El modelo COBIT es una

herramienta de gobierno de
tecnologas de Informacin (TI)
que permite evaluar la calidad de
la estructura de tecnologa de
informacin actual de una
organizacin, a travs de un
diagnstico que permite definir
metas desde el punto de vista de
seguridad y control para cada
proceso de la organizacin.

Material de Apoyo

Cuso Virtual

MODELO COBIT
ISACA
La Information Systems Audit and Control Association, Asociacin de Auditoria y Control de
Sistemas de informacin, fue fundada en 1969 en Estados Unidos por un grupo de personas,
quienes trabajaban en actividades afines relacionadas con auditora y control en los sistemas
computarizados que estaban cobrando una gran importancia para las operaciones de sus
organizaciones; estas personas compartan la idea de crear unas pautas, metodologas y una
misma fuente de informacin que apoyara y guiara su rea o campo de accin. Por tal motivo se
sentaron a discutir sobre la necesidad de esta fuente centralizada de informacin con el fin de
trabajar en estndares internacionales de auditora y control de sistemas de informacin, que
garantizaran la confianza y el valor de los sistemas.
En un principio, el grupo se formaliz bajo el nombre de EDP Auditors Association, y luego se
form la fundacin de educacin para llevar a cabo proyectos de investigacin de gran escala y
expandir los conocimientos y trabajo de campo en tecnologa de informacin. Para ese entonces la
organizacin funcionaba en la ciudad de los ngeles respondiendo a los intereses de quienes
tenan la necesidad de tener una fuente centralizada de informacin y gua profesional.
En 1971 se realiza la primera conferencia (CACS) Computer Audit, Control and Security, dos aos
ms tarde se realiza la primera conferencia internacional en Mxico, estableciendo el primer
captulo formado por fuera de los Estados Unidos. En 1981 es la realizacin del primer examen
para la certificacin (CISA) Certified Information Systems Auditor, la creacin de este examen de
certificacin buscaba desarrollar y mantener una herramienta que pudiera ser utilizada en la
evaluacin de las competencias de los individuos en la realizacin de auditoras de sistemas, de la
misma manera que proveer una herramienta que ayudara a los auditores de sistemas de
informacin a mantener sus habilidades, la vigilancia de la efectividad de los programas de
mantenimiento y proveer de criterios adecuados en la gestin de seleccin de personal y
desarrolladores.
En el ao de 1994 con la celebracin de los 25 aos de actividad de la organizacin se procede al
cambio de nombre de (EDP) Auditor Association a (ISACA) Information Systems Audit and
Association. La primera conferencia latinoamericana (CACS) se realiza en el ao de 1996, seguido
a esto en 1998 se establece el instituto de gobierno de tecnologa de informacin (ITGI) que es una
parte integral del gobierno corporativo y reside en el liderazgo, estructuras organizacionales y los
procesos que aseguran que las tecnologas de informacin sostengan y extiendan los objetivos y
las estrategias de la entidad. En 2003 se realiza el primer examen para la certificacin (CISM)
Certified Information Security Management, enfocada a la gerencia que define los principales
estndares de competencias y desarrollo de profesionales que un jefe de seguridad de informacin
debe tener, competencias necesarias para la direccin, diseo, revisin y acompaamiento de un
programa de seguridad de informacin.
La organizacin ISACA refleja a travs de los aos su crecimiento en la cantidad de asociados, de
50.000 en el ao 2005 a ms de 75.000 en el ao 2007 y cerca de 86.000 en la actualidad, los
miembros de ISACA estn presentes en ms de 160 pases alrededor del mundo, convirtindose
as, en una organizacin global que establece las pautas para los profesionales de gobernacin,
control, seguridad y auditoria de informacin. La actividad de los socios de ISACA organizados en
175 captulos ubicados en 70 pases, se desenvuelve en una variada gama de actividades e
industrias como; bancaria y financiera, contable, sector pblico, produccin y distribucin de
energa, telecomunicaciones, manufactura y otros.

www.auditool.org

2
ISACA tambin es muestra a nivel global de la creacin del captulo Argentino que inici sus
actividades a principios del ao 1991, y continua ofreciendo a sus integrantes capacitacin
profesional para el progreso y la eficacia del conocimiento y destrezas relacionadas con la auditoria
y la seguridad. De igual manera, publica la revista ISACA Journal, enfocada en aspectos tcnicos
de control de la informacin, y complementa con la organizacin de conferencias internacionales y
seminarios locales especificando en tpicos tcnicos y gerenciales adecuados a las profesiones de
seguridad, control y gobierno de las tecnologas de informacin y sistemas de informacin. Entre
otros aspectos importantes que lidera la organizacin ISACA estn la conferencia latinoamericana
de auditoria, control y seguridad (CACS) que se viene realizando cada ao desde 1996.
La asociacin otorga certificaciones a los profesionales, garantizando los conocimientos necesarios
en las reas definidas, estas son:
CISA (Certified Information Systems Auditor, Auditor certificado de Sistemas de
informacin): Esta certificacin se otorga a quienes dan cuenta del conocimiento terico y
prctico necesarios para desempearse como Auditor de sistemas, siguiendo los
estndares y lineamientos pertinentes.
CISM (Certified Information Security Manager, Gerente Certificado de Seguridad de
Informacin): Esta certificacin garantiza administradores de seguridad de tecnologa de
informacin con los conocimientos necesarios para reducir el riesgo y proteger a la
organizacin.
CGEIT (Certificado en Gobierno de TI de la Empresa, Certified in the Governance of
Enterprise IT) promueve el avance de profesionales que desean ser reconocidos por su
experiencia y conocimiento relacionados con el Gobierno de las TI y ha sido obtenida por
ms de 4 mil profesionales.
CRISC (Certificado en Riesgos y Controles de los Sistemas de Informacin, Certified in
Risk and Information Systems Control) es para profesionales de TI que identifican y
gestionan los riesgos mediante el desarrollo, implementacin y mantenimiento de controles
de SI.
MODELO COBIT
La Organizacin ISACA a travs de su Fundacin, publica en Diciembre de 1995 el modelo COBIT
Control Objectives for Information and Related Technology, Objetivos de Control para la
informacin y Tecnologa relacionada, como respuesta a la tendencia de todas las organizaciones
de manejar sus sistemas de informacin respondiendo a los requerimientos de calidad, seguridad,
control e informacin; y producto de aos de investigacin por parte de un equipo de expertos
internacionales. El modelo COBIT es una herramienta de gobierno de tecnologas de Informacin
(TI) que permite evaluar la calidad de la estructura de tecnologa de informacin actual de una
organizacin, a travs de un diagnstico que permite definir metas desde el punto de vista de
seguridad y control para cada proceso de la organizacin.
A partir de este diagnstico, se elabora un plan de accin para lograr las mejoras necesarias, y
posteriormente identificar los lineamientos y as sustentar un proceso de monitoreo y mejora
continua sobre las soluciones implementadas. El modelo COBIT es un marco integral de principios,
practicas, herramientas analticas y modelos, globalmente aceptados, que puede ayudar a las
empresas a dirigir efectivamente problemas de negocios relacionados al gobierno y direccin de
informacin y tecnologa; de la misma manera define estndares y una conducta profesional para
la gestin y control de los sistemas de informacin con una orientacin hacia el negocio, ayudando
as a las organizaciones a crear un valor ptimo a partir de las tecnologas de informacin, a travs
de la optimizacin del riesgo y los recursos informticos.

www.auditool.org

3
El modelo COBIT 5, representa una gran variedad de beneficios para las empresas, teniendo en
cuenta que un gobierno de TI efectivo, ayuda a garantizar que la TI soporte las metas del negocio,
optimice la inversin, y administre de forma adecuada los riesgos y oportunidades asociadas a la
TI; algunos son:

Informacin de alta calidad para apoyar las decisiones de los negocios.

Uso efectivo e innovador de las tecnologas de informacin, para alcanzar los objetivos
estratgicos y obtener los beneficios del negocio.
Aplicacin fiable y eficiente de la tecnologa para lograr una excelencia operativa.
Mantener los riesgos relacionados a TI a un nivel bajo y aceptable.
Optimizacin de servicios, costo y tecnologa.
Apoyar el cumplimiento de las leyes, polticas, normas y regulaciones pertinentes.

VALOR

ALINEACIN
ESTRATGICA

ADMINSTRACIN
DE RECURSOS

GOBIERNO
TI

MEDICIN DEL
DESEMPEO

ADMINISTRACIN
DEL RIESGO

El gobierno de TI integra las buenas prcticas para garantizar que la TI sustenta los objetivos de la
empresa, permitiendo que se aproveche al mximo la informacin, para maximizar los beneficios y
oportunidades, y as ganar ventajas competitivas.
Las empresas y organizaciones deben asegurar la calidad y seguridad de su informacin, por lo
tanto los directivos deben optimizar el uso de los recursos de TI y entender su arquitectura
empresarial, para definir el tipo de gobierno a desarrollar y controles a aplicar, para alcanzar todos
los objetivos del negocio. El modelo COBIT presenta un marco de trabajo que se desarrolla con
base en buenas prcticas, y se describe a partir de los siguientes elementos:

Estructura de cubo: Representa la capacidad del modelo para trabajar desde tres puntos
de vista: procesos, recursos de TI, caractersticas de la informacin de acuerdo a las
necesidades de la organizacin. Esta estructura brinda un enfoque global que apoya la
planificacin estratgica, y permite vincular las expectativas de la direccin con las de la
gerencia de TI. La relacin expresa que, los recursos de TI son manejados por los
procesos de TI, los cuales responden a los requerimientos del negocio.

www.auditool.org

RECURSOS TI

4 Dominios
37 Procesos

INFORMACIN

Dominios: Agrupa los objetivos de control del Modelo COBIT en las distintas reas de
actividad de la organizacin. Estos son:

Alinear, planear y organizar: Envuelve las tcnicas y tcticas, para identificar la

manera en que la TI puede contribuir al logro de los objetivos de la organizacin.
Implementacin de una estructura organizacional y una estructura tecnolgica
apropiada.
Construir, adquirir e implementar: Identificacin, desarrollo, adquisicin e
implementacin de soluciones de TI para los procesos del negocio. Incluye el
cambio y mantenimiento de los sistemas existes, cuando sea necesario, para
garantizar que las soluciones cumplan con los objetivos del negocio.
Entregar, servir y dar soporte: Entrega de los servicios requeridos, incluyendo la
prestacin del servicio, administracin de la seguridad y de la continuidad, soporte
de servicio a los usuarios, administracin de los datos y de las instalaciones
operativas.
Monitorear, evaluar y valorar: Evaluacin regular en cuanto a calidad y
cumplimiento de los requerimientos de control. Incluye administracin del
desempeo, monitoreo del control interno, cumplimiento regulatorio, y aplicacin
del gobierno.

Objetivos de control: Polticas, procedimientos, prcticas y estructuras organizacionales,

diseadas para brindar una seguridad razonable de que los objetivos del negocio de
alcanzarn, y los eventos y situaciones de riesgo, sern prevenidas, o detectadas y
corregidas a tiempo.

