en el SLA y, si es adecuado, brindar soluciones alternas.
Garantizar que la asignacin de incidentes y el monitoreo del ciclo
de vida permanecen en la mesa de servicios, independientemente
de qu grupo de TI est trabajando en las actividades de
resolucin
Objetivo de control de alto nivel para el proceso
Objetivo de control detallado para la actividad
Cobit
30
COBIT 4.1
Cobit
31
-

-
Cobit
32
CoBIT Control Practices. Proporciona directivas para alcanzar los objetivos de control.
Documento detallado de ayuda para la justificacin y diseo de controles.
Asociado a cada OBJETIVO DE CONTROL
(1) Riesgos que se evitan
(2) Valor que se obtiene.
(3) PRACTICAS DE CONTROL. Instruccin para la consecucin del objetivo.
Control Objective
Actividad n (del proceso p)
Texto del Objetivo de Control
detallado para la actividad n
Value Drivers
Valores que se obtienen
cuando se cubre el
objetivo de control
Ejemplos de riesgos
que se evitan cunado
se cubre elobjetivo de
control
Risk Drivers
Control Practices
1.
2. Instrucciones para la consecucin del objetivo
3.
Proceso p
Cobit
33
CoBIT Control Practices.
DS8 Administrar servicios de apoyo e incidentes
DS8.1 Servicio de apoyo (service desk)
Cobit
34
DS8.3 Escalado de Incidentes
Cobit
35
DS8.5 Reporte y anlisis de tendencias
Cobit
36
IT Assurance Guide (Using COBIT). Gua de Aseguramiento de TI.
Reemplaza a un documento anterior de directrices de auditora.
Se trata de una gua sobre la forma en que COBIT puede servir de apoyo
para diversas actividades de aseguramiento y cmo se puede realizar una
revisin (auditora) del aseguramiento en cada uno de los procesos de TI.

Control Objective
Texto del Objetivo de Control detallado
para la actividad n
Value Drivers
cuando se cubre el
objetivo de control
Ejemplos de riesgos
control
Risk Drivers
Test de Control Design
1.
2. Instrucciones para la revisin del diseo del control
3.
Proceso p

Texto del Objetivo de Control de alto nivel para el proceso p
Cobit
37
IT Assurance Guide
DS8.3 Escalado de Incidentes
Cobit
38
IT Assurance Guide
DS8.5 Reporte y anlisis de tendencias
Cobit
39
Cobit
40
ITIL
Qu es ITIL? IT Infrastructure Library

ITIL se define como una biblioteca que documenta las Buenas Prcticas de la Gestin de
Servicios de TI para conseguir la eficiencia y la eficacia en la utilizacin de los sistemas de
informacin.
Es el marco de procesos de Gestin de Servicios de TI (administracin de procesos) ms
aceptado.Standard de facto para Servicios de IT.
ITIL proporciona un conjunto de mejores prcticas, extradas de organismos punteros del
sector pblico y privado a nivel internacional.

Por qu es til ITIL a Auditora Informtica?

Alinear la Tecnologa con el Negocio por medio de la Gestin del Servicio
TI basado en procesos
Define las reas de enfoque, procesos de TI, y las interrelaciones
requeridas para administrar el ciclo de vida de los servicios de TI. Puede
dar soporte para definir mapas de procesos de TI
Proveyendo sistemas de control para la mejora continua. Permite el
benchmarking y anlisis de mejora continua de TI. Aporta descripciones
cuantitativas de servicios informticos y descripcin cuantitativas de
calidad (disponibilidad, capacidad, seguridad, costes).
41
ITIL
42

O Es el proceso encargado de restablecer el funcionamiento normal de los servicios de la forma ms rpida posible y
de minimizar el impacto negativo en las operaciones de negocio
O El funcionamiento normal de los servicios se define aqu como el funcionamiento de los servicios dentro de los
lmites del acuerdo de nivel de servicio (Service Level Agreement, SLA)
Se ocupan de asegurar que el cliente o usuario tiene acceso a los servicios que utiliza. Se ubican a nivel
operacional y dan soporte a los cambios necesarios para el buen funcionamiento de los servicios (posibles
fallos, incidencias, configuracin, etc)
2. Gestin de incidencias
3. Gestin de problemas

O Es una funcin del proceso de gestin de incidencias, pero su importancia determina que se trate como un
elemento diferenciado
O El Service Desk es el nico punto de contacto entre los proveedores y los receptores de los servicios
O Su principales tareas son registrar, resolver y monitorizar incidencias y problemas, e informar a los usuarios

O Tiene como finalidad minimizar el impacto negativo en el negocio de los incidentes y problemas provocados por
errores en la infraestructura de TI, y evitar la repeticin de incidentes relacionados con estos errores
O Se propone llegar a la causa ltima de estos incidentes y proponer soluciones para la mejora de la situacin
1. Service Desk
ITIL. Soporte de Servicios 1/2
43
4. Gestin de cambios
6. Gestin de la entrega

O Tiene como finalidad gestionar los cambios la organizacin de TI de forma rpida y eficiente y minimizar el impacto
en la calidad del servicio de los incidentes derivados de los cambios y as mejorar las operaciones diarias de la
organizacin
O Debe dar una respuesta adecuada a la solicitud de cambio: enfoque ponderado de la necesidad del cambio, teniendo
en cuenta el riesgo y el impacto del mismo

O Proporciona un modelo lgico de la infraestructura o de un servicio, identificando, controlando, manteniendo y
comprobando las versiones de los elementos de configuracin (EC) existentes y las relaciones entre los mismos.
Este modelo se almacena en la base de datos de gestin de la configuracin, conocida como CMDB (Configuration
Management Database)
O Objetivos de este proceso son:
- Mantener la relacin de todos los activos y configuraciones de las TI dentro de la organizacin y sus servicios
- Proporcionar informacin precisa sobre los EC su documentacin
- Proporcionar una base slida para la gestin de incidencias, la gestin de problemas, la gestin de cambios y
la gestin de la entrega

O Se encarga de la planificacin y supervisin del lanzamiento con xito del sw y hw relacionado
O Disear e implantar procedimientos eficientes para la distribucin e instalacin de los cambios en los sistemas de TI
5. Gestin de la configuracin
ITIL. Soporte de Servicios 2/2
44
Relacin entre los procesos
Soporte de Servicios
ITIL. Soporte de Servicios
45
Se centran en las relaciones entre la organizacin de TI y sus clientes. Se analizan y evalan los
servicios, y se toman decisiones relativas a las posibilidades financieras y de infraestructura para
cubrir las necesidades del cliente
1. Gestin de niveles de servicio

O Su objetivo es mantener y mejorar la calidad de los servicios de las TI, a travs de un ciclo constante de
acuerdos, supervisin e informacin sobre los logros de los servicios de las TI y la promocin de acciones
para erradicar los servicios de mala calidad
O ITIL recomienda el mantener un catlogo de servicios que servir de base para la formalizacin de acuerdos
de nivel de servicio (SLA) . ITIL tambin recomienda que el concepto de acuerdo de nivel de servicio se
extienda al resto de la organizacin, as el acuerdo con unidades internas se denominan acuerdos de nivel
operativo (OLA). Los acuerdos con proveedores se denominan contratos de soporte
2. Gestin financiera

O Se encarga de justificar los gastos de los servicios de TI y la imputacin de dichos gastos a los servicios
prestados a los clientes de la organizacin
O Administracin rentable de los activos y recursos de las TI
3. Gestin de la capacidad

O Para ITIL, se resume en garantizar que existe siempre una capacidad de TI con costes justificables que
coincida con las necesidades actuales y futuras del negocio
O Procura predecir el comportamiento de los servicios de TI en una cantidad y variedad dada
O Contempla la realizacin de actividades de monitorizacin, anlisis, gestin de la demanda, tcnicas de
modelado, etc. A diferentes niveles: recursos propios, servicios, negocio
ITIL. Entrega de Servicios 1/2
46
3. Gestin de la disponibilidad

O Su objetivo es optimizar la capacidad de las infraestructuras, los servicios y la organizacin de soporte de las
TI, para ofrecer un nivel rentable y sostenido de disponibilidad que permita que el negocio alcance sus
objetivos
O La disponibilidad es parte esencial del Negocio, y se enfoca exclusivamente en darle atencin al servicio
acordado. Realiza las tareas y actividades necesarias para disminuir el riesgo de un corte en la disponibilidad
del Servicio
O La disponibilidad o no disponibilidad son los indicadores principales de la calidad que el usuario percibe
4. Gestin de la continuidad

O Gestin de los riesgos, de tal manera que, en caso de incidencia grave, el negocio pueda seguir funcionando
dentro de unos niveles de servicio previamente acordados
ITIL. Entrega de Servicios 2/2
47
Relacin entre los procesos
Entrega de Servicios
Marcos de control y gestin
ITIL. Entrega de Servicios
48
FFIEC IS Requeriments
(Federal Financial Institutions Examination Councils)

O El estndar utilizado por la Reserva Federal de EEUU como gua de trabajo para evaluar
la idoneidad y adecuacin de los controles implantados sobre los sistemas de informacin
de las Entidades Financieras que presentan oficinas en Estados Unidos.