MODELO COBIT (Parte II)

En la primera y segunda edicin del modelo COBIT, se establecieron objetivos de control a partir
de la recoleccin y anlisis de diversas fuentes internacionales, tales como estndares tcnicos,
cdigos de conducta, estndares de calidad, estndares profesionales en la revisin, y prcticas y
requisitos de la industria. Para la tercera edicin se desarrollaron pautas de gerencia, y se
actualizo el modelo de acuerdo a las referencias internacionales. La cuarta edicin ayud a llevar
las directrices de gobierno TI a ms ejecutivos de negocio. Y la ms reciente edicin, COBIT 5
ayuda a las organizaciones a crear un valor ptimo a partir de la TI, debido a que mantiene un
equilibrio entre la realizacin de beneficios y la optimizacin de los niveles de riesgo y utilizacin de
los recursos.

www.auditool.org

COBIT 1 1996 - AUDITORIA

COBIT 2 1998 - CONTROL
COBIT 3 2000 - ADMINISTRACIN
COBIT 4 2005 GOBIERNO DE TI
COBIT 5 2012 GOBIERNO CORPORATIVO DE TI

Los principios y habilitadores del modelo COBIT 5 son genricos y tiles para las organizaciones
de cualquier tamao, bien sean comerciales, sin fines de lucro o en el sector pblico. Adems,
COBIT 5 integra los anteriores marcos de referencia desarrollados por ISACA: Val IT, Risk IT,
BMIS, ITAF, haciendo ms fcil para los usuarios el entendimiento y uso de este material.

COBIT

4.1
Val IT

COBIT

2.0

Risk IT

COBIT 5
RISK
IT

VAL IT

El marco de trabajo de COBIT 5 se basa en cinco principios claves que permiten que la empresa
construya un gobierno y administracin efectivos, enfocados hacia los 7 habilitadores, que
optimizan la inversin en TI y generan beneficios para las partes interesadas.

www.auditool.org

PRINCIPIOS

DESCRIPCIN
Negociar y decidir entre los diversos intereses de las diferentes partes
interesadas, incluyndolas para la toma de decisiones, con el fin de crear
valor, representado en beneficios a travs de la optimizacin de recursos y
riesgos.
Las necesidades de las partes interesadas deben originar la estrategia para la
organizacin.
Necesidades

Estrategia de la organizacin

As mismo las necesidades permiten establecer metas especficas, prcticas y

personalizadas dentro del contexto de la empresa, establecidas a travs del
mecanismo de metas en cascada*.

Satisfacer las
necesidades de las
partes interesadas.

Controladores de las partes interesadas: Medio

ambiente, nuevas tecnologa, cambios, etc.

Necesidades
Metas de la organizacin

Metas de TI

Habilitadores de las metas

Estrategia
Metas del negocio

Metas de TI
Arquitectura empresarial
Cubrir la
organizacin de
forma integral.
Aplicar un solo
marco integrado.

Gobierno y administracin de la tecnologa de la informacin, desde una

perspectiva integral a nivel de toda la organizacin, abarcando todas las
funciones y procesos.
Uso del modelo COBIT 5 como integrador macro en el marco de gobierno y
administracin, alineado con los marcos y normas de alto nivel relevantes
usadas por la organizacin: COSO, ISO/IEC 9000, ISO/IEC 31000, entre
otros. De esta manera proporciona una referencia integral, base de buenas
prcticas.

Habilitar un enfoque
holstico.

Un gobierno y administracin de TI efectiva y eficiente requiere un enfoque

holstico que incluya varios componentes, para lo cual se definen 7 categoras
de habilitadores que soportan la implementacin de un sistema de gobierno y
administracin de TI completo. Los habilitadores* ayudan a alcanzar los
objetivos de la empresa y estn guidados por las metas en cascada, estos
son: Principios, polticas, y marcos; procesos, estructuras organizacionales;
cultura, tica y comportamiento; informacin; servicios, infraestructura y
aplicaciones; personas, habilidades y competencias.

Separar el gobierno
de la administracin.

Distinguir entre el gobierno y la administracin, debido a que envuelven

diferentes actividades, requieren diferentes estructuras organizacionales y
definen diferentes propsitos. El gobierno es responsabilidad de la junta
directiva y evala las necesidades de las partes interesadas y las condiciones

www.auditool.org

7
y opciones para determinar los objetivos corporativos; y la administracin es
responsabilidad de la gerencia, y es el rea que debe planificar, construir,
ejecutar y monitorear las actividades y procesos, de acuerdo a las directivas
fijadas por el gobierno.

Gobierno
Evaluar

Dirigir

Monitorear

Administracin
Planificar

DIMENSION
(BSC)

Financiera

Cliente

Interna

Aprendizaje y
crecimiento
DIMENSION
(BSC)

Financiera

Cliente

Construir

Operar

Monitorear

*METAS EN CASCADA
METAS DEL NEGOCIO
1. Valorizacin de las inversiones en el negocio de las partes interesadas.
2. Portafolio de productos y servicios competitivos.
3. Administracin de riesgos de negocio (proteccin de los activos).
4. Cumplimiento de leyes y regulaciones externas.
5. Transparencia financiera.
6. Cultura del servicio orientada al cliente.
7. Continuidad y disponibilidad de los servicios del negocio.
8. Respuestas agiles frente a los cambios en el ambiente de negocios.
9. Informacin como base para la toma estratgica de decisiones.
10. Optimizacin de los costos de la prestacin de servicios.
11. Optimizacin del funcionamiento de los procesos del negocio.
12. Optimizacin de los costos de los procesos del negocio.
13. Administracin de los programas de cambio del negocio.
14. Productividad de las operaciones y del personal.
15. Cumplimiento de las polticas internas.
16. Personal capacitado y motivado.
17. Cultura de innovacin del producto y negocio.
METAS DEL NEGOCIO
1. Alineamiento de la TI con la estrategia del negocio.
2. Cumplimiento de TI y soporte para el cumplimiento del negocio con las leyes y
regulaciones externas.
3. Cumplimiento de la alta direccin con la toma de decisiones de TI.
4. Administracin de riesgos de TI del negocio.
5. Realizacin de beneficios desde la inversin en TI y portafolio de servicios.
6. Transparencia de costos, beneficios y riesgos de TI.
7. Prestacin de servicios de TI en lnea con los requerimientos del negocio.
8. Uso adecuado de aplicaciones, informacin y soluciones de tecnologa.

www.auditool.org

Interna

Aprendizaje y
crecimiento

9. Agilidad de TI.
10. Seguridad de la informacin, procesamiento de infraestructura y aplicaciones.
11. Optimizacin de activos, recursos y capacidad de TI.
12. Habilitacin y soporte de procesos de negocio integrando aplicaciones y
tecnologa en los procesos de negocio.
13. Entrega de programas brindando beneficios en tiempo, presupuesto, y
cumplimiento de requerimientos y estndares de calidad.
14. Disponibilidad de informacin til y confiable para la toma de decisiones.
15.
16. Cumplimiento de TI con polticas internas.
17. Personal de TI competente u motivado.
18. Conocimiento, experiencia e iniciativa para la innovacin en el negocio.

*HABILITADORES

1. Principios,
Polticas y
Marcos

2. Procesos

3. Estructuras
organizacionale
s
4. Cultura, tica y
Comportamient
o
5. Informacin
6. Servicios,
Infraestructura
y aplicaciones
7. Personas,
habilidades y
competencias

DESCRIPCIN
Medio por el cual se representa el comportamiento deseado en una gua
prctica para la gestin del da a da en la empresa. Los principios
expresan de forma clara los valores fundamentales de la empresa; las
polticas proporcionan una directriz para llevar a la prctica los principios y
su influencia en la toma de decisiones; y los marcos proporcionan a la
direccin una estructura, directrices y herramientas que permitan una
adecuada administracin y gobierno.
Describen un conjunto organizado de prcticas y actividades necesarias
para alcanzar los objetivos y producir los resultados, dirigidos a la
consecucin de las metas generales relacionadas a TI. Envuelve:
Actividades
Entradas y salidas
Nivel de capacidad del proceso
Modelo de referencia de procesos
Entidades encargadas de la toma de decisiones en la empresa.
Matrices RACI
Caractersticas del personal y de la empresa, subestimado como factor de
xito de las actividades de gobierno y administracin. Comprende el
conjunto de conductas individuales y colectivas dentro de la empresa.
Es necesaria para el funcionamiento de la empresa y su buen gobierno y
direccin; en el nivel operativo es el producto clave para la empresa.
Infraestructura, tecnologa y aplicaciones que proporcionan a la empresa
informacin, procesos y servicios de tecnologa.
Aspectos necesarios para el cumplimiento exitoso de todas las
actividades de la empresa, y para tomar las decisiones adecuadas y las
acciones correctivas necesarias.

www.auditool.org

9
DIMENSIONES
Todos los habilitadores tienen 4 dimensiones que permiten una estructura comn y simple para
cada habilitador, una entidad que administre las interacciones, y facilite el xito de los resultados;
estas son:
Stakeholders: Partes que tiene un rol activo o inters en el habilitador, cuyas necesidades o
intereses son reflejados en las metas y objetivos de la empresa.
Goals: Resultados esperados para cada habilitador, representando un valor al aplicar u operar el
habilitador. Las metas pueden ser divididas en:
Calidad intrnseca: Los habilitadores trabajen con exactitud y apropiadamente, y proporcionen
resultados exactos, objetivos y calificados.
Calidad contextual: Medida en que los habilitadores y sus resultados son aptos para los
propsitos, de acuerdo al contexto en el que operan.
Acceso y seguridad: Medida en que los habilitadores son accesibles y asegurados.
Ciclo de vida: Cada habilitador tiene un ciclo de vida, desde su concepcin a travs de una
operativa o til vida, hasta su eliminacin. Esto incluye la informacin, estructuras, procesos,
polticas, entre otros. Las fases del ciclo de vida son:

Planeacin
Diseo
Construccin, adquisicin, creacin, implementacin.
Uso, operacin
Evaluacin, monitoreo
Actualizacin, eliminacin

Buenas prcticas: Las buenas prcticas soportan el logro de las metas de los habilitadores,
proporcionan ejemplos o sugerencias de cmo es la mejor implementacin de los habilitadores y
que es requerido para esto.
El modelo COBIT se enfoca a alinear las metas del negocio de la empresa con las metas de TI,
brindando mtricas y modelos de madurez para medir sus logros; una vez identificados los
procesos y controles crticos de TI, el modelo de madurez permite identificar y demostrar a la
direccin las debilidades en la capacidad, con el fin de crear un plan de accin, y llevar los
procesos al nivel de capacidad deseado. COBIT 5, como lo mencionbamos anteriormente
incorpora los marcos Val IT y Risk IT, y presenta y consolida un solo marco, e incluye un Modelo
de Referencia de Procesos, el cual describe 37 procesos para evaluar los sistemas de informacin,
los cuales representan los procesos normales que se llevan a cabo en una empresa, con relacin a
TI; e envuelven 271 objetivos de control, divididos, en primera medida en dos grandes dominios,
Gobierno y Administracin, donde el dominio de administracin contiene 5 procesos de gobierno, y
el dominio de administracin se subdivide en cuatro dominios, Alinear, planear y organizar;
construir, adquirir e implementar; entregar, servir y dar soporte; monitorear, evaluar y valorar. Este
modelo de referencia es un modelo completo e integral, que le brinda las herramientas necesarias
a cada empresa para definir su propio proceso teniendo en cuenta su contexto, cuando as lo
desean.

www.auditool.org

10

ESTRUCTURA MODELO COBIT 5

El siguiente diagrama representa el modelo COBIT que involucra los recursos de Tecnologa de
informacin, que se implementan a lo largo de los procesos del negocio y apoyo, que facilitan la
definicin de los criterios o indicadores de gestin de los procesos.

PROCESOS DEL NEGOCIO: Requerimientos del negocio

CRITERIOS: Eficiencia, efectividad, confidencialidad, integridad, disponibilidad,
confiabilidad, cumplimiento

Metas de TI y procesos de TI
Recursos de Tecnologia de Infomacion: Datos,
sistemas, Tecnologia, nstalaciones y personal

Informacion

As mismo, la estructura esencial de COBIT es:

PROCESOS
Objetivos de control
detallados
Entradas y salidas, matriz
RACI
Metas y mtricas
Modelos de madurez

www.auditool.org

11

Procesos

1. Asegurar que
se fija el
Marco de
Gobierno y su
mantenimient
o.

2. Asegurar la
entrega de
valor.

3. Asegurar la
optimizacin
de los
riesgos.

4. Asegurar la
optimizacin
de los
recursos.

ESTRUCTURA DEL MODELO COBIT

GOBIERNO CORPORATIVO DE TI
Evaluar, dirigir y monitorear
Descripcin
Objetivos de
Control

Actividades

Definir, establecer y alinear

el marco de gobierno de TI,
teniendo en cuenta el
entorno de control y
Gobierno corporativo. Este
marco debe asegurar el
cumplimiento de las leyes y
regulaciones relacionadas.

Definir un marco de
gobierno de TI.

Evaluar el uso actual y

futuro de TI.
Preparacin de planes y
polticas para garantizar
que el uso de TI cumple
con los objetivos del
negocio.
Monitorear la conformidad
de las polticas y el
desempeo de los planes.

La administracin de los
programas de inversin en
TI debe asegurar el mayor
valor para apoyar la
estrategia y los objetivos
empresariales.

Optimizacin
del
valor
de
las
inversiones en TI,
estableciendo
un
marco de buen
gobierno, monitoreo
y control, direccin
estratgica para las
inversiones,
y
definir
las
caractersticas de la
cartera
de
inversiones.

Administracin del valor de

TI.

Riesgo corporativo
y marco de
referencia de
control interno de
TI.

Desarrollar
marco
especfico de gestin de
riesgos de TI.
Tolerancia de riesgo de TI.
Alinear la poltica de
riesgos de TI.
Promover
cultura
del
riesgo.
Promover
una
comunicacin efectiva de
los riesgos de TI.

Un trabajo en conjunto con

el consejo directivo, debe
permitir la definicin del
riesgo aceptable por la
empresa, y garantizar que
las
prcticas
de
administracin de riesgos
de TI son apropiadas.

Revisar inversin, uso y

asignacin de los activos
de TI por medio de
evaluaciones peridicas de
las
iniciativas
y
operaciones de TI para
asegurar
recursos
y
alineamiento
apropiados
con
los
objetivos
estratgicos del negocio,
actuales y futuros.

Optimizar el
entorno de TI, con
una infraestructura
fcil de usar y
actualizar.

Disminuir errores
manuales.
Responder a
actualizaciones y cambios
constantes.

Inversin en TI, buscando

una ventaja competitiva.

www.auditool.org

12

5. Asegurar la
transparencia
a las partes
interesadas.

Procesos

6. Administrar
el Marco de
Administraci
n de TI.

7. Administrar
la estrategia.

Revelar de forma clara,

precisa y completa y en un
grado
razonable
y
suficiente la informacin
sobre polticas, decisiones
y actividades de las que es
responsable,
incluyendo
impactos y consecuencias.
ADMINISTRACIN DE TI
Alinear, planear y organizar
Descripcin
Objetivos de
Control
En la empresa debe existir
una organizacin
Administracin de
apropiada de TI, la cual se
integridad.
establece teniendo en
cuenta los requerimientos
del personal, funciones,
Estndares
rendicin de cuentas,
tecnolgicos.
autoridad, roles,
Ambientes de
responsabilidades y
polticas y de
supervisin. El comit
control.
estratgico debe verificar y Administracin de
vigilar los procesos del
polticas para TI.
consejo directivo de TI,
Implementacin de
determinando as las
polticas de TI.
prioridades de los recursos
de TI. De la misma
manera, se deben
implementar procesos,
polticas de administracin
Comunicacin de
y procedimientos para
los objetivos y la
todas las funciones de la
direccin de TI.
empresa, garantizando as
el aseguramiento de la
calidad, administracin de
riesgos y la seguridad de la
informacin.
La planeacin estratgica
gestiona y dirige todos los
recursos de TI en lnea con
la estrategia y prioridades
de la empresa; y permite
que las partes interesadas
comprendan
las
oportunidades
y
limitaciones de la TI,
evala
el
desempeo
actual,
identifica
la
capacidad y requerimientos
de los recursos humanos, y
clarifica
los
objetivos,
planes de accin y tareas.

Alineacin de TI
con el negocio.
Evaluacin
del
desempeo
y
capacidad actual.
Plan estratgico de
TI
Planes tcticos de
TI
Planeacin de la
direccin
tecnolgica.
Planeacin de la
infraestructura
tecnolgica.

Actividades
Establecer
estructura
organizacional
de
TI,
incluyendo comits y ligas
a
los
interesados
y
proveedores.
Disear marco de trabajo
para el proceso de TI.
Identificar dueos de
sistemas.
Identificar
datos.

dueos

de

Establecer e implementar
roles y responsabilidades
de TI, incluida la
supervisin segregacin
de funciones.

Relacionar las metas del

negocio con las de TI.
Identificar
dependencias
crticas
y
desempeo
actual.
Construir
un
plan
estratgico para TI.

Construir planes tcticos

para TI.

www.auditool.org

13

8. Administrar la
arquitectura
corporativa.

9.

Administrar
la
innovacin.

10. Administrar
el
portafolio.

Creacin y actualizacin
continua de un modelo de
informacin del negocio, y
definicin de los sistemas
apropiados para optimizar
el uso de la informacin.
Este proceso mejora la
calidad de la toma de
decisiones,
asegurando
informacin confiable y
segura, a travs de la
responsabilidad sobre la
integridad y seguridad de
los datos, efectividad y
control de la informacin
compartida por medio de
las
aplicaciones
y
entidades.

Establecer un proceso para

monitorear las tendencias
ambientales del sector,
tecnolgicas,
de
infraestructura, legales y
regulatorias; con el fin de
analizar las consecuencias
de estas tendencias en el
desarrollo del plan de
infraestructura tecnolgica
de TI.
Administracin activa del
portafolio de programas de
inversin de TI, de tal
manera que se pueda
garantizar la consecucin
de los objetivos de negocio
estratgicos
especficos.
Este
proceso
incluye
entender el alcance del
esfuerzo requerido para
lograr
los
resultados,
definir
rendicin
de
cuentas, definir proyectos
dentro
del
programa,
asignar
recursos
y
financiamiento y delegar
autoridad.

Modelo de
arquitectura de
informacin
empresarial.
Diccionario de
datos corporativo y
reglas de sintaxis
para los datos.
Esquema de
clasificacin de
datos.

Consejo de
arquitectura de TI

Crear y mantener modelo

de informacin corporativo
/ empresarial.
Crear
y
diccionario
corporativo.

de

mantener
datos

Establecer y mantener
esquema de clasificacin
de datos.
Brindar a los dueos
procedimientos
y
herramientas
para
clasificar los sistemas de
informacin.
Usar
el
modelo
de
informacin, el diccionario
de datos y el esquema de
clasificacin para planear
los sistemas optimizados
de negocio.

Monitorear la evolucin
tecnolgica.
Monitorear las
tendencias y
regulaciones del
futuro.

Administracin del
portafolio de TI.

Definir el uso futuro

estratgico de la nueva
tecnologa.

Analizar portafolios de
programas y portafolios de
servicios y proyectos.

www.auditool.org

14

11. Administrar
el
presupuest
o
y los
costos.

Determinar un marco de
trabajo para administrar los
programas de inversin en
TI que incluya costos,
beneficios,
prioridades
dentro del presupuesto,
proceso presupuestal, y
administracin.

Marco de trabajo
para
la
administracin
financiera.
Prioridades dentro
del presupuesto de
TI.
Proceso
presupuestal.
Administracin de
costos de TI.
Administracin de
beneficios.
Definicin
de
servicios.
Contabilizacin de
TI.
Modelacin
de
costos y cargos.
Mantenimiento del
modelo de costos.

12. Administrar
el recurso
humano.

Adquirir,
mantener
y
motivar un ambiente de
trabajo para la creacin y
entrega de servicios de TI
para el negocio, a travs
de buenas prcticas en la
contratacin, capacitacin,
evaluacin del desempeo,
promocin y terminacin.
Este proceso es vital,
debido
a
que
la
competencia y motivacin
del personal influyen en el
ambiente de gobierno y
control interno en la
empresa.

Reclutamiento
retencin
personal.

y
del

Competencias del
personal.
Asignacin
de
roles.
Entrenamiento del
personal de TI.
Dependencia sobre
los individuos.
Procedimientos de
investigacin
de
personal.
Evaluacin
del
desempeo
del
personal.
Cambios
y
terminacin
de
trabajo.
Identificacin
de
necesidades
de
entrenamiento
y
educacin.
Imparticin
de
entrenamiento
y
educacin.
Evaluacin
del
entrenamiento

Dar
mantenimiento
al
portafolio de programas de
inversin.
Dar
mantenimiento
portafolio de proyectos.

al

Dar
mantenimiento
al
portafolio de servicios.
Establecer y mantener
proceso presupuestal de
TI.

Identificar, comunicar y
monitorear la inversin,
costo y valor de TI para la
empresa.

Identificar las habilidades

de TI, benchmarks sobre
descripciones de puesto,
rango
de
salarios
y
desempeo del personal.
Ejecutar las polticas y
procedimientos relevantes
de Recursos Humanos
para
TI,
contratar,
investigar,
compensar,
entrenar,
evaluar,
promover y terminar.

www.auditool.org

15
recibido.
Marco de trabajo de
procesos de TI
Comit estratgico
de TI

13. Administrar
las
relaciones.

Organizacin
de
TI
teniendo en cuenta los
requerimientos
de
personal,
funciones,
rendicin
de
cuentas,
autoridades,
roles
y
responsabilidades.
Adems, debe envolver la
transparencia y control de
los altos ejecutivos. Se
debe
establecer
una
estructura
ptima
de
enlace, comunicacin y
coordinacin
entre
la
funcin de TI y otros
interesados.

14. Administrar
los
contratos
de
servicios.

Definicin documentada y
acuerdo de servicios de TI
y niveles de servicio, para
una comunicacin efectiva
entre la gerencia de TI y
los clientes del negocio;
garantizando la alineacin
entre los servicios de TI y
los
requerimientos
del

Comit directivo de
TI
Ubicacin
organizacional de la
funcin de TI
Estructura
organizacional.
Establecimiento de
roles
y
responsabilidades.
Responsabilidades
de aseguramiento
de calidad de TI,
Quality Assurance.
Responsabilidad
sobre el riesgo,
seguridad
y
el
cumplimiento.
Propiedad de datos
y de sistemas.
Supervisin
Segregacin
de
funciones
Personal
de
tecnologa
de
informacin.
Personal clave de
tecnologa
de
informacin.
Polticas
y
procedimientos
para el personal
contratado.
Relaciones
entre
partes interesadas
con la funcin de
tecnologa
de
informacin.
Marco de trabajo de
la administracin de
los
niveles
de
servicio.
Definicin
de
servicios.
Acuerdos
de
niveles
de
servicios.

Definicin de u marco de
trabajo de procesos de TI.
Establecimiento de un
cuerpo y una estructura
organizacional apropiada.
Definicin de roles y
responsabilidades.

Crear un marco de trabajo

para los servicios de TI.