ODispone de cuadernos de revisin (IT Examination Handbook):
IS- Information Security
AUD Audit
OT Outsourcing Technology Services
TSP Technology Services Provider
BCP Business Continuity Plan

O Herramienta para identificar objetivos de control y controles dentro de los procesos a
auditar.

FFIEC IS Requeriments
49
Metodologa de Auditoras de Procesos

Planificacin.
Trabajo de Campo.
Informe
Ejercicio. Gestin de
Acuerdo con Proveedores
Ejercicio. Gestin de
Incidencias
Ejercicio. Programas
de Trabajo
Ejercicio. Ejemplo
de Informe
50
Caractersticas de un proceso
Cuando se auditen procesos debemos tener presente
los fundamentos / principios de procesos para
nuestros anlisis y la determinacin de fortalezas y
debilidades.
En un proceso existen muchos elementos. Es
conveniente identificarlos como elementos del
proceso.
Para su identificacin podemos utilizar el siguiente
modelo de procesos genrico que contienen todos
los factores que conforman un proceso.
Sobre estos elementos se definen
Controles generales y
Controles especficos del proceso

Recursos Roles
Actividades y
Subprocesos
Gestor
Entradas y
Especificaciones de
entrada
Salidas y
Especificaciones
de salida
Objetivos del
Proceso
Propietario del
Proceso
Parmetros de calidad e Indicadores
Clave de Rendimiento
Control del Proceso
Proceso
Habilitadores del proceso
51
Proceso: Conjunto estructurado de actividades, realizadas
por agentes determinados, orientadas a la consecucin de
un objetivo determinado de una manera repetible y
medible. El proceso define QU debe hacerse.

Entradas. Salidas: Los Procesos requieren de una o ms
entradas y producen una serie de salidas, ambas
previamente definidas.

Actividad: Un conjunto de acciones diseadas para
alcanzar un resultado especfico. Normalmente, las
actividades se definen como parte del proceso y se
documentan en procedimientos. Las actividades describen
detalladamente las tareas y pasos para ejecutar
procedimientos. Son las unidades de las que se componen
stos.

Procedimientos. Serie de pasos que definen de una
manera especfica cmo y por quin ha de realizarse una
actividad. Un procedimiento define CMO debe hacerse.
Los procedimientos pueden completarse con Instrucciones
de trabajo

Instrucciones de trabajo. Instrucciones detalladas que
describen exactamente cmo ha de ejecutarse una
actividad.

Gestor: Los gestores del proceso son los responsables de
realizar y estructurar los procesos e informar sobre ellos al
propietario.
Recursos Roles
Actividades y
Subprocesos
Gestor
Entradas y
Especificaciones de
entrada
Salidas y
Especificaciones
de salida
Objetivos del
Proceso
Propietario del
Proceso
Control del Proceso
Proceso
52
Rol: Conjunto de actividades,
responsabilidades y potestades
concedidas a una persona o equipo. Una
persona o equipo puede tener mltiples
roles. Un Proceso suele incorporar la
definicin de los Roles que intervienen.

Para distribuir el trabajo en un proceso las
actividades se agrupan en roles de
proceso.

Para desempear cada rol es necesario
indicar qu conocimientos, habilidades y
formacin son requeridos.

Recursos Roles
Actividades y
Subprocesos
Gestor
Entradas y
Especificaciones de
entrada
Salidas y
Especificaciones
de salida
Objetivos del
Proceso
Propietario del
Proceso
Control del Proceso
Proceso
53
Los datos entran en el proceso, se procesan, salen del
proceso y el resultado se mide y revisa. Para que la
gerencia controle un proceso o actividad, se debe de
establecer un mtodo predeterminado. Sin l, no
existen bases para controlar, ajustar o mejorar el
proceso.

Objetivo del proceso. Un proceso se organiza siempre
alrededor de un objetivo. El principal resultado del
proceso es el resultado del objetivo.

Propietario del proceso. El propietario es el responsable
del resultado del mismo.

Control del proceso: El proceso es objeto de controles
de gestin (tiempo, coste y calidad) que suelen estar
incorporados en su definicin. Los controles de gestin
son necesarios para obtener las salidas de forma eficaz.

Mtodo 1/2. Procedimientos. Pueden considerarse
mtodos de control: los propios procedimientos,
instrucciones de trabajo, listas de verificacin,
esquemas, diagramas de flujo,, mapas de proceso,
etctera.

Mtodo 2/2. Parmetros de Calidad. Indicadores: Es
necesario establecer los indicadores que nos
permitirn, en base a los objetivos propuestos, evaluar
el correcto funcionamiento del Proceso. Las medidas de
estos indicadores se plasmarn en informes peridicos
que se utilizarn para la evaluacin del proceso.

Recursos Roles
Actividades y
Subprocesos
Gestor
Entradas y
Especificaciones de
entrada
Salidas y
Especificaciones
de salida
Objetivos del
Proceso
Propietario del
Proceso
Control del Proceso
Proceso
54
Carctersticas de un proceso. Ejercicio.

Proceso de Gestin de Incidencias de la empresa Infolabs
Ejercicio. A partir del Modelo de Procesos Genrico identificar sus
elementos

(ver tomo de ejercicios)
55
Obtener un entendimiento de los requerimientos del
negocio, los riesgos relacionados, y las medidas de
control relevantes.

Evaluar la conveniencia de los controles establecidos.

Evaluar el cumplimiento al probar si los controles
establecidos estn funcionando como se espera, de
manera consistente y continua.

Justificar el riesgo de que los objetivos de control no
se estn cumpliendo mediante el uso de tcnicas
analticas y/o consultando fuentes alternativas.
Se audita mediante los siguientes pasos:
Gua Genrica de Auditora
56
Evaluacin de los controles
Evaluar de la eficacia de las medidas de control
establecidas o el grado en el que se logra el objetivo de
control. Bsicamente, decidir qu se va a probar, si se va a
probar y cmo se va a probar.
Evaluar la conveniencia de las medidas de control del
proceso mediante la consideracin de los criterios
identificados y las prcticas estndares de la industria, los
Factores Crticos de xito (CSF) de las medidas de control
y la aplicacin del juicio profesional de auditor.
- Existen procesos documentados.
- Existen resultados apropiados.
- La responsabilidad y es clara y eficaz.
- Existen controles compensatorios donde es necesario.
Concluir el grado en el que se cumple el objetivo de control.
Obtener entendimiento
Documentar las actividades subyacentes a los objetivos de
control, as como tambin identificar las
medidas/procedimientos de control establecidas.
Lograr la comprensin de:
- Requerimientos del negocio y los riesgos asociados.
- Estructura organizacional.
- Roles y responsabilidades.
- Medidas de control establecidas.
- Actividad de reporte (estatus, desempeo, acciones).
Documentar los recursos de TI relacionados con el proceso
que se ven afectados por el proceso bajo revisin.
Confirmar el entendimiento del proceso bajo revisin, los
KPI del proceso, las implicaciones de control, por ejemplo,
mediante un seguimiento paso a paso del proceso.
Valoracin del cumplimiento
Asegurar que las medidas de control establecidas estn
funcionando como es debido, de manera consistente y
continua, y concluir sobre la conveniencia de ambiente de
control.
Obtener evidencia directa o indirecta de puntos/perodos
seleccionados para asegurarse que se ha cumplido con los
procedimientos durante el perodo de revisin, utilizando
evidencia tanto directa como indirecta.
Realizar una revisin de la suficiencia de los resultados del
proceso.
Determinar nivel de pruebas justificantes y trabajo adicional
necesario para asegurar que el proceso de TI es adecuado.
Justificar el riesgo
Justificar el riesgo de que no se cumpla el objetivo de
control mediante el uso de tcnicas analticas y/o
consultas a fuentes alternativas.
Documentar las debilidades del control y las amenazas
y vulnerabilidades resultantes.
Identificar y documentar el impacto real y potencial; por
ejemplo, mediante el anlisis de causa-raz.
Brindar informacin comparativa; por ejemplo, mediante
puntos de referencia.

Gua Genrica de Auditora
57
Planificacin
Trabajo de
Campo
Elaboracin
Informe
Metodologa auditoras de procesos
Se establecen los objetivos, alcance de las
pruebas, fechas de realizacin y asignacin
de recursos de cada trabajo de auditora.
La planificacin queda reflejada en dos
documentos:
el proyecto de auditora y
el programa de trabajo.
Durante la planificacin de la auditora, es
preciso comunicar el inicio del trabajo y sus
principales objetivos a las Direcciones de...
afectadas.

La realizacin del trabajo de campo
consiste bsicamente en la ejecucin de
las pruebas establecidas en el programa
de trabajo, analizando los resultados de
las mismas para extraer las oportunas
conclusiones y, en su caso, plantear
recomendaciones.
El trabajo de campo quedar
documentado en
los papeles de trabajo de auditora.

En el informe de auditora se recogen los
objetivos, alcance del trabajo, los hechos
observados, las conclusiones,
recomendaciones y manifestaciones del
centro auditado.

Objetivos
Mtodos y Medios
Pruebas
Evidencias de auditora
Informe

Proyecto de Auditora
Programa de Trabajo
Comunicacin Inicio Auditora

Informe
Comunicacin Informe
Manifestaciones auditado

Papeles de Trabajo
58
Planificacin
Trabajo de
Campo
Objetivos
Mtodos y Medios
Pruebas
Programa de Trabajo

Papeles de Trabajo
Alcance
Objetivos
Control
Modelo
Madurez
Elaboracin
Informe
Informe

Informe
Comunicacin Informe
Cobertura y
Cumplimiento
de controles
Marco
general
Evaluacin
riesgos
Evaluacin
Proceso
Metas
Mtricas
Mtricas
59
Identificacin
del Alcance
Identificacin
Objetivos
Control
Elaboracin
Modelo
Valoracin
Identificacin
Prcticas de control
Identificacin
Objetivos de
control
Desarrollo del
Modelo de
Madurez
Planificacin
Trabajo de
Campo
Elaboracin
Informe
Identificacin
intervinientes
Diagrama
del alcance
Obtener
conocimiento
Validar
Planificacin
Metas y
Mtricas
Obtencin de
parmetros de
logro y
desempeo
60
Auditora de un proceso. Marco metodolgico
Planificacin. Identificacin del alcance
Identificacin
del Alcance
Identificacin
intervinientes
Diagrama del
alcance
Planificacin
Obtener
conocimiento
Validar
Objetivo: Definir hasta
donde se quiere llegar con la
revisin, es decir, la amplitud
y profundidad de las pruebas
e investigaciones a realizar,
identificando procesos,
subprocesos, procedimientos
y/o actividades de TI as
como sus intervinientes.
Diagrama del alcance
Identificacin de Intervinientes
Definir hasta donde se quiere llegar con la revisin, es
decir, la amplitud y profundidad de las pruebas e
investigaciones a realizar.
Identificar responsables, gestores y participantes en el
proceso.
Validar participantes, roles y responsables del
proceso. Se identificarn los siguientes perfiles:
Ejecucin, suministro de informacin,
seguimiento, revisin, y aprobacin

Confirmar el entendimiento del proceso bajo revisin .
Validar flujograma, tareas, procedimientos y salidas
con los responsables del proceso. (ej. ejemplo,
mediante un seguimiento paso a paso del proceso)
Conocer algn marco de referencia* (facilta la toma de
datos con los intervinientes)
Recopilar toda la documentacin del proceso:
procedimientos, actividades, salidas, etc...
Entrevistas para lograr la comprensin de:
- Requerimientos del negocio.
- Riesgos asociados.
- Estructura organizacional.
- Roles y responsabilidades.
- Las medidas de control establecidas.
- Actividades de reporte.
Obtener conocimiento
Validar
* Cobit, CMMI,
ITIL, ISO
61
Identificacin
Objetivos
Control
Identificacin
Prcticas de control
Identificacin
Objetivos de
control
Planificacin. Objetivos de Control.Controles
Criterio auditor
Buenas prcticas
CISA
Procesos
definidos
ITIL
ISO 27001
COBIT
Controles/
Conceptos
Planificacin
Identificacin Objetivos de Control
Objetivo. Identificar
objetivos de control y
prcticas de control
(controles)
En cualquier caso el
Auditor debe estar
capacitado para
definir/exigir objetivos
de control y prcticas
de control a partir de
modelos de buenas
prcticas de gestin y
control (ej. CoBIT, ITIL)

Identificacin de Prcticas de Control
Definir objetivos de control de alto nivel
segn marcos de referencia.

Definir prcticas de control que den cobertura
a los objetivos de control. Analizar los marcos de
referencia.
62
Control
Objective
Value Drivers
cuando se cubre el
objetivo de control
Ejemplos de riesgos
control
Risk
Drivers
Control Practices
1.
2. Instrucciones para la consecucin del objetivo
3.
Proceso p
Control
Objective
Value Drivers
Risk
Drivers
Test de Control Design
1.
2. Instrucciones para la revisin del diseo del control
3.

Texto del Objetivo de Control de alto nivel para el proceso p
63
La necesidad de administrar el desempeo
y la capacidad de los recursos de TI
requiere de un proceso para revisar
peridicamente el desempeo actual y la
capacidad de los recursos de TI.
Este proceso incluye el pronstico de las
necesidades futuras, basadas en los
requerimientos de carga de trabajo,
almacenamiento y contingencias.
Este proceso brinda la seguridad de que los
recursos de informacin que soportan los
requerimientos del negocio estn
disponibles de manera continua.
Prcticas de Control. (Monitorizacin y reporte)

Debe establecerse un proceso de recopilacin de datos de monitorizacin y reporte sobre la disponibilidad,
rendimiento y carga de trabajo de la capacidad de todos los recursos.
Se deben proporcionar reporte peridicos de resultados en una forma apropiada para la revisin por gestores de IT
y negocio.
Las actividades de monitorizacin y reporte estn integradas en las actividades iterativas de gestin de la
capacidad (monitorizacin, anlisis, tuning e implementaciones).
Los informes de la capacidad forman parte / alimentan los procesos presupuestarios.
Auditora de Gestin del Rendimiento y Capacidad
Objetivo de Control alto nivel (DS3).
Objetivo de Control detallado (DS3.1). Planificacin
Objetivo de Control detallado (DS3.2). Capacidad y desempeo
actual
Objetivo de Control detallado (DS3.3). Capacidad y desempeo
futuros
Objetivo de Control detallado (DS3.4). Disponibilidad de recursos
de TI
Objetivo de Control detallado (DS3.5). Monitorizacin y Reporte.
Se debe monitorizar continuamente el desempeo y la capacidad de los
recursos de TI. La informacin reunida sirve para dos propsitos:
(1) Mantener y poner a punto el desempeo actual dentro de TI y atender
temas como contingencia, cargas de trabajo actuales y proyectadas, planes
de almacenamiento y adquisicin de recursos.
(2) Para reportar la disponibilidad hacia el negocio del servicio prestado
como se requiere en los SLAs (en su caso). Acompaar todos los reportes
de excepcin con recomendaciones para llevar a cabo acciones correctivas.
64
Planificacin. Modelo de valoracin. Modelo de Madurez
Elaboracin
Modelo
Valoracin
Desarrollo del
Modelo de
Madurez
Planificacin
Objetivo: Elaboracin de criterios
que nos permitan evaluar el
proceso desde el punto de vista de
la administracin y control de
proceso.
Desarrollar un contenido del
modelo de valoracin basado en
Modelos de Madurez, a partir del
cual se podr identificar el nivel de
control interno del proceso
auditado.
El enfoque de los Modelos de
Madurez para el control sobre
procesos de las TI consiste en el
desarrollo de un mtodo de
asignacin de puntuacin para que
una organizacin, proceso o
actividad pueda ser calificado.