Construir un catlogo de
servicios de TI.
Definir los convenios de
niveles de servicio para los
servicios crticos de TI.

www.auditool.org

16
negocio.

Acuerdos
niveles
operacin.

de
de

Monitoreo y reporte
del cumplimiento de
los
niveles
de
servicio.
Revisin de los
acuerdos de niveles
de servicio y de los
contratos.

Administracin de
contratos
con
proveedores.

15. Administrar
los
proveedore
s.

16. Administrar
la calidad.

Administracin efectiva de
los servicios provistos por
terceros, por medio de la
definicin
de
roles,
responsabilidades
y
expectativas, en relacin a
los acuerdos con terceros.
Adems, es importante la
revisin y monitoreo de la
efectividad y cumplimiento
de
los
acuerdos
establecidos, minimizando
as
los
riesgos
relacionados.

Se debe desarrollar un
sistema de administracin
de calidad, que incluya
procesos y estndares de
desarrollo y adquisicin; a
travs de requerimientos,
procedimientos y polticas
claras
de
calidad,
manifestados
con
indicadores cuantificables y
alcanzables. Adems, es
necesario un constante
monitoreo, correccin de
desviaciones,
y
comunicacin oportuna de
resultados;
generando
valor al negocio, mejora

Seleccin
proveedores.

de

Identificacin
de
todas las relaciones
con terceros.
Gestin
de
relaciones
con
proveedores.
Administracin de
riesgos
del
proveedor.

Definir los convenios de

niveles de operacin para
soportar los niveles de
servicio.
Monitorear y reportar el
desempeo del servicio de
punta a punta.
Revisar los niveles de
servicio y los contratos de
apoyo.
Revisar y actualizar el
catlogo de servicios de Ti.
Crear un plan de mejora
de servicios.
Identificar y categorizar las
relaciones de los servicios
de terceros.
Definir y documentar los
procesos
de
administracin
del
proveedor.
Establecer
polticas
y
procedimientos
de
evaluacin y suspensin
de proveedores.
Identificar, valorar y mitigar
los riesgos del proveedor.
Monitorear la prestacin
del servicio del proveedor.
Evaluar las metas de largo
plazo de la relacin del
servicio para todos los
interesados.

Monitoreo
desempeo
proveedor.

del
del

Sistemas
administracin
calidad.
Estndares
prcticas
calidad.
Estndares
desarrollo y
adquisicin.
Enfoque
en
cliente de TI.

de
de

Definir un sistema de
administracin de calidad.

y
de

Establecer y mantener un
sistema de administracin
de calidad.
Crear
y
comunicar
estndares de calidad a
toda la organizacin.
Crear y administrar el plan
de calidad para la mejora
continua.
Medir, monitorear y revisar
el cumplimiento de las
metas de calidad.

de
de
el

Mejora continua.
Medicin,
monitoreo
y
revisin
de
la
calidad.

www.auditool.org

17
continua y transparencia.
Marco de trabajo de
administracin de
riesgos.
Establecimiento del
contexto del riesgo.

17. Administrar
los riesgos.

18. Administrar
la
seguridad.

Procesos

Marco de trabajo de
administracin de riesgos,
que determine un nivel
comn y acordado de
riesgos de TI, estrategias
de mitigacin y riesgos
residuales. El marco de
trabajo,
tambin
debe
permitir identificar, analizar
y evaluar cualquier impacto
potencial que se presente.

Es importante establecer
un
proceso
de
administracin
de
la
seguridad, que garantice la
integridad
de
la
informacin y la proteccin
de los activos de TI. Este
proceso
incluye
establecimiento de roles y
responsabilidades
de
seguridad,
polticas,
estndares
y
procedimientos de TI. De la
misma manera, se deben
realizar acciones monitoreo
y pruebas de seguridad,
acciones correctivas sobre
las debilidades o incidentes
detectados.

Identificacin de
eventos.
Evaluacin de
riesgos de TI.
Respuesta a los
riesgos.

Mantenimiento y
monitoreo de un
plan de accin de
riesgos.

Administracin de
la seguridad de TI.

Determinar la alineacin
de la administracin de
riesgos.
Entender los objetivos de
negocio
estratgicos
relevantes.
Entender los objetivos de
los procesos de negocio
relevantes.
Identificar los objetivos
internos de TI y establecer
el contexto del riesgo.
Identificar
eventos
asociados con objetivos.
Asesorar el riesgo con los
eventos.
Evaluar
y
seleccionar
respuestas a riesgos.
Priorizar
y
planear
actividades de control.
Aprobar y asegurar fondos
para planes de accin de
riesgos.
Mantener y monitorear un
plan de accin de riesgos.
Definir y mantener un plan
de seguridad de TI.
Definir, establecer y operar
un proceso de
administracin de
identidad.
Monitorear incidentes de
seguridad.

Plan de seguridad
de TI.

Construir, adquirir e implementar

Descripcin
Objetivos de
Control
Determinar un marco de Marco de trabajo
trabajo
para
la para
la
administracin
de administracin de

Realizar evaluaciones de
vulnerabilidad
peridicamente.

Actividades
Definir un marco de
administracin
de
programas, portafolio para

www.auditool.org

18

19. Administrar
programas
y
proyectos.

programas y proyectos de
TI, que permita garantizar
la asignacin correcta de
prioridades y coordinacin
de proyectos, Este marco
debe incluir un plan
maestro, asignacin de
recursos, definicin de
entregables, aprobacin de
usuarios,
entrega
por
fases, aseguramiento de la
calidad, plan de pruebas,
revisin de pruebas, postimplantacin, que garantice
la administracin de los
riesgos del proyecto y la
entrega del valor para el
negocio.

programas.
Marco de trabajo
para
la
administracin de
proyectos.
Enfoque
administracin
proyectos.

de
de

Compromiso de los
interesados.

Declaracin
alcance
proyecto.

del
del

Inicio de las fases

del proyecto.
Plan integrado del
proyecto.
Recursos
del
proyecto.
Administracin de
riesgos
del
proyecto.
Plan
de
aseguramiento de
calidad (Q.A) del
proyecto.
Control de cambios
del proyecto.
Planeacin
del
proyecto y mtodos
de aseguramiento.
Medicin
del
desempeo,
reporte y monitoreo
del proyecto.
Cierre del proyecto.
20.

Administrar
la definicin
de
requerimien
tos.

Los
requisitos
y
necesidades de la empresa
se deben satisfacer con un
enfoque
efectivo
y
eficiente. Para esto, es
necesario identificar las
necesidades,
considerar
fuentes
alternativas,
revisin de la factibilidad
tecnolgica y econmica,
anlisis de riesgos y de
costo-beneficios,
para

Definicin
y
mantenimiento de
los requerimientos
tcnicos
y
funcionales
del
negocio.
Reporte de anlisis
de riesgos.
Estudio
factibilidad
formulacin

de
y
de

inversiones en TI.
Establecer y mantener un
marco de trabajo para la
administracin
de
proyectos de TI.
Establecer y mantener un
sistema de monitoreo,
medicin y administracin
de sistemas.
Elaborar
estatutos,
calendarios, planes de
calidad,
presupuestos,
planes de comunicacin y
de
administracin
de
riesgos.
Asegurar la participacin y
compromiso
de
los
interesados en el proyecto.
Asegurar el control efectivo
de los proyectos y de los
cambios a proyectos.
Definir
e
implementar
mtodos de aseguramiento
y revisin de proyectos.

Definir los requerimientos

funcionales y tcnicos del
negocio.

Establecer procesos para

la integridad y validez de
los requerimientos.
Identificar, documentar y
analizar el riesgo del
proceso de negocio.

www.auditool.org

19
tomar una decisin final, ya
sea desarrollar o comprar.

cursos de accin
alternativos.

Requerimientos,
decisin
de
factibilidad
y
aprobacin.

Diseo
nivel.

de

alto

Diseo detallado.

21. Administrar
la
identificaci
ny
construcci
n de
soluciones.

Diseo de las aplicaciones,

inclusin apropiada de
controles
aplicativos
y
requerimientos
de
seguridad, desarrollo y
configuracin, de acuerdo
a los estndares. Esto
proceso debe garantizar
que las aplicaciones estn
de
acuerdo
con
los
requerimientos
del
negocio.

Control
y
posibilidad
de
auditar
las
aplicaciones.
Seguridad
y
disponibilidad
de
las aplicaciones.
Configuracin
e
implantacin
de
software aplicativo
adquirido.
Actualizaciones
importantes
en
sistemas
existentes.
Desarrollo
del
software aplicativo.

Aseguramiento de
la
calidad
del
software.
Administracin de
los requerimientos

Conducir un estudio de
factibilidad, evaluacin de
impacto con respecto a la
implantacin
de
los
requerimientos del negocio
propuestos.
Evaluar
los
beneficios
operativos de TI para las
soluciones propuestas.
Evaluar los beneficios de
negocio de las soluciones
propuestas.
Elaborar un proceso de
aprobacin
de
requerimientos.
Aprobar
y
autorizar
soluciones propuestas.
Traducir los requerimientos
del
negocio
en
especificaciones de diseo
de alto nivel.
Preparar diseo detallado
y
los
requerimientos
tcnicos
del
software
aplicativo.
Especificar los controles
de aplicacin dentro del
diseo.
Personalizar
e
implementar
la
funcionalidad
automatizada adquirida.
Desarrollar
las
metodologas y procesos
formales para administrar
el proceso de desarrollo de
la aplicacin.
Crear
un
plan
de
aseguramiento
de
la
calidad de software para el
proyecto.
Dar
seguimiento
y
administrar
los
requerimientos
de
la
aplicacin.
Desarrollar un plan para el
mantenimiento
de
aplicaciones de software.

www.auditool.org

20
de aplicaciones.
Mantenimiento de
software aplicativo.
Plan de adquisicin
de infraestructura
tecnolgica.
Proteccin
y
disponibilidad
de
recurso
de
infraestructura.
Mantenimiento de
la infraestructura.
Ambiente
de
prueba
de
factibilidad.
Control
de
adquisicin.
Adquisicin
de
recursos de TI

22. Administrar
la
disponibilid
ad
y
capacidad.

23. Administrar
la
habilitacin
del cambio.

Revisin y verificacin
peridica del desempeo y
la
capacidad
de
los
recursos de TI, para
determinar las necesidades
futuras, de acuerdo a
aspectos como carga de
trabajo, almacenamiento, y
contingencias.
Este
proceso permite asegurar
que los recursos de
informacin
estn
disponibles de manera
continua, y optimiza el
desempeo
de
la
infraestructura,
los
recursos y las capacidades
de TI, en respuesta a las
necesidades del negocio.

Definicin y ejecucin de
procedimientos de
adquisicin, seleccin de
proveedores, y ajuste de
arreglos contractuales.

Planeacin del
desempeo y la
capacidad.
Capacidad
y
desempeo actual.
Capacidad
y
desempeo futuros.
Disponibilidad
recursos de TI

de

Monitoreo y
reporte.

Control
adquisicin.

de

Administracin de
contratos
con
proveedores.