Optimizado
Definido
Repetible
Inicial
Proceso autogestionado y
basado en mejores prcticas
Proceso monitorizado y
medible
Proceso formalizado y
documentado
Proceso intuitivo y repetible
Proceso AdHoc y
desorganizado
Caractersticas
del proceso
Gestionado
Nivel de
Madurez
Inexistente Proceso Inexistente
Utilizar modelos de
madurez genricos
(ej Cobit)
Utilizar modelos de
madurez especficos
del proceso auditado
(fuente: Cobit)
65
Modelo de madurez. Genrico (modificado)
Inexistente Total falta de un proceso reconocible. No se ha identificado un proceso claramente definido. El proceso
no est implementado o falla en alcanzar su propsito .
Inicial Existen procesos especficos para tareas reconocidas pero no estn formalizados o documentados
formalmente. No hay procesos estandarizados aunque hay mtodos ad hoc que tienden a ser aplicados
en forma individual o caso por caso. El mtodo general de la administracin es desorganizado.
Repetible Los procesos se han desarrollado hasta el punto en que diferentes personas siguen procedimientos
similares emprendiendo la misma tarea. No hay capacitacin o comunicacin formal de procedimientos
estndar y la responsabilidad se deja a la persona. Hay un alto grado de confianza en los conocimientos
de las personas y por lo tanto es probable que haya errores.
Definido Los procedimientos estn estandarizados y documentados. Los procedimientos mismos no son
sofisticados sino que son la formalizacin de las prcticas existentes. Existe seguimiento de procesos por
parte de sus ejecutores que lo aplican de manera general.
Administrado Es posible monitorizar y medir el cumplimiento de los procedimientos y emprender accin donde los
procesos parecen no estar funcionando efectivamente. Existen registros de actividad de las tareas de los
procedimientos. Los procesos estn bajo constante mejoramiento y presentan buenas prcticas. Se usan
automatismos y herramientas en una forma limitada o fragmentada.
Optimizado Se efectan comprobaciones peridicas. Procesos refinados hasta un nivel de la mejor prctica, basados
en los resultados de mejoramiento continuo y diseo de la madurez con otras organizaciones. Se usan
herramientas en una forma integrada para automatizar el flujo de trabajo para mejorar la calidad y la
efectividad.
66
No-existente. Los gestores no reconocen que los procesos clave del negocio pueden requerir altos niveles de capacidad de TI o que el total de
los requerimientos de servicios de TI del negocio pueden exceder la capacidad. No se lleva cabo un proceso de planificacin de la capacidad.
Inicial/Ad Hoc. Con frecuencia se llevan a cabo soluciones alternas para resolver limitaciones de capacidad. Los responsables de los procesos
valoran poco la necesidad de llevar a cabo una planificacin de la capacidad. Las acciones para administrar la capacidad son tpicamente
reactivas. El proceso de planificacin de la capacidad es informal.
Repetible pero intuitivo. Existe conciencia de la necesidad de administrar la capacidad. Las necesidades se logran en base a evaluaciones de
sistemas, herramientas de monitorizacin, y el conocimiento de tcnicos; pero la consistencia de los resultados depende de la experiencia
(heurstica). Se utilizan herramientas para diagnosticar problemas de capacidad. No hay una evaluacin general de la capacidad o consideracin
sobre situaciones de carga pico y peor-escenario. Los problemas de disponibilidad son susceptibles de ocurrir de manera inesperada y aleatoria.
Proceso definido. Los requerimientos de capacidad estn definidos a lo largo del ciclo de vida del sistema. Hay mtricas y requerimientos de
niveles de servicio bien definidos, que pueden utilizarse para medir la capacidad operacional. Los pronsticos de la capacidad se modelan por
medio de un proceso definido. Los reportes se generan con estadsticas de capacidad. Los problemas relacionados con la capacidad siguen
siendo susceptibles a ocurrir y su resolucin sigue consumiendo tiempo.
Administrado y medible. Hay procesos y herramientas para medir la capacidad de los sistemas, y los resultados se comparan con metas
definidas. Hay informacin actualizada disponible, estadsticas estandarizadas que alertan sobre incidentes causados por falta de capacidad. Los
problemas se tratan de acuerdo con procedimientos definidos y estandarizados. Se utilizan herramientas automatizadas para monitorizar
recursos especficos. Las estadsticas de capacidad son reportadas en trminos de los procesos de negocio, de forma que los usuarios y los
clientes comprendan los niveles de servicio de TI. Se han acordado los KGIs y KPIs para medir el desempeo y la capacidad de TI, pero se
aplican de forma espordica e inconsistente.
Optimizado. Los planes de capacidad estn sincronizados con las proyecciones de demanda del negocio. La infraestructura y la demanda del
negocio estn sujetas a revisiones regulares para asegurar que se logre una capacidad ptima con el menor costo posible. Las herramientas de
monitorizacin para recursos crticos han sido estandarizadas y usadas a travs de diferentes plataformas y vinculadas a un sistema de
administracin de incidentes. Estas herramientas detectan problemas relacionados con la capacidad. Se llevan a cabo anlisis de tendencias, los
cuales muestran problemas de capacidad inminentes causados por incrementos en los volmenes de negocio, lo que permite planear y evitar
problemas inesperados. Las mtricas para medir la capacidad de TI han sido bien afinadas dentro de los KGIs y KPIs para todos los procesos de
negocio crticos y se miden de forma regular. La gerencia ajusta la planificacin de la capacidad siguiendo los anlisis de los KGIs y KPIs.

[1]
Key Goal Indicator (Indicador Clave de Resultado). Key Performance Indicator Indicadores Claves de Desempeo).
Modelo de madurez. Especfico del proceso (modificado)
67
Adecuacin Descripcin y acciones necesarias
ptimo
Adems de cumplir las caractersticas del nivel elevado, existe una estrategia continua de mejoramiento de
controles.
Estn gestionada su eficacia y eficiencia mediante mtricas, cuadros de mando, etc

Elevado
Los controles que alcanzan el objetivo de control:
Estn perfectamente definidos.
Estn implementados y operativos prevaleciendo controles automticos
Son medibles.

Adecuado
Existe un control o conjunto de controles definidos, establecidos y operativos que dan cobertura al objetivo de
control.
Los controles pueden ser manuales y automticos y los procedimientos y operaciones son correctos

Razonable
Existen controles que alcanzan el objetivo de control.
Pero los procedimientos y operaciones asociados a los controles presentan deficiencias.

Mejorable
El objetivo de control no es alcanzado debido a:
la ausencia de algn control
la presencia de controles inefectivos.
Debilidades materiales en el diseo e implementacin

Deficiente
(o nulo)
El objetivo de control no es alcanzado debido a que
No existen control(es)

Planificacin. Modelo de valoracin. Escala personalizada
68
Planificacin
Planificacin. Metas y mtricas
Objetivo. Identificar un conjunto de
posibles mtricas que proporcionen
visin del desempeo del proceso.
Control del proceso: El proceso debe
ser objeto de control de gestin. Es
necesario establecer los indicadores
que nos permitirn, en base a los
objetivos propuestos para evaluar el
correcto funcionamiento del Proceso.
El Auditor debe estar capacitado para
recomendar la existencia de mtricas e
indicadores de gestin.
Fuente. Modelos de buenas prcticas
de gestin y control (ej. CoBIT, ITIL)

Metas
y
Mtricas
Obtencin de
parmetros de
logro y
desempeo
69
Metodologa de auditora de proceso. Ejercicio.

Auditora de Gestin de Acuerdos con Proveedores

EJEMPLOS DE PROGRAMA DE TRABAJO

o Ejemplo n1. Auditora de la empresa TeVeo
o Ejemplo n2. CoBIT
o Ejemplo n3. FFIEC

Identificacin
del Alcance
Identificacin
Objetivos Control
Elaboracin
Modelo
Valoracin
Identificacin
Prcticas de control
Identificacin
Objetivos de control Desarrollo del
Modelo de
Madurez
Planificacin
Trabajo de
Campo
Elaboracin
Informe
Identificacin
intervinientes
Diagrama del
alcance
Obtener
conocimiento
Validar
Metas
y
Mtricas
Obtencin de
parmetros de
logro y
desempeo
70
Marco
general de
control
Roles y
Responsabilidades
Planificacin
Trabajo de
Campo
Elaboracin
Informe
Trabajo de Campo
Mtricas
Esquema de
medicin
Marco de
gestin
Polticas y
Procedimientos
Roles y responsabilidades
Marco general de control
Polticas y procedimientos
Controles especficos del proceso
Esquema de medicin
Mtricas
Marco de gestin
Cobertura y
cumplimiento
de controles
Identificacin
de ausencia
de controles
Seguimiento de
medidas de
control
71
Trabajo de Campo. Marco general de control
Trabajo de
Campo
Marco
general de
control
Roles y
Responsabilidades
Polticas y
Procedimientos
Cada proceso debe tener un propietario.
El papel y las responsabilidades del propietario del proceso estn definidos. En particular en:
(1) el diseo del proceso, (2) la interaccin con otros procesos, (3) la rendicin de cuentas
sobre entregables del proceso, (4) medicin del rendimiento y (4) identificacin de mejoras.
El propietario del proceso tiene suficiente autoridad para ejecutar, conducir el proceso.
Dentro del proceso deben estar establecidas la propiedad, responsabilidad y mecanismo de
seguimiento para los productos entregables.
Las actividades clave y los productos finales entregables del proceso estn definidos
Los roles y responsabilidades para la ejecucin de actividades clave deben: (1) estar asignadas
y comunicadas de forma no ambigua, (2) documentadas y (3) sujetas a algn sistema que
permita dar cuenta/explicar/responder por la consecucin de objetivos o entregables.
La asignaciones de propiedad, roles y responsabilidades de tareas crticas deben estar
comunicadas y aceptadas de forma inequvoca.
Debe existir un registro/mapa documentado de las descripciones de roles y responsabilidades.
Roles y Responsabilidades
Cobertura. El esquema de polticas y procedimientos cubre toda la casustica del proceso.
Grado de definicin. Los procedimientos establecen las actividades del proceso, las
responsabilidades en la ejecucin de las mismas, as como las salidas y registros a generar
durante la ejecucin de dichas actividades.
Grado de actualizacin. El contenido de las polticas y procedimientos se encuentra
actualizado.
Formalizacin. Las polticas y procedimientos tienen un esquema de revisin y aprobacin
definido y ejecutado.
Publicitacin. Las polticas y procedimientos estn publicadas y accesibles a todos los
intervinientes (desde usuarios finales hasta responsables).
Polticas y procedimientos
72
La matriz de la asignacin de responsabilidades (RACI por sus siglas en ingls) se utiliza generalmente para
relacionar actividades con recursos (individuos o equipos de trabajo). De esta manera se logra asegurar que cada
uno de los componentes del alcance est asignado a un individuo o a un equipo.
La matriz RASCI es una variacin de la RACI. La nica diferencia es la adicin de un nuevo rol: el de soporte. Las
matrices RACI-VS o VARISC son otra variacin con los roles adicionales de verificador y firmante.
En esta matriz se asigna el rol que el recurso debe jugar para cada actividad dada. No es necesario que en cada
actividad se asignen los cuatro roles, pero s por lo menos el de encargado y el de responsable. Estas matrices se
pueden construir en alto nivel (reas generales) o en un nivel detallado (tareas de nivel bajo).

Rol Descripcin
R Responsible Encargado
Realiza el trabajo y es responsable por su realizacin. Debe existir slo un R, si existe ms de uno,
entonces el trabajo debera ser subdividido a un nivel ms bajo.
A Accountable Responsable
Se encarga de aprobar el trabajo finalizado y a partir de ese momento, se vuelve responsable por l.
Es ante quien "R" debe reportarse, quien debe firmar o aprobar el trabajo antes de que sea ACEPTADO.
S Supportive Soporte
S = (puede ser de apoyo). puede proporcionar recursos o puede desempear un papel al apoyar la puesta
en prctica.
C Consulted Consultado
Este rol posee la informacin o capacidad necesaria para terminar el trabajo.
Es quien debe ser consultado. Tiene la informacin y/o la capacidad necesarios para terminar el trabajo.
I Informed Informado
Este rol debe ser informado sobre el progreso y los resultados del trabajo.
Debe ser notificado de los resultados, pero no necesita ser consultado.
V Verify Verificador
Este rol se encarga de comprobar si el producto concuerda con los criterios de aceptacin establecidos
en la descripcin del producto.
S Sign Firmante
Este rol se aprobar las decisiones de V y autorizar la salida del producto. Lo lgico es que el trabajo de un
S preceda siempre al de un A.
73
Pasos en un proceso RACI
1. Identifique todos los procesos / actividades implicadas en el lado izquierdo del grfico.
2. Identifique todos lo roles y enumrelos en el lado superior del grfico.
3. Complete las celdas del grfico: identifique quin tiene el rol de R, A, S, C, I para cada proceso.
4. Cada proceso debe preferiblemente tener uno y solamente un "R" como principio general.
Se da una brecha cuando existe un proceso sin un "R". Solucin. Donde no se ha identificado ningn rol "R"
para un proceso, quien tenga la autoridad para la definicin del rol debe determinar qu rol existente o
nuevo ser el responsable. Clarificar el rol con el individuo que asuma ese rol.
Se da un solapamiento cuando existen mltiples roles que tienen un "R" para un proceso dado. Solucin:
Detallar an ms los procesos secundarios, para separar las responsabilidades individuales.

74
R Responsable de realizar/ejecutar tarea
A Responsable ltimo, puede delegar, debe supervisar
C Consultar antes de hacer
I Informar despus de hacer
EJ Ejecucin (EJ): Perfil encargado de ejecutar la actividad.
SI Suministro de informacin (SI): Perfil encargado de suministrar informacin necesaria para la ejecucin de la actividad.
SG Seguimiento (SG): Perfil informado del resultado de la actividad.
RV Revisin (RV): Perfil encargado verificar o validar algn resultado o producto de la actividad.
AP Aprobacin (AP): Perfil encargado de aprobar o rechazar algn resultado o producto de la actividad.
Acciones
Participantes
EJ SI SG RV AP
1. Establecer requisitos ANS Responsable de Acuerdo Responsable de Acuerdo
2. Lanzar el ANS
Resp.de Gestin de Suministradores

Responsable de Acuerdo
3. Seguir cumplimiento ANS Responsable de Acuerdo Responsable de Acuerdo
4. Revisin de Contrato
Resp.de Gestin de Suministradores

Responsable de Acuerdo
5. Finalizacin del Servicio Responsable de Acuerdo Responsable de Acuerdo
5. Evaluacin del Servicio Responsable de Acuerdo Resp.de Gestin de Suministradores
75
Trabajo de Campo. Cobertura y cumplimiento de controles
Trabajo de
Campo
Cobertura y
cumplimiento
de controles
Identificacin
de ausencia
de controles
Objetivo. Evaluar la conveniencia de las medidas de control mediante la consideracin de
(1) las prcticas de control implantadas y las prcticas estndares de la industria y
(2) el funcionamiento de las medidas de control implantadas. Evaluar el cumplimiento
al probar si los controles establecidos estn funcionando como se espera, de manera
consistente y continua.
Los objetivos de control. Pueden estar identificados (o no) e implementados (o no)
mediante prcticas de control por parte del propietario del proceso.
En cualquier caso el Auditor debe estar capacitado para definir/exigir prcticas de
control a partir de modelos de buenas prcticas de gestin y control (ej. CoBIT, ITIL)

Identificacin ausencias de prcticas de control
Analizar documentacin existente asociada al proceso a auditar, para identificar prcticas de
control o tareas de las cuales se puedan inferir controles.
Mapear con las prcticas de controles obtenidas de los marcos de referencia en la etapa de
Planificacin. Identificar ausencias.
Valoracin funcionamiento medidas de control
Los pasos de las medidas de control establecidas estn funcionando como es debido, de manera consistente y continua.
Obtener evidencia directa o indirecta de puntos/perodos seleccionados para asegurarse que se ha cumplido con los
procedimientos durante el perodo de revisin, utilizando evidencia tanto directa como indirecta.
Realizar una revisin de la suficiencia de los resultados del proceso.
Determinar el nivel de pruebas justificantes y trabajo adicional necesarios para asegurar que el proceso de TI es adecuado.
Seguimiento de
medidas de
control
76
Anlisis de
los riesgos
Identificar y
documentar
riesgos
Evaluacin
del proceso
Evaluacin
global del
proceso
Identificacin
recomenda-
ciones
Planificacin
Trabajo de
Campo
Elaboracin
Informe
Informe
77
Informe. Anlisis de riesgos
Elaboracin
Informe
Anlisis de
los riesgos
Identificar y
documentar
riesgos
Identificar y documentar el riesgo
Objetivo. Identificar y documentar el riesgo de que los objetivos de control no se estn
cumpliendo.

Documentar las debilidades del control y las amenazas y vulnerabilidades
resultantes.
Identificar y documentar el impacto real y potencial; por ejemplo, mediante el
anlisis de causa-raz.
Brindar informacin comparativa; por ejemplo, mediante puntos de referencia.
Control
Objective
Value Drivers
cuando se cubre el
objetivo de control
Ejemplos de riesgos
control
Risk
Drivers
Proceso p
78
Evaluacin Global del Proceso
Identificacin de Recomendaciones
Ponderar los controles evaluados y asignar una valoracin global del nivel de control del proceso auditado
siguiendo la escala del Nivel de Madurez.
Identificacin de las principales conclusiones del trabajo realizado.
Identificar la posible ausencia de controles implantados, controles existentes que no cumplen adecuadamente
su funcin o falta de evidencias de los controles existentes.
Identificar incumplimientos de normativas internas, incumplimientos regulatorios, o estndares aprobados en
la Entidad.
Emitir recomendaciones sobre los incumplimientos detectados.
Evaluar, si es posible exigir, en el caso de procesos formalmente definidos, un nivel de madurez determinado.
Valorar los riesgos asociados a aspectos detectados que no suponen un incumplimiento ni estn formalmente
definidos, decidiendo si es necesario emitir una recomendacin al respecto.
Evaluacin
del proceso
Evaluacin
global del
proceso
Identificacin
recomenda-
ciones
Elaboracin
Informe
Objetivo. Obtener una valoracin global del proceso auditado en funcin del nivel de
madurez de control identificado y emisin de recomendaciones