Establecer un proceso de
planeacin para la revisin
del desempeo y la
capacidad de los recursos
de TI.
Revisar el desempeo y la
capacidad actual de los
recursos de TI.
Realizar pronsticos de
desempeo y capacidad
de los recursos de TI.
Realizar anlisis de brecha
para
identificar
incompatibilidad de los
recursos de TI.
Realizar un plan de
contingencia respecto a
una falta potencial de
disponibilidad de recursos
de TI.
Monitorear
y
reportar
continuamente
la
disponibilidad, desempeo
y
capacidad
de
los
recursos de TI.
Desarrollar
polticas
y
procedimientos
de
adquisicin de TI de
acuerdo con las polticas
de adquisicin a nivel
corporativo.
Establecer y mantener una
lista
de
proveedores
acreditados.

www.auditool.org

21

24. Administrar
cambios

25. Administrar
la
aceptacin
de cambios
y
transicione
s.

Administrar
todos
los
cambios de una manera
organizada, incluyendo los
cambios de estndares y el
mantenimiento
de
emergencia relacionados a
los procesos del negocio,
aplicaciones
e
infraestructura.
Este
proceso incluye cambiar
estndares
y
procedimientos, evaluacin
de impacto, priorizacin y
autorizacin, cambios de
emergencia, seguimiento,
reporte,
cierre
y
documentacin.
Los
cambios
deben
ser
registrados, evaluados y
autorizados, antes de su
implantacin, y revisados
despus de la misma. De
esta manera, se garantiza
la reduccin de riesgos que
puedan
impactar
negativamente
la
estabilidad o integridad del
sistema de produccin.
Desarrollo de las pruebas
adecuadas, definicin de la
transicin e instrucciones
de migracin, planeacin
de liberacin y transicin al
ambiente de produccin, y
revisin
de
postimplantacin. Este proceso
garantiza que los sistemas
estn en lnea de acuerdo
a las caractersticas y
resultados esperados.

Seleccin
proveedores.

de

Adquisicin
recursos de TI.

de

Estndares y
procedimientos
para cambios.
Evaluacin de
impacto,
priorizacin y
autorizacin.
Cambios de
emergencia.
Seguimiento y
reporte del estatus
del cambio.

Desarrollar contratos que

protejan los intereses de la
organizacin.
Realizar adquisiciones de
conformidad
con
los
procedimientos
establecidos.
Desarrollar e implementar
un proceso para registrar,
evaluar y dar prioridad en
forma consistente a las
soluciones de cambio.
Evaluar impacto y dar
prioridad en cambios en
base a las necesidades del
negocio.
Garantizar que cualquier
cambio
crtico
y
de
emergencia,
sigue
el
proceso aprobado.
Autorizar Cambios.
Administrar y diseminar la
informacin
relevante
referente a cambios.

Cierre y
documentacin del
cambio.

Entrenamiento

Plan de prueba.

Plan de
implantacin.

Ambiente de
prueba.
Conversin de
sistemas y datos.

Construir y revisar planes

de investigacin.
Definir y revisar una
estrategia de prueba y una
metodologa de plan de
prueba operacional.
Construir y mantener un
repositorio
de
requerimientos de negocio
y tcnicos, y casos de
prueba
para
sistemas
acreditados.
Ejecutar la conversin del
sistema y las pruebas de
integracin en ambiente de
prueba.
Establecer ambientes de
prueba y conducir pruebas
de aceptacin finales.

www.auditool.org

22

26. Administrar
el
conocimient
o.

27. Administrar
los activos.

28. Administrar
la
configuraci
n.

Generacin
y
documentacin
de
manuales para usuarios y
para TI, capacitacin y
entrenamiento
para
garantizar el correcto uso y
operacin
de
las
aplicaciones
y
la
infraestructura.

Administracin adecuada
de los activos en TI
durante su ciclo de vida,
eliminando
as
costos
innecesarios.
Recoleccin
de
informacin
de
la
configuracin
inicial,
establecimiento de normas,
verificacin y auditoria de
la informacin de la
configuracin
y
actualizacin
del
repositorio
de
configuracin, de acuerdo
a las necesidades. Este
proceso facilita una mayor
disponibilidad, minimiza los
problemas de produccin y
resuelve los problemas a
tiempo. As mismo, este
proceso
incluye
la
optimizacin
de
la
infraestructura, recursos y
capacidades de TI, y el

Pruebas de
cambios.
Prueba
de
aceptacin final.
Promocin
a
produccin.
Revisin posterior a
implantacin.

Recomendar la liberacin
a produccin con base en
los criterios de acreditacin
convenidos.

Plan para
soluciones de
operacin.
Transferencia de
conocimiento a la
gerencia del
negocio.
Transferencia de
conocimiento a
usuarios finales.

Desarrollar estrategia para

que la solucin sea
operativa.
Desarrollar metodologa de
transferencia
de
conocimiento.

Transferencia de
conocimiento al
personal de
operaciones y
soporte.

Desarrollar manuales de
procedimiento del usuario
final.
Desarrollar documentacin
de soporte tcnica para
operaciones y personal de
soporte.
Desarrollar
y
dar
entrenamiento.
Evaluar los resultados del
entrenamiento y ampliar la
documentacin,
cuando
sea necesario.

Monitoreo
y
disposicin de los
activos de TI.

Repositorio y lnea
base de
configuracin.
Identificacin y
mantenimiento de
elementos de
configuracin.

Revisin de
integridad de la
configuracin.

Desarrollar procedimientos
de
planeacin
de
administracin
de
la
configuracin.
Recopilar
informacin
sobre la configuracin
inicial y establecer lneas
de base.
Verificar y auditar la
informacin de la
configuracin.

Actualizar el repositorio de
configuracin.

www.auditool.org

23
registro de los activos de
TI.

Procesos

29.

Administrar
las
operaciones

30. Administrar
las
solicitudes
de servicios

Entregar, servir y dar soporte

Descripcin
Objetivos de
Control
Procedimientos e
instrucciones de
operacin.
Requerimientos del
negocio para
administracin de
datos.
Definicin
de
los Programacin de
requerimientos fsicos del tareas.
centro de datos, seleccin Monitoreo de la
de
instalaciones infraestructura de
apropiadas, y diseo de TI.
procesos efectivos para
monitorear
factores
ambientales y administrar Documentos
el acceso. Este proceso sensitivos y
puede
reducir
las dispositivos de
interrupciones
de
las salida.
operaciones, por daos a Mantenimiento
los equipos y al personal. preventivo del
As mismo incluye la hardware.
definicin de polticas y
procedimientos
de Seleccin y diseo
operacin
para
una del centro de datos.
administracin efectiva del
procesamiento
programado, proteccin de
datos,
monitoreo
de
infraestructura
y
mantenimiento preventivo
del
hardware.
Estas
actividades
ayudan
a
mantener la integridad de Administracin de
los datos, y reduce los instalaciones
retrasos en el trabajo y los fsicas.
costos operativos en TI.

Creacin de una funcin de

mesa de servicio con
registro, escalamiento de
incidentes,
anlisis
de

Mesa de servicios.

Registro

de

Actividades
Definir el nivel requerido
de proteccin fsica.
Seleccionar y comisionar
el sitio.

Implementar medidas de
ambiente fsico.
Administrar el ambiente
fsico.

Definir
e
implementar
procesos
para
mantenimiento
y
autorizacin de acceso
fsico.
Crear
o
modificar
procedimientos
de
operacin.
Programacin de cargas
de trabajo y de programas
en lote.
Monitorear
la
infraestructura y procesar y
resolver problemas.
Administrar y asegurar la
salida
fsica
de
informacin.
Aplicar cambios o arreglos
al programa y a la
infraestructura.
Implementar y establecer
un
proceso
para
salvaguardar
los
dispositivos
de
autenticacin
contra
interferencia, prdida o
robo.
Programar y llevar a cabo
mantenimiento preventivo.
Crear procedimientos de
clasificacin
y
de
escalamiento.
Detectar
y
registrar

www.auditool.org

24
y
los
incidentes.

31. Administrar
problemas.

32. Administrar
la
continuidad
.

tendencia,
anlisis
de
causa-raz y solucin. Este
proceso, permite responder
de manera oportuna a las
consultas y problemas de
los usuarios de TI.

Identificacin
y
clasificacin de problemas,
anlisis de causas desde la
raz, y resolucin de
problemas. Este proceso
tambin
incluye,
la
identificacin
de
recomendaciones para la
mejora, mantenimiento de
registro de problemas, y
revisin de las acciones
correctivas. Adems, este
proceso
garantiza
la
satisfaccin de los usuarios
finales.
Garantizar la continuidad
del servicio, a travs del
desarrollo, mantenimiento
y prueba de planes de
continuidad
de
TI,
almacenar respaldos fuera
de las instalaciones, y
entrenar
de
forma
peridica sobre los planes
de
continuidad.
Este
proceso
minimiza
la
probabilidad y el impacto
de interrupciones mayores
en los servicios de TI,
sobre las funciones y
procesos importantes de la
empresa.

consultas
clientes.
Escalamiento
incidentes.
Cierre
incidentes.
Anlisis
tendencias.

de

Administracin
clasificacin
problemas.
Rastreo
resolucin
problemas.
Cierre
problemas.

y
de

de
de
de

y
de
de

Integracin de las
administraciones de
cambios,
configuracin
y
problemas.

Marco de trabajo de
continuidad de TI.
Planes
de
continuidad de TI.
Recursos
de TI.

crticos

Mantenimiento del
plan de continuidad
de TI

Pruebas del plan de

continuidad de TI

Entrenamiento del
plan de continuidad
de TI
Distribucin
del
plan de continuidad
de TI
Recuperacin
y
reanudacin de los

incidentes, solicitudes de
servicio y de informacin.
Clasificar,
investigar
y
diagnosticar consultas.
Resolver,
recuperar
y
cerrar incidentes.
Informar a usuarios.
Hacer reportes para la
gerencia.
Identificar
problemas.

clasificar

Realizar anlisis de causa

raz.
Resolver problemas.
Revisar el estatus de
problemas.
Emitir
recomendaciones
para mejorar y crear una
solicitud
de
cambio
relacionada.
Mantener registros de los
problemas.
Desarrollar un marco de
trabajo de continuidad de
TI.
Realizar un anlisis de
impacto al negocio y
valoracin de riesgo.
Desarrollar y mantener
planes de continuidad de
TI.
Identificar y categorizar los
recursos de TI con base en
los
objetivos
de
recuperacin.
Definir
y
ejecutar
procedimientos de control
de cambios para asegurar
que el plan de continuidad
sea vigente.
Probar regularmente el
plan de continuidad de TI.
Desarrollar un plan de
accin a seguir con base
en los resultados de las
pruebas.
Planear y llevar a cabo
capacitacin sobre los

www.auditool.org

25
servicios de TI.
Almacenamiento de
respaldos fuera de
las instalaciones.
Revisin
postreanudacin.
Eliminacin.
Respaldo
restauracin.

33.

Administrar
los
servicios de
seguridad

Proceso de administracin
de la seguridad, necesario
para mantener la integridad
de
la
informacin
y
proteger los activos de TI.
Esto se realiza a travs del
establecimiento
y
mantenimiento de roles y
responsabilidades
de
seguridad,
polticas,
estndares
y
procedimientos
de
TI,
monitoreo de seguridad y
pruebas
peridicas,
y
acciones correctivas. Este
proceso
minimiza
el
impacto en la empresa
causado
por
vulnerabilidades
o
incidentes de seguridad.