Informe. Evaluacin
79

1. INTRODUCCIN

1.1. Objetivos
1.2. Alcance y limitaciones

2. HECHOS OBSERVADOS

2.1. Marco General de Control

2.1.1. Polticas y procedimientos del proceso
2.1.2. Roles y responsabilidades

2.2. Controles especficos del proceso

2.2.1. Monitorizacin y reporte
2.2.2. Revisin de los niveles de servicio
2.2.3. Programas de mejora del servicio

2.3. Esquema de medicin y gestin del proceso

2.3.1. Esquema de medicin de desempeo del proceso
2.3.2. Marco de gestin de los indicadores y mtricas definidas

3. CONCLUSIONES

4.OPININ Y RECOMENDACIONES

Informe. Evaluacin
(ver tomo en ejercicios, ejemplo de Informe)
80
Planificacin
Trabajo de
Campo
Objetivos
Mtodos y Medios
Pruebas
Programa de Trabajo

Papeles de Trabajo
Alcance
Objetivos
Control
Modelo
Madurez
Elaboracin
Informe
Informe

Informe
Comunicacin Informe
Cobertura y
Cumplimiento
de controles
Marco
general
Evaluacin
riesgos
Evaluacin
Proceso
Metas
Mtricas
Mtricas
81
Metodologa de auditora de proceso. Ejercicio.

Proceso de Administrar los servicios de terceros
(DS2 Manage Third-party Services)

Ejercicio. A partir del Framework de CoBit identificar para la actividad de
Monitorizacin del desempeo del proveedor (DS2.4 Supplier Performance
Monitoring):

oObjetivo de control detallado
o1 Prctica de Control
o1 Actividades para testear las Prcticas de Control
o1 Paso para el Programa de Trabajo (Appendix IV) y CoBit (3 Ed.)
oModelo de Madurez
o Mtricas bsicas (KPI, KGI y CSF)
o1 Riesgo clave

82
Planificacin. Mapa Estratgico. Mapa Auditor
Estrategias de implantacin de Auditoras de Procesos
83
Plan Auditor de Sistemas de Informacin
Peticiones de Negocio y
Unidad de Sistemas
Mapa Auditor
Plan
Estratgico
de la Unidad

Auditoras Proyectos
Planificacin
Aprobacin por los rganos de Gobierno
Inventario de Proyectos y Auditoras
Criterios de prioridad:
- Impacto en Clientes
- Impacto en Resultados
- Mapa Auditor
- Cumplimiento de Normativa
84
Planificacin Estratgica
Mapa Estratgico
O El Plan Estratgico del rea de Auditora se elabora mediante un Mapa Estratgico y Cuadro de Mando
Integral. Aunque ambos elementos son utilizados para la definicin de estrategias para sistemas organizacionales
ms grandes y de mayor complejidad, desde AI se ha considerado interesante utilizar sus conceptos (en versiones
reducidas) como primeros pasos en la bsqueda de una metodologa de definicin e implementacin de estrategias.
Ambas herramientas permiten:

Disponer de una metodologa para el proceso de definicin de estrategias.

Obtener un mtodo para trasladar la Estrategia a trminos operativos (Planes de accin- Iniciativas-).

Disponer de una herramienta de comunicacin de nuestra Estrategia, su Objetivos y las Iniciativas a todos
nuestros potenciales interlocutores: Direccin de la Unidad de Auditora, Comit de Control y direccin de
la Unidad de Sistemas y Operaciones.

Disponer una herramienta de control de gestin. Medir resultados orientados a la consecucin de objetivos
estratgicos (Indicadores y metas).
(No se puede gestionar lo que no se puede medir. No se puede medir lo que no se puede describir.)

Iniciativas
Indicadores
y metas
Mapa Estratgico
Cuadro de Mando Integral
Objetivos
estratgicos
Misin
Por qu existimos
Visin
Qu queremos ser
Mapa Estratgico. Objetivos Estratgicos
Implementacin y enfoque
Estrategia
Nuestro plan de juego
Iniciativas estratgicas
Qu necesitamos hacer
85
Queremos ayudar a la Organizacin a cumplir sus objetivos aportando un enfoque
sistemtico en la evaluacin y mejora de controles internos y sus procesos de gestin de
todos los elementos intervinientes en un sistema de informacin (recursos y procesos
de TI), y segn los siguientes criterios de control: Confidencialidad, Integridad,
Disponibilidad, Cumplimiento, Efectividad y Eficiencia y Confiabilidad.
Objetivos Estratgicos
Visin
Qu queremos ser?
Misin
Por qu existimos
Evaluar la estructura de control interno e informar sobre fortalezas y debilidades en el diseo e
implementacin de controles internos y su eficacia para alcanzar los objetivos de control.
Actividad de evaluacin y consulta cuya finalidad es aadir valor y mejorar la eficiencia de los
procesos operativos y sistemas de control interno del Grupo.

Estrategia
Teniendo en cuenta las directivas de la Direccin de la Unidad de Auditora de llevar a
cabo acciones orientadas a mejoras de eficiencia y productividad de nuestra actividad y
satisfaccin de perspectivas/necesidades de nuestros clientes: el Comit de Control y la
Unidad de Sistemas y Operaciones.
O
Auditora de
Procesos
O
Auditora de
Servicios
O
O+O
Anlisis de
disponibilidad

O
O
Desarrollo y soporte
a la automatizacin
O
O
Mapa Estratgico
O
86
Perspectiva del cliente
Para alcanzar
nuestra misin,
cmo deben vernos
nuestros clientes?
Perspectiva interna
Para satisfacer a
nuestros clientes
en qu proceso operativos
debemos destacar?
Demostrar
excelencia
operativa
Atributos del producto/servicio
Relaciones
Aumentar capacidad evaluar
estructura de control interno
(1) mbitos (sistemas/procesos)
(2) controles
Aumentar
Satisfaccin
del cliente
reas de
Control
Evaluar la estructura de control interno
Informar sobre fortalezas y debilidades materiales en el
diseo e implementacin de controles internos evaluados y
su eficacia para alcanzar los objetivos de control
Auditora
de procesos TI
Unidad de
Sistemas y Operaciones
Comit
de Control
Aumentar
Utilidad
Gobierno TI
reas de
Control
Anlisis de
Disponibilidad
e Incidencias
Cumplimiento
Normativo
Perspectiva de Misin
Aumentar
Satisfaccin
del cliente
Auditora
de servicios
Actividad de evaluacin y consulta cuya finalidad es aadir valor y mejorar la eficiencia de los
procesos operativos y sistemas de control interno del Grupo. Ayuda a la Organizacin a cumplir
sus objetivos aportando un enfoque sistemtico y disciplinado para evaluar y mejorar las
normas y procedimientos as como la eficacia de los procesos de gestin y control de riesgos
Direccin
Unidad de Auditora
Directiva:
Innovacin
Directiva:
Eficiencia y
Efectividad
Perspectiva aprendizaje
y crecimiento
Cmo mantendremos
nuestra capacidad de
cambiar y mejorar?
Crecer para abordar
ms actividades con
garantas de xito
Especializacin de
Perfiles
Capital Humano
Capital de la Informacin Capital Organizativo
Efectuar desarrollos y
documentacin
de soporte a la
automatizacin
Mapa Estratgico
87
Mapa estratgico (ME) Cuadro de mando integral (CMI) Plan de Accin
Objetivos Indicador Metas Iniciativa
Satisfaccin del cliente
(USyO)
C1 %Mejora en los indicadores de
Calidad
2% Elaborar un Plan de Accin de Mejora del Proceso Auditor
orientado a obtener mejores resultados en las encuestas de
calidad.
Aumentar la Utilidad al
Gobierno TI
(USyO)
C2 % procesos ITIL auditados 100% Proyecto de Auditora de Procesos.