Administracin
identidad.

de

Administracin
cuentas
usuario.

de
del

Pruebas, vigilancia
y monitoreo de la
seguridad.
Definicin
incidente
seguridad.
Proteccin
tecnologa
seguridad.

de
de

de

Administracin
llaves
criptogrficas.

la
de

de

Prevencin,
deteccin
y
correccin
de
software malicioso.
Seguridad de la
red.
Intercambio
de
datos sensitivos.
Acuerdos
de
almacenamiento y
conservacin.
Sistema
de
administracin de
libreras de medios.
Medidas
de
seguridad fsica.
Acceso fsico.

planes de continuidad de
TI.
Planear la recuperacin y
reanudacin
de
los
servicios de TI.
Planear e implementar el
almacenamiento
y
la
proteccin de respaldos.
Establecer
los
procedimientos para llevar
a cabo revisiones postreanudacin.
Definir y mantener un plan
de seguridad de TI.
Definir, establecer y operar
un
proceso
de
administracin
de
identidad.
Monitorear incidentes de
seguridad,
reales
y
potenciales.
Revisar
y
validar
peridicamente
los
privilegios y derechos de
acceso de los usuarios.
Establecer y mantener
procedimientos
para
mantener y salvaguardar
las llaves criptogrficas.
Implementar y mantener
controles tcnicos y de
procedimientos
para
proteger
el
flujo
de
informacin a travs de la
red.

Realizar evaluaciones de
vulnerabilidad de manera
regular.

www.auditool.org

26
Requerimientos de
seguridad para la
administracin de
datos.
Proteccin contra
factores
ambientales.

34. Administrar
los
controles
en
los
procesos
de negocio.

Procesos

35.

36.

Monitorear,
evaluar
y
valorar
el
desempeo
y
cumplimient
o

Monitorear,
evaluar
y
valorar
el
sistema de
control
interno

Definir un marco de trabajo

para los procesos de TI,
proporcionando integracin
entre
los
procesos,
administracin
del
portafolio de la empresa,
procesos del negocio y
procesos de cambio.

Definicin
de
procesos
para
satisfacer
requerimientos del
negocio de TI.

Monitorear, evaluar y valorar

Descripcin
Objetivos de
Control
Enfoque
del
monitoreo.
y
Definicin de indicadores Definicin
de
de desempeo relevantes, recoleccin
del
reportes sistemticos y datos
oportunos de desempeo, monitoreo.
de
y tomar medidas cuando Mtodo
existan desviaciones. Un monitoreo.
monitoreo
adecuado Evaluacin
del
garantiza
que
los desempeo.
procedimientos se hagan Reportes al consejo
correctamente
y
de directivo
y
a
acuerdo a las direcciones y ejecutivos.
polticas de la empresa.
Acciones
correctivas.

Monitoreo y reporte de las

excepciones de control
interno, resultados de las
auto-evaluaciones
y
revisiones por parte de
terceros. Este proceso
permite
proporcionar
seguridad
de
las
operaciones eficientes y
efectivas, cumplimiento de
las leyes y regulaciones
pertinentes.

Monitoreo
del
marco de trabajo de
control interno.
Revisiones
de
auditoria.
Excepciones
de
control.
Auto evaluacin del
control.
Aseguramiento del
control interno.
Control interno para
terceros.

Disear marco de trabajo

para el proceso de TI.

Actividades
Establecer el enfoque de
monitoreo.
Identificar y recolectar
objetivos medibles que
apoyan a los objetivos del
negocio.
Crear cuadro de mandos.
Evaluar el desempeo.
Reportar el desempeo.
Identificar y monitorear las
medidas de mejora del
desempeo.
Monitorear y controlar las
actividades
de
control
interno de TI.
Monitorear el proceso de
auto-evaluacin.
Crear cuadro de mandos.
Monitorear el proceso para
obtener
aseguramiento
sobre
los
controles
operados por terceros.
Monitorear el proceso para
identificar y evaluar las
excepciones de control.
Monitorear el proceso para
identificar y evaluar y

www.auditool.org

27

Acciones
correctivas
Identificar
los
requerimientos de
las
leyes,
regulaciones
y
cumplimientos
contractuales.
Optimizar
la
respuesta
a
requerimientos
externos.
Evaluacin
del
cumplimiento con
requerimientos
externos.

37.

Monitorear,
evaluar
y
valorar
el
cumplimient
o
con
requisitos
externos.

Identificacin
de
requerimientos
de
cumplimiento, optimizando
y evaluando la respuesta,
asegurando
que
los
requerimientos se han
cumplido, e integrando los
reportes de cumplimiento
de TI, con el resto de la
empresa.

Aseguramiento
positivo
del
cumplimiento.

Reportes
integrados.
Revisin
de
requerimientos
externos.
Prcticas
y
procedimientos
para cumplimiento
de
los
requerimientos
externos.
Cumplimiento
de
estndares
ergonmicos y de
seguridad.
Privacidad y flujo
de datos.
Comercio
electrnico
Cumplimiento
contrato
de
seguros.

remediar las excepciones

de control.
Reportar a los interesados
clave.
Definir y ejecutar un
proceso para identificar los
requerimientos
legales,
contractuales de polticas y
regulatorios.
Evaluar cumplimiento de
actividades de TI con
polticas, estndares y
procedimientos de TI.
Reportar
aseguramiento
positivo del cumplimiento
de las actividades de TI
con las polticas, planes y
procedimientos de TI.
Brindar retroalimentacin
para alinear las polticas,
estndares
y
procedimientos de TI con
los
requerimientos
de
cumplimiento.

Integrar los reportes de TI

sobre
requerimientos
regulatorios con similares
provenientes
de
otras
funciones del negocio.

www.auditool.org

28
Modelo de capacidad de procesos ISO/IEC 15504
Las empresas deben estar evaluando constantemente su administracin de TI, a travs del desarrollo de
un plan de negocio para mejorar y alcanzar el nivel apropiado de administracin, y control sobre la
infraestructura de informacin, y considerando el equilibrio del costo beneficio. El modelo COBIT 5,
sugiere un modelo de capacidad de procesos para la administracin y control de los procesos de TI,
mediante un mtodo de evaluacin de la organizacin, que permita identificar los problemas o fallas, y
fijar las mejoras. Adems, este modelo permite que la empresa conozca su desempeo real, estatus
actual de la industria, objetivo de mejora de la empresa, y crecimiento requerido. El modelo de capacidad
de procesos en COBIT 5 es soportado por el Modelo de Procesos ISO/IEC 15504, y contiene los
siguientes niveles de capacidad que un proceso puede alcanzar:

0 Incompleto - Nivel 0 de Madurez (organizacin Inmadura): En este nivel de madurez es

evidente que no se implementan de manera efectiva los procesos para el desarrollo de software,
es decir que no se alcanzan los propsitos u objetivos de la organizacin, de la misma manera
que no se identifican productos o salidas de proceso, por lo tanto se determina que no hay
atributos
a
evaluar
en
dicho
nivel.

1 Alcanzado - Nivel 1 de Madurez (organizacin Bsica): para este nivel de madurez se

determina que la entidad u organizacin se remite de manera simple a la implementacin y por tal
motivo alcanza de forma bsica los objetivos de dicho proceso, por lo tanto alcanzando los
resultados propuestos supone que es posible la identificacin propicia a las salidas o resultados
del proceso evaluado.

2 Gestionado - Nivel 2 de Madurez (organizacin Gestionada): Se realizan los mismos

procesos del nivel anterior a diferencia que en este nivel, la entidad u organizacin evidencia una
planificacin, un seguimiento y control de los procesos como del trabajo relacionado

3 Establecido - Nivel 3 de Madurez (organizacin Establecida): para llegar a este nivel de

madurez es necesario implementar los procesos y requerimientos demandados en los niveles
anteriores adems de los procesos definidos basados en estndares para toda la organizacin
los cuales son:

Anlisis de requisitos del software

Diseo de la arquitectura del software
Diseo de la arquitectura del sistema
Gestin de infraestructuras
Gestin de recursos humanos
Gestin de riesgos
Gestin de la decisin
Integracin del software
Integracin del sistema
Verificacin del software
Validacin del software

4 Predecible - Nivel 4 de Madurez (organizacin predecible): Para acceder a este nivel es

necesario haber cumplido con los procesos de los niveles anteriores, ya que en este nivel la
organizacin debe medir y analizar el tiempo de realizacin de los procesos, una gestin
cuantitativa de los mismos, a diferencia de los niveles anteriores este nivel vela porque el proceso
se lleve a trmino de forma consistente dentro de unos parmetros descritos.

www.auditool.org

29

5 Optimizado - Nivel 5 de madurez (organizacin Optimizada): Este ltimo nivel responde

bsicamente al adecuado engranaje de los procesos abordados en los niveles anteriores,
buscando de estos un mejoramiento continuo, logrando as un aporte al alcance de los objetivos
de negocio de la entidad. Adems de esto es preciso llevar a cabo una continua monitorizacin
de los procesos y un respectivo anlisis de los datos adquiridos, permitiendo que los procesos
estandarizados definidos en la entidad cambien activamente adaptndose de manera eficiente a
los objetivos actualmente desarrollados y a los proyectados a futuro por la entidad.

Cada nivel es alcanzado una vez se cumpla con el anterior, estableciendo as una escala de
mejoramiento continuo. Este estndar internacional en Tecnologas de Informacin Evaluacin de
procesos (Software Process Improvement Capability Determination, Determinacin de la Capacidad de
Mejora del Proceso de Software), se public por primera vez en 1998; y se define como un marco para la
evaluacin, mejora de la capacidad y madurez de los procesos; y establece los requisitos mnimos de las
distintas fases (desarrollo, mantenimiento y operacin) que se presentan en el ciclo de vida de software.
Su estructura se divide en siete momentos, y dos fases, la primer fase considerada como normativa,
consiste en definir los requerimientos mnimos para la realizacin de mejoras de procesos de desarrollo y
as mismo sirve para evaluar el nivel de madurez de la entidad con relacin al desarrollo de software, una
segunda parte denominada como no normativa la cual presentan las guas de interpretacin de los
requerimientos mnimos de la norma. Los siete momentos o partes de la norma ISO/IEC 15504 son:
1.
2.
3.
4.
5.
6.
7.

Conceptos y vocabularios. (normativa)

Realizacin de la evaluacin. (normativa)
Gua para la realizacin de la evaluacin. (no normativa)
Gua sobre el uso para la mejora y determinacin de calidad del proceso. (no normativa)
Un ejemplo de modelo de evaluacin de proceso. (normativa)
Conceptos y vocabulario. (normativa)
Evaluacin de la madurez de una entidad u organizacin. (no normativa)

ISO/IEC 15504 permite realizar las evaluaciones usando niveles de madurez, definidos como conjuntos
de procesos que ayudan a una organizacin a mejorar en el desarrollo de software, evolucionando por
los niveles. Entonces, se definen los seis niveles de capacidad, mencionados anteriormente, a los cuales
se puede demandar dependiendo la calidad y la utilizacin de los procesos de desarrollo, mantenimiento
y operacin de software dentro de organizacin.
Cada proceso se describe de acuerdo a sus propsitos y resultados, incluyendo los pasos necesarios
para alcanzar los propsitos y metas actuales del proceso. El modelo de capacidad de procesos basado
en la norma ISO/IEC 15504 envuelve los siguientes objetivos:

Habilitar el cuerpo de gobierno y administracin para establecer un punto de referencia para la

evaluacin de la capacidad.
Habilitar la revisin sobre el estado en que se encuentran y el estado objetivo de alto nivel de los
procesos, para asistir al gobierno y a la administracin de la empresa en cuanto a la toma de
decisiones relacionadas con la mejora de los procesos.
Realizar anlisis de carencias y planificar las mejoras.
Proporcionar a la empresa indicadores de evaluacin para medir y monitorear la capacidad actual
de los procesos.