Satisfaccin del cliente
(Comit de Control)
C3 # Incidentes con afectacin a servicio
> n% cuyo motivo haya sido una
debilidad de control no detectada en
una auditora y/o anlisis.
0 Equipo de Anlisis de Disponibilidades (Incorporar como
vector de seleccin entornos servicios crticos y/o con
antecedentes de indisponibilidades)
# Recomendaciones desestimadas 0 Plan de Accin de Mejora del Proceso Auditor
Aumentar capacidad
evaluar estructura de
control (1) mbitos
(sistemas/procesos) (2)
controles
C4 % Cobertura de mbitos
(sistemas/proceso) cubiertos
% Cobertura de controles
cubiertos frente a un modelo
terico
0 Mapa de Procesos (Proyecto de Auditora de Procesos)
Mapa de Servicios (Proyecto de Auditora de Servicios)
Cumplir directivas de la
Direccin de la Unidad de
Auditora
C5 # de directivas sin Iniciativas/Planes
de accin asociados
0 Elaborar un Plan de Accin de Mejora del Proceso Auditor
Entender misin/objetivos/
propsitos USyO.
% de Proyectos troncales
identificados y documentados
100% Elaborar un Mapa de Proyectos Troncales
(descripciones, etc)

Cuadro de mando
88
Mapa estratgico (ME) Cuadro de mando integral (CMI) Plan de Accin
Objetivos Indicador Meta Iniciativa
Potenciar la comunicacin
orientada a riesgos
# Recomendaciones sin estimacin de riesgo 0 Plan de Orientacin a Riesgos
Calidad del producto
proporcionado
Mejorar los informes
I1 # Recomendaciones desestimadas entre el 1er.
y 2 borrador
0 Plan de Accin de Mejora del Proceso Auditor.(1)
Incluir una revisin del actual protocolo (peticiones
info., trabajo campo, presentacin conclusiones
,recomendaciones, seguimientos, etc..). Mapa
proceso/tareas. (2) Elaborar directrices que de
aplicacin general que ayuden a mejorar la
interaccin con el auditado.
# De observaciones efectuados al 1er. borrador. 0
# Recomendaciones que podran haberse
resuelto por auditado durante trabajo de campo
0
Auditora de Servicios I2 %Servicios GIS auditados 100% Proyecto de Auditora de Servicios.
Auditora de Procesos I3 %Objetivos de control Cobit cubiertos 100% Proyecto de Auditora de Procesos
Anlisis de Disponibilidades
e Incidencias
I4 De las incidencias con un x % de afectacin de
servicio: % que han sido analizadas.
Equipo de Anlisis de Disponibilidades
Cumplimiento Normativo I5 % de cobertura de nuestro Plan Auditor
respecto a la normativa relacionada con SSII
Plan de Accin de Mejora del Proceso Auditor
Demostrar excelencia
operativa
I6 % de auditoras del Plan Auditor donde se han
aplicado mecanismos automatizados.
100% Equipo de Desarrollo y Soporte a la
automatizacin
Aumentar contactos
persona a persona
% del total de Directores con los cuales ha
habido visitas/presentaciones, etc
100% Plan de Comunicacin (Planes Auditores,
Estrategias de Auditora,).
Participar en los programas
de comunicacin de Unidad
de SyO
% de asistencia a presentaciones de la USyO 100% Acuerdo de colaboracin con la USyO de
asistencia a sus presentaciones (PE, PTs, etc)
% Personal directivo del DASI que ha asistido a
presentaciones de la USyO
100%
Transmitir misin, objetivos
y propsitos de la Auditora
# Presentaciones efectuadas a nivel de (.) 100% Plan de Comunicacin (Planes Auditores,
Estrategias de Auditora,).
Cuadro de mando
89
Proyecto de implantacin de auditoras de procesos
Definir las actividades necesarias para desarrollar el proyecto estratgico Auditora de
Procesos de Sistemas de Informacin del Departamento de Auditora de Sistemas de
Informacin. Plan Operativo
Mapa de
Procesos

Elaboracin de un
mapa de procesos de
sistemas de
informacin a raz de:
a.- en colaboracin de
la USyO a travs de su
catlogo de procesos
de sistemas de
informacin
b.- anlisis de marcos
metodolgicos (COBIT,
ITIL, ISO2000)
Metodologa
de Auditora

Modelo de trabajo
repetible que permita
estandarizar la
ejecucin de las
auditoras de procesos
(herramienta de
modelado, modelo de
evaluacin de
controles, modelos de
madurez, etc.)
Anlisis de
Riesgos

Proceso estandarizado
de anlisis de riesgos
de procesos de SSII que
refleje, de la forma
ms realista y objetiva
posible, los riesgos
asociados a los mismos

Planificacin

Proceso de
planificacin
estandarizado y
repetible, en el que se
contemplen los
vectores de seleccin
que permitan evaluar
bajo criterios
objetivos, la viabilidad
y oportunidad de los
procesos a auditar
Plan de Comunicacin
Comunicar formalmente a las Gerencias/reas de Caja Madrid implicadas en procesos sobre el enfoque
estratgico del DASI y el desarrollo de Auditoras de Procesos de SS.II.
90
Mapa de
Procesos de
SSII
Elaboracin de un
mapa de procesos de
sistemas de
catlogo de procesos
de sistemas de
informacin
ITIL, ISO2000)
Mapa de Procesos de SSII
Objetivo: definir el universo auditable en el mbito de Auditora de Procesos de SSII

Metodologa:

(1) Obtencin del inventario de procesos de la Gerencia de Produccin de la USyO)
siguiendo en la medida de los posible las catalogaciones de
procesos/procedimientos/tareas derivadas de la implantacin en curso de la metodologa
ITIL .

(2) Obtencin del catlogo de procesos de la Gerencia de Sistemas de la USyO
implantado en el proyecto EDEA (Excelencia en el Desarrollo de Aplicaciones) y CMMI.

(3) Anlisis/obtencin de procesos presentes en la USyO no contemplados directamente
en las dos reas/proyectos de implantaciones metodolgicas (ITIL/EDEA). Mediante el
mapeo con el catlogo de procesos que contempla CoBIT obtenemos un listado de
potenciales procesos que deben estar presentes de manera formal/informal dentro de
las actividades de la USyO. A este conjunto de procesos los denominaremos
Complementarios.

Procesos
de
Sistemas
Procesos
de
Produccin
Procesos
Complementarios
CoBIT
_ _
_

Fichas de proceso
91
Responsable del Proceso:

Gestor del Proceso:

Coordinadores:

Documentacin:
http://intranet.cm...

Definicin:
Proceso reactivo que se encarga de resolver de
forma efectiva las incidencias reportadas por los
usuarios y las incidencias de infraestructura
detectadas, con el foco principal de restablecer la
operacin normal del servicio con la mxima
celeridad posible, minimizando el impacto y de
acuerdo con las necesidades de los clientes.

Mapa de Procesos. Fichas de proceso. Ej. Gestin de Incidencias
Alcance:
- Deteccin y registro de incidencias.
- Clasificacin y soporte inicial a los usuarios sobre la incidencia
- Investigacin y diagnosis de incidencias
- Resolucin de incidencias y restauracin del servicio a su
operacin normal
- Cierre de la incidencia y comunicacin al usuario.

Subprocesos (Actividades/Procedimientos):
- Registro de Incidencia, Peticin, Consulta Queja (IPCQ)
- Asignar la IPCQ
- Diagnstico/Resolucin en 1er Nivel / 2 Nivel
- Gestin de Escalado
- Diagnstico/Resolucin a travs del Equipo de Escalado
- Realizar la peticin
- Resolver consulta/queja
- Control de la IPCQ / Cierre de la IPCQ
Objetivo:
- Gestionar el ciclo de vida de las incidencias
- Restablecer la operacin normal del servicio lo antes posible
- Minimizar impacto negativo de incidencias en operaciones negocio
- Asegurar la calidad y disponibilidad de servicio.
- Mantener la comunicacin entre la organizacin de TI y sus clientes
acerca del estado de una incidencia sobre un servicio
- Proporcionar informacin de gestin
Procedimientos:

Actividades:

Grado de Implantacin:

Mapa de Procesos de SSII. Fichas
92
Mapa de
Procesos

Elaboracin de un
mapa de procesos de
sistemas de
catlogo de procesos
de sistemas de
informacin
ITIL, ISO2000)

Metodologa

Modelo de trabajo
estandarizar la
ejecucin de las
(herramienta de
modelado, modelo de
evaluacin de
madurez, etc.)
Anlisis de
Riesgos


Planificacin

Proceso de
planificacin
estandarizado y
contemplen los
bajo criterios
procesos a auditar
Plan de Comunicacin
Metodologa
93
Planificacin
Trabajo de
Campo
Objetivos
Mtodos y Medios
Pruebas
Programa de Trabajo
Papeles de Trabajo
Alcance
Objetivos
Control
Modelo
Madurez
Elaboracin
Informe
Informe
Informe
Comunicacin Informe
Cobertura y
Cumplimiento
de controles
Marco
general
Evaluacin
riesgos
Evaluacin
Proceso
Metas
Mtricas
Mtricas
Metodologa
94
Metodologa
de Auditora
Informtica
Modelo de trabajo
estandarizar la
ejecucin de las
(herramienta de
modelado, modelo de
evaluacin de
madurez, etc.)
Metodologa
de Anlisis de
Riesgos

Planificacin

Proceso de
planificacin
estandarizado y
contemplen los
bajo criterios
procesos a auditar
Plan de Comunicacin
Mapa de
Procesos de
SSII
Elaboracin de un
mapa de procesos de
sistemas de
catlogo de procesos
de sistemas de
informacin
ITIL, ISO2000)
Anlisis de Riesgos
95
Alto Medio Bajo
Alta
Media
Baja
Matriz de Probabilidad/Impacto
Probabilidad
Impacto

Bajo
Medio
Alto

Proceso n
Anlisis de Riesgos
96
Planificacin
Mapa de riesgos. Probabilidad
Probabilidad
Probabilidad: se define a nivel de cada proceso especfico y se
describe como la probabilidad de ocurrencia despus de valorar los
controles mitigantes.
Probabilidad Definicin
Bajo
En el proceso especfico existen controles SUFICIENTES y OPERATIVOS que
alcanzan el objetivo de control.