Matriz RACI
Para cada proceso se establece una Matriz RACI, la cual presenta la asignacin de responsabilidades y
roles con respecto a las actividades que envuelven cada proceso. De esta manera segn las siglas se
establece:

www.auditool.org

30

R
A
C
I

Responsible
Accountable
Consulted
Informed

Responsable
Quien aprueba
A quien se consulta
A quien se informa

En COBIT 5 los roles estn clasificados de la siguiente manera:

Actividades

Junta directiva
Director Ejecutivo (CEO)
Director Financiero (CFO)
Director operativo (COO)
Ejecutivos del negocio
Dueos del proceso del Negocio
Comit Ejecutivo de la Estrategia
Comit directivo
Oficina Administrativa de proyectos
Oficina Administrativa del Valor
Director de Riesgos
Director de Seguridad de la Informacin
Director de arquitectura
Comit de Riesgo Empresarial
Jefe de Recursos humanos
Cumplimiento
Auditoria
Director de Informacin
Jefe Arquitecto
Jefe de desarrollo
Jefe de Operaciones de TI
Jefe de Administracin de TI
Administrador del servicio
Administrador de la Seguridad de la
informacin
Administrador de la continuidad del negocio
Director de privacidad

Matriz RACI

Implementacin
Un valor ptimo puede ser alcanzado si se adapta efectivamente el modelo COBIT a la organizacin,
teniendo en cuenta su ambiente. La Gua de implementacin del Modelo COBIT se desarrolla en un
mejoramiento continuo del ciclo de vida, teniendo en cuenta los siguientes aspectos:
Contexto de la empresa: Cada empresa debe disear su propio plan de implementacin de
acuerdo a factores especficos internos y externos:

tica y cultura
Leyes, regulaciones y polticas pertinentes
Misin, visin y valores
Polticas de gobierno y practicas
Plan de negocios e intenciones estratgicas
Modelo operativo y nivel de madurez
Estilo de administracin
Apetito de Riesgo
Capacidades y recursos disponibles
Practicas industriales

Creacin de un ambiente apropiado: Soporte y direccin de la las partes interesadas es

fundamental para un mejoramiento continuo, dirigiendo adecuadamente las necesidades y
problemas reales del negocio. A travs de diagnsticos y evaluaciones de COBIT, se puede
lograr conciencia, consenso y compromiso de actuar y generar cambio. Este compromiso debe
establecerse desde el principio, lo que permitir determinar objetivos y beneficios claros, as
como recursos, roles, responsabilidades, estructuras y procesos.

www.auditool.org

31

Reconocimiento de puntos dbiles y eventos desencadenantes: Una

variedad de factores pueden indicar la necesidad de mejorar el gobierno y administracin de TI
en una empresa, algunos pueden ser:

Frustracin en el negocio con iniciativas fallidas, incremento de costos en TI, y

percepcin de un bajo valor del negocio.
Incidentes significativos relacionados a los riesgos de TI.
Fallas en el cumplimiento regulatorio o contractual.
Recursos de TI insuficientes, personal desmotivado y sin las capacidades y experiencia
necesaria.
Modelos operativos de TI complejos.

Permitir cambio: Implementacin de los cambios apropiados y de la manera adecuada, teniendo

en cuenta aspectos tan importantes como el compromiso de las partes interesadas y el personal.
Enfoque del ciclo de vida: Este enfoque ayuda a las empresas a utilizar COBIT para manejar la
complejidad y desafos que se pueden presentar durante la implementacin. Los componentes
del ciclo de vida son:

Contino mejoramiento en el ciclo de vida.

Habilitacin del cambio, dirigido a aspectos culturales y de comportamiento.
Administracin del programa.

Revisar
efectividad

Iniciacin
del
programa

Definir
problemas y

Beneficios

oportunidades

Ejucutar el
plan

Definir plan
de accin
Programa
del plan

Introduccin, Caso de negocio: Necesidad de actuar para lograr el valor de negocio, teniendo en
cuentas aspectos como:

Beneficios
Cambios necesarios
Inversin necesaria
Costos de TI
Beneficios esperados
Riesgo inherente
Roles y responsabilidades
Mtricas de evaluacin y monitoreo

www.auditool.org

32
Risk IT
Marco de trabajo basado en un conjunto de principios rectores, guas y procesos de negocio para la
identificacin, gobernabilidad y administracin eficaz de riesgo de tecnologa de informacin en una
entidad. Risk IT establece buenas prcticas y posibilita una mirada integral para la deteccin de riesgos
relacionados con el uso, propiedad, operacin, participacin, influencia y adopcin de las tecnologas de
informacin; facilita la integracin de la administracin del riesgo de TI con las actividades de gestin de
riesgo de la entidad (ERM), permitiendo as que la entidad tome mejores decisiones con relacin a
aspectos sobre riesgo, evitando perdidas y obteniendo beneficios.
El uso de TI puede generar importantes beneficios para una organizacin, pero a la vez implica un sin
nmero de riesgos. De esta manera es importante que la toma de decisiones est sustentada en los
alcances del riesgo y manteniendo siempre la relacin riesgo/beneficio, debido a que de esta manera se
seguirn las medidas necesarias para responder a este, y se alcanzaran las metas del negocio. Una
adecuada gestin de riesgos de TI, a los que puede estar expuesta cualquier organizacin, es esencial
para una correcta administracin y gobierno.
Los riesgos de TI pueden clasificarse de la siguiente manera:
CATEGORIA
Beneficios / riesgos
de TI
Programa de TI y
riesgo de ejecucin
de proyectos
Operaciones de TI y
el riesgo de la
prestacin de
servicios

DESCRIPCIN
Riesgos asociados a la ausencia de oportunidades para
utilizar la tecnologa, con el fin de mejorar la eficiencia o
efectividad de los procesos de negocio o como un
facilitador para nuevas iniciativas organizacionales.
Riesgos relacionados a la contribucin de TI para
soluciones de negocios nuevos o mejorados y gestin
de las inversiones de cartera.
Riesgos asociados a todos los aspectos del desempeo
de TI y servicios del sistema, que pueden ocasionar la
destruccin o la reduccin de valor para la organizacin.

RIESGOS
Riesgos
estratgicos
Riesgos
ambientales
Riesgos
de
mercado
Riesgos
de
crdito
Riesgos
operacionales
Riesgos
de
cumplimiento

El marco de trabajo Risk IT se desarrolla con base en los principios de gestin de riesgos
organizacionales (ERM), COSO ERM, y dems normas y principios relacionados; por esta razn se
fundamenta en los siguientes principios:

Alineacin con los objetivos organizacionales.

Alinear la gestin de TI con el riesgo organizacional relacionado con el total de ERM.
Balance de costos y beneficios de la gestin de riesgos de TI.
Promover la comunicacin abierta y equitativa de los riesgos de TI.
Hacer cumplir la responsabilidad del personal con los niveles de tolerancia aceptables y bien
definidos.
Funcionar como parte de las actividades diarias.

Alrededor de estos objetivos se genera un modelo de procesos, que incluye las actividades clave de cada
proceso, responsabilidades, flujos de informacin y gestin del rendimiento. Risk IT est enfocado a 3
dominios, cada uno con tres procesos:

Gobernabilidad del riesgo: Consiste en garantizar que las prcticas de administracin de riesgo
de tecnologas de informacin estn integradas a la entidad, es decir involucrar el riesgo en la
toma de decisiones de negocio, posibilitando as un retorno o resultado eficiente de las
actividades de gestin de riesgos, adems de tener una visin comn del mismo.
Los procesos relacionados son:

www.auditool.org

33

Establecer y mantener una vista de riesgo comn.

Integrar con ERM.
Tomar decisiones conscientes de los riesgos del negocio.

Existen algunos factores claves para la gobernabilidad del riesgo entre las que se encuentran:

Desarrollar un marco de trabajo de administracin de riesgos de TI especfico a la

entidad.
Desarrollar mtodos de administracin de riesgos de tecnologas de informacin.
Realizar una valoracin de riesgos de tecnologa de informacin a nivel empresarial.
Proponer umbrales para la tolerancia al riesgo de tecnologas de informacin.
Aprobar la tolerancia al riesgo de tecnologa de informacin.
Alinear las declaraciones de polticas y estndares con la tolerancia al riesgo de
tecnologas de informacin.
Promover una cultura a la concientizacin de riesgos de tecnologas de informacin.
Promover una comunicacin efectiva de riesgos de tecnologas de informacin.
Establecer responsabilidad a nivel empresarial para la administracin del riesgo de
tecnologas de informacin.
Suministrar adecuados recursos, personas, procesos, sistemas de informacin,
presupuestos, expectativas de reguladores y auditores externos.
Incluir los riesgos de tecnologas de informacin en la toma de decisiones estratgicas.
Aceptar el riesgo de tecnologas de informacin.
Priorizar las actividades de respuesta a los riesgos de tecnologas de informacin.

Este dominio envuelve los siguientes componentes:

Apetito del riesgo y tolerancia al riesgo: El apetito del riesgo es la cantidad de riesgo que
una organizacin est dispuesta a aceptar en el cumplimiento de su misin. La tolerancia
al riesgo es la variacin aceptable en relacin a la consecucin de un objetivo.
Responsabilidades y rendicin de cuentas sobre la gestin de riesgos de TI:
Determinacin de las responsabilidades de las actividades en cada proceso.
Sensibilizacin y comunicacin: Concienciacin de los riesgos, como parte integral de la
organizacin.
Cultura del riesgo: Asumir mayores riesgos en la bsqueda de la rentabilidad, lo cual
ofrece un entorno que permite discutir los componentes del riesgo, entendiendo los
niveles de riesgo aceptables.

Evaluacin del riesgo: Garantizar que los riesgos y oportunidades de tecnologa de informacin
sean identificadas, analizadas y presentadas en trminos de negocio para mantener el perfil del
riesgo.
Los procesos relacionados son:

Recoger datos.
Analizar los riesgos.
Mantener perfil de riesgo.

Entre las actividades claves de la evaluacin del riesgo estn:

Definir el alcance del anlisis de riesgo de tecnologas de informacin.

Estimar el riesgo de tecnologas de informacin, frecuencia y magnitud.
Identificar opciones de respuesta al riesgo, aceptar, explotar, mitigar, transferir y evitar.
Implementar una revisin grupal de los resultados de anlisis de riesgos de tecnologas
de informacin.
Esquematizar los recursos de tecnologas de informacin hacia los procesos del negocio.
Determinar crticamente en el negocio los recursos de tecnologas de informacin.

www.auditool.org

34
Entender las capacidades de las tecnologas de informacin.
Mantener el registro de riesgos de tecnologas de informacin y el mapa de riesgos de
tecnologas de informacin.
Disear y comunicar los indicadores de riesgo de tecnologas de informacin.
Conectar los tipos de amenazas y las categoras de impacto para el negocio.
Establecer y mantener un modelo para la obtencin de datos internos y externos; factores
de riesgo, eventos, problemas, amenazas, vulnerabilidades y prdidas.
Recoleccin de informacin en ambiente operativo.
Recoleccin de informacin en eventos de riesgo.
Identificacin de factores de riesgo.
Componentes:

Descripcin del impacto de la organizacin: Comprensin de los eventos adversos y

como estos pueden afectar los objetivos del negocio.
Escenarios de riesgos: Identificacin de los riesgos importantes y relevantes dentro de
los diferentes escenarios relacionados a las TI, y que pueden causar un impacto en el
negocio.

Respuesta al riesgo: Cerciorarse que los eventos, incidencias y oportunidades de riesgos de

tecnologas de informacin sean atendidos de una manera eficaz, sin costos excesivos y de
acuerdo a las necesidades y determinaciones del negocio. Es decir que se articule y administre el
riesgo para reaccionar a eventos.
Los procesos relacionados son:

Riesgo articulado.
Manejar riesgos.
Reaccionar a acontecimientos.