Media
En el proceso especfico existen controles pero son INSUFICIENTES
o presentan DEFICIENCIAS OPERATIVAS.
El objetivo de control no es alcanzado debido a: (1) la ausencia de algn
control, (2) la presencia de controles inefectivos o (3) Debilidades materiales en el
diseo e implementacin
Existen controles que alcanzan el objetivo de control. Pero los procedimientos y
operaciones asociados a los controles presentan deficiencias.

Alta
Para el proceso especfico NO EXISTEN controles o
existen pero NO ESTN OPERATIVOS
97
Magnitud
impacto
Definicin del impacto en las operaciones de la organizacin, los activos o los individuos.
Bajo En caso de ocurrir un incidente se puede esperar un efecto adverso limitado: Causar (1) una
degradacin en la capacidad operativa con una amplitud y duracin que permita a la
organizacin realizar sus funciones principales, aunque la efectividad de las mismas se ve reducida
notablemente; (2) un dao menor a los activos de la organizacin; (3) en una prdida
financiera menor; o (4) un dao menor a los individuos.
Medio En caso de ocurrir un incidente se puede esperar un efecto adverso serio: (1) causar una
degradacin significativa en la capacidad operativa con una amplitud y duracin que permita
a la organizacin realizar sus funciones principales, aunque la efectividad de las funciones se ve
reducida significativamente; (2) resultar en un dao significativo a los activos de la
organizacin; (3) resultar en una prdida financiera significativa; o (4) resultar en un dao
significativo a los individuos que no supone prdida de vidas o lesiones serias.
Alto En caso de ocurrir un incidente se puede esperar un efecto severo o catastrfico: (1) causar una
degradacin severa o una prdida de la capacidad operativa con una amplitud y duracin
que no permita a la organizacin realizar una o ms de sus funciones principales; (2)
resultar en una dao muy importante de los activos de la organizacin; (3) resultar en una
prdida financiera muy importante; o (4) resultar en un dao grave o catastrfico para los
individuos suponiendo prdidas de vidas o serias lesiones.
Impacto
Planificacin
Mapa de riesgos. Impacto
98
Metodologa
de Auditora
Informtica
Modelo de trabajo
estandarizar la
ejecucin de las
(herramienta de
modelado, modelo de
evaluacin de
madurez, etc.)
Metodologa
de Anlisis de
Riesgos
Plan de Comunicacin
Mapa de
Procesos de
SSII
Elaboracin de un
mapa de procesos de
sistemas de
catlogo de procesos
de sistemas de
informacin
ITIL, ISO2000)

Planificacin

Proceso de
planificacin
estandarizado y
contemplen los
bajo criterios
procesos a auditar
Planificacin
99
Introduccin
Objetivos
Definicin de un proceso de planificacin anual de auditoras de procesos de SSII estandarizado y
repetible, en el que se contemplen los vectores de seleccin que permitan evaluar bajo criterios
objetivos, la viabilidad y oportunidad de los procesos de SSII a auditar.
Seleccin

Estimacin
Recursos

Planificacin
Anual

Mtricas

Fases
Planificacin
100
Planificacin. Seleccin
Objetivo
Seleccin de procesos en funcin del Anlisis de Riesgos efectuado.

Metodologa
El Anlisis de Riesgos debe ser efectuado de acuerdo a la metodologa definida para la Unidad de Auditora a
travs de la herramienta Mapa Auditor .

Tcnicas cualitativas adicionales:

Impacto
- Impacto en el cliente.
- Impacto sobre la empresa.
- Impacto sobre el trabajo/actividades.
- Impacto sobre requerimientos normativos externos.

Problemas
- Existencia/Evidencias de problemas y/o quejas de los clientes externos e internos.
- Antecedentes de dolo o fraude.

Costes
- Procesos de alto costo.
- Procesos con tiempo de ciclo prolongados.

Alto Medio Bajo
Alta
Media
Baja
Probabilidad
Impacto
Seleccin

101
101
Planificacin. Recursos
Metodologa
Adicionalmente para cada Proceso a partir de su propia estructura y definicin se evala la complejidad de
Criterios a valorar.
Nmero de Procedimientos
Nmero de Actividades/Tareas
Nmero de pasos
Nmero de Interfaces Internos (participantes).
Nmero de Interfaces Externos (participantes).
Nmero de salidas / Entregables (Registros de actividad)
Complejidad del entregable.
Grado de automatizacin

Objetivo
Estimacin del consumo de recursos necesarios para la ejecucin de las distintas auditoras
correspondientes a los procesos seleccionados que permita identificar, por ejemplo:

Tiempo (horas/hombre) estimado de anlisis del proceso de SSII previo a la auditora
Tiempo de ejecucin de la auditora
Formacin requerida

Actividad ya contemplada dentro de la gestin del Departamento de Auditora de Sistemas de Informacin y
dentro de la cual la auditora de un proceso tendra el mismo esquema de estimacin que el usado para definir el
Plan Auditor.
Estimacin
Recursos

102
Objetivo
Teniendo en cuenta la seleccin de procesos susceptibles de ser auditados y la
estimacin de recursos requeridos, la siguiente tarea consiste en confeccionar la
Planificacin Anual de Auditoras de Procesos de SSII.

Metodologa
Actividad ya contemplada dentro de la gestin del Departamento de Auditora de
Sistemas de Informacin y dentro de la cual la auditora de un proceso tendra el
mismo esquema de estimacin que el usado para definir el Plan Auditor.
Planificacin
Anual

Objetivo
Alimentar un cuadro de mandos, que permitirn medir y posicionar la actividad de
Auditora de Procesos de SSII y su gestin, dentro de la funcin de auditora
departamental
Metodologa
Definicin de mtricas (objetivo 4 aos):

% de procesos CoBIT cubiertos
% de controles CoBIT cubiertos por Auditora.

Mtricas

Planificacin. Mtricas
103
Plan de Comunicacin
Metodologa
de Auditora
Informtica
Modelo de trabajo
estandarizar la
ejecucin de las
(herramienta de
modelado, modelo de
evaluacin de
madurez, etc.)
Metodologa
de Anlisis de
Riesgos
Mapa de
Procesos de
SSII
Elaboracin de un
mapa de procesos de
sistemas de
catlogo de procesos
de sistemas de
informacin
ITIL, ISO2000)

Planificacin

Proceso de
planificacin
estandarizado y
contemplen los
bajo criterios
procesos a auditar

Desarrollar un Plan de Comunicacin a las Gerencias/reas/Departamentos en el que se transmita el nuevo
frente de accin que se abre en el desarrollo de la actividad de auditora informtica y que permita recoger las
inquietudes y/o requerimientos de los asistentes.

Dicho plan contendr, por ejemplo:

Anlisis de publico objetivo (Alta Direccin / Dir. de rea / Dir. de Departamentos / Responsables de
Procesos)
Identificacin de mensajes a transmitir a cada grupo que se plasmarn en diferentes tipos de
presentaciones,
Solicitud de colaboracin para Fichas / Pre-assessment: persona de contacto
Acceso a repositorios

Plan de Comunicacin
104
Proyecto
Estratgico
2007 2009 -
E F M A M J J A S O N D
Primeras experiencias prcticas
Planificacin PE
Mapa de procesos
Estudios de aplicabilidad
Criterios de ordenacin
Previsin de actividades
Metodologa de modelado
Planificacin
Plan de comunicacin a U.O.S.
Primer Plan Tctico
Auditora de procesos
Revisin Proyecto Estratgico
2008

Auditoría de Procesos Teoría.v0

Încărcat de

Informații document

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

Auditoría de Procesos Teoría.v0

Încărcat de

Drepturi de autor:

Formate disponibile

1

Introduccin a la Auditora de Procesos de Sistemas de Informacin

Modelo de procesos genrico. Elementos

S-ar putea să vă placă și