Las actividades claves de respuesta al riesgo son:

Determinar controles.
Implementar controles.
Monitorear el alineamiento operacional con la tolerancia al riesgo.
Reportar los resultados del anlisis de riesgos de tecnologas de informacin, riesgos y
oportunidades.
Reportar el progreso del plan de accin del riesgo de tecnologas de informacin.
Comunicar los resultados de anlisis de riesgo de tecnologas de informacin.
Reportar las actividades de administracin de riesgos y el estado del cumplimiento de
tecnologas de informacin.
Mantener los planes de respuesta a incidentes.
Conducir revisiones post-mortem de los incidentes relacionados con tecnologas de
informacin.

Componentes:

Riesgo: Definicin de principales indicadores de riesgo, teniendo en cuenta los diferentes

factores relacionado a la organizacin as como sus caractersticas.
Definicin de respuesta de riesgo y priorizacin: Llevar el riesgo al nivel de apetito de
riesgo definido para la empresa.

www.auditool.org

35
o
o
o
o

Evitar riesgos
Reduccin de riesgos/mitigacin
Riesgo compartido/transferencia
Aceptacin del riesgo

Risk IT complementa a COBIT, debido a que proporciona un marco general para el buen desempeo en
los servicios de informacin de alta calidad en las distintas entidades u organizaciones, de manera que
facilita obtener una visin exacta de los riesgos relacionados a tecnologas de informacin; ofrece guas
sobre cmo administrar los riesgos de tecnologas de informacin desde el principio hasta el fin, se
integra con las estructuras de riesgo y de cumplimiento dentro de la entidad, promueve la propiedad de
los riesgos en la entidad u organizacin, facilita obtener el perfil de riesgo para entenderlo mejor, permite
tomar decisiones bien informadas sobre la extensin, el apetito y la tolerancia al riesgo y permite
entender cmo responder al riesgo.
Adems de esto, Risk IT provee de una gran variedad de beneficios a la entidad porque establece una
organizacin ms segura y consiente de sus riesgos, facilita la consecucin de los objetivos, genera
mayor estabilidad ante cambios del entorno, fortalece la cultura del autocontrol, aprovecha oportunidades
del negocio, optimiza la asignacin de recursos y promueve una mejora continua del sistema de control
interno.
Val IT
Marco de gobierno que contiene un conjunto de principios rectores y una serie de procesos y prcticas de
gestin claves para el apoyo a la gerencia ejecutiva y juntas a nivel empresarial. El marco Val IT
proporciona a las organizaciones la estructura adecuada para medir, monitorear y optimizar la realizacin
del valor del negocio desde la inversin en TI, con un costo adecuado y un aceptable nivel de riesgo.
Adems, Val IT es apoyado por publicaciones y herramientas operativas y proporciona orientacin a:

Definir la relacin entre TI y el negocio y las funciones de la organizacin con responsabilidades

de gobierno.
Administrar la cartera de una organizacin de TI habilitados para las inversiones empresariales.
Maximizar la calidad de los anlisis de rentabilidad para las inversiones de negocios posibilitados
con especial nfasis en la definicin de los principales indicadores financieros, la cuantificacin
de los "blandos" beneficios y la valoracin global del riesgo a la baja.

Val IT aborda supuestos, costos, riesgos y resultados relacionados con una cartera equilibrada de
inversiones empresariales en TI. Tambin proporciona la capacidad de evaluacin comparativa y permite
a las empresas intercambiar experiencias sobre las mejores prcticas para la gestin del valor.
La inversin en TI puede traer grandes beneficios, siempre y cuando las organizaciones la entiendan no
como un fin, sino como un medio para lograr los resultados esperados del negocio, no solo es la
implementacin de las nuevas tecnologas, si no la obtencin de valor a travs del cambio en la
organizacin con la TI. Es importante establecer un gobierno integral y con capacidad de TI, que pueda
asegurar el valor a travs de la inversin en TI. El valor del negocio es definido como los beneficios
totales netos del ciclo de vida, costos relacionados, ajustado por los riesgos y por el valor del dinero en el
tiempo, es decir el resultado final esperado de una inversin en TI, los cuales pueden ser financieros o
no.
Los principios es que se fundamenta VAL IT son:

La inversin en TI ser administrada como un portafolio de inversiones.

La inversin en TI incluir el alcance real de las actividades necesarias para alcanzar el valor del
negocio.
La inversin en TI ser administrada a travs de todo el ciclo de vida econmico.
Las prcticas de entrega de valor reconocern que hay diferentes categoras de inversiones que
sern evaluadas y administradas diferentemente.
Las prcticas de entrega de valor definirn y monitorearan las mtricas claves y respondern
rpidamente a cualquier cambio o desviacin.

www.auditool.org

36

Las prcticas de entrega de valor comprometern a todas las partes

interesadas y asignaran la responsabilidad apropiada para la entrega de capacidades y la
realizacin de los beneficios del negocio.
Las prcticas de entrega de valor sern continuamente monitoreadas, evaluadas y mejoradas.

Los principios son aplicados en cada uno de los procesos de VAL IT, los cuales estn divididos en tres
dominios:

Valor del gobierno: Optimizacin del valor de las inversiones en TI. Para esto se debe establecer
un marco de buen gobierno, monitoreo y control, direccin estratgica para las inversiones, y
definir las caractersticas de la cartera de inversiones.
Procesos:

Administracin del portafolio: Asegurar que la cartera global de inversiones en TI este alineada
con los objetivos estratgicos de la organizacin y contribuyen al valor ptimo de los mismos.
Este dominio incluye el establecimiento y gestin de perfiles de recursos, definicin de umbrales
para la inversin, evaluacin, priorizacin y seleccin, aplazamiento o rechazo de nuevas
inversiones, gestin de la cartera global, y monitoreo e informes sobre el rendimiento de la
cartera.
Procesos:

Asegurar un liderazgo informado y de confianza.

Procesos implementados y definidos.
Roles y responsabilidades definidas.
Asegurar una contabilidad apropiada y aceptada.
Requisitos de informacin definidos.
Requisitos de informacin establecidos.
Estructuras organizacionales establecidas.
Direccin estratgica establecida.
Categoras de inversin establecidas.
Determinar la cartera de inversin objetivo.
Definir los criterios de evaluacin por categora.

Mantener un inventario de recursos humanos.

Identificar los requisitos de los recursos.
Ejecutar un anlisis de la desviacin.
Desarrollar un plan de recursos.
Monitorear la utilizacin de recursos y su utilizacin.
Definir el umbral de inversin.
Evaluar el caso de negocio.
Evaluar y asignar puntuacin relativa al programa del caso del negocio.
Crear una visin global de la cartera de inversin.
Realizar y comunicar la decisin de la inversin.
Lanzar y subdividir programas seleccionados.
Ejecucin organizada de la cartera de inversin.
Priorizar la cartera de inversin.
Monitorear e informar la ejecucin de la cartera de inversin.

Administracin de la inversin: Asegura que los programas individuales de inversin en TI

entregan un valor optimo a un costo econmico y con un nivel conocido y aceptable de riesgo, a
travs de la identificacin de las necesidades del negocio, adquisicin de un claro entendimiento
de los programas de inversin, anlisis de las alternativas, definicin del programa y la
documentacin del caso de negocio, asignacin clara de responsabilidades y propiedad, gestin
del programa durante su ciclo de vida econmica, y monitoreo e informes sobre el rendimiento
del programa.
Procesos:

www.auditool.org

37

Desarrollar una definicin de alto nivel sobre la oportunidad de la

inversin.
Desarrollar un caso de negocio inicial.
Desarrollar una clara comprensin de los programas candidatos.
Ejecutar un anlisis de alternativas.
Desarrollar un plan de programa.
Desarrollar un plan de realizacin de beneficios.
Identificar el ciclo de vida de los costos y beneficios.
Desarrollar un programa detallado del caso de negocio.
Asignar contabilidad detallada y responsable.
Iniciar, planificar y lanzar el programa.
Gestionar el programa.
Gestionar y seguir los beneficios.
Modificar el caso de negocio.
Monitorear e informar sobre la ejecucin del programa.
Retirar el programa.

En el proceso de gestin de inversiones existen tres componentes importantes para la creacin de valor
de negocio, el caso de negocio, la administracin del programa, y la realizacin de los beneficios. El caso
de negocio se define bsicamente por las expectativas de los hechos futuros, es decir son un conjunto de
opiniones y suposiciones sobre cmo se puede crear valor, que se sustentan bajo indicadores cualitativos
y cuantitativos que certifican el caso de negocio y as mismo crean ideas interesantes para inversiones
futuras; adems es esencial para la seleccin correcta de los programas y la administracin de las
inversiones, durante su ejecucin. Val IT provee de guas y documentos que pueden mejorar la calidad
de los casos de negocios, profundizan en la definicin de indicadores claves tanto financieros como no
financieros, de igual manera que en la evaluacin y valoracin general del riesgo de prdidas. Esta
herramienta operativa es importante que se actualice constantemente para que refleje la realidad actual
de la entidad y de soporte al proceso de gestin de cartera. El caso de negocio consiste en los
principales recursos de entrada y tres flujos de actividades que conducen a la entrega de capacidades
tcnicas, operativas y de negocio. Estos flujos de actividades deben ser documentados para soportar las
decisiones de inversin y los procesos de administracin del portafolio, y sustentan que primero que todo,
los recursos son necesarios para desarrollar tecnologa y servicio de TI, que da soporte a una capacidad
operacional, que a su vez genera una capacidad de negocio, creando valor para todos los socios.
El ciclo de vida de un sistema o proceso implica cuatro etapas durante las cuales se pueden detectar los
flujos dinmicos, estas etapas se caracterizan bsicamente por su elaboracin, implementacin,
operacin y retiro. Tambin es importante que durante todo el ciclo de vida econmico de una inversin
se tenga bajo un riguroso monitoreo y control inmediato de la entrega de las capacidades necesarias y
los resultados esperados, una vez aprobada la inversin. Los flujos de actividad se conforman por varios
componentes que prestan ayudan necesaria para la evaluacin del caso de negocio completo y a su vez
estn creando los fundamentos para construir un modelo analtico, que tiene como beneficios demostrar
visiblemente la necesidad y valor de la infraestructura habilitadora.
El desarrollo del caso de negocio se lleva a cabo en ocho pasos:

Elaboracin de una hoja de datos: Comprende todos los datos requeridos para realizar el anlisis
de la alineacin estratgica, adems de los beneficios financieros y no financieros, y los riesgos
del programa. En la realizacin de la hoja de datos se vinculas tres momentos importantes,
actividades de recogida, validacin y entrada de datos. Durante este proceso cada hoja debe
llevar las diferentes etapas en las cuales se registra la respectiva informacin, estas son la
elaboracin, implementacin, operacin y retiro, estas etapas a su vez se dividen en dos, caso
mejor y caso peor que se registraran segn corresponda de acuerdo al anlisis.

Anlisis de alineacin: Creacin de un mtodo para garantizar la utilizacin efectiva y eficiente de

los recursos escasos. Para este contexto se habla de dos tipos de alineacin importantes en las
inversiones de negocio posibilitadas por tecnologa de informacin. En el primer tipo de
alineacin se busca dar soporte a los objetivos de negocio estratgicos, asegurando la

www.auditool.org

38
optimizacin de las inversiones relacionadas con la tecnologa de
informacin. El segundo ejemplo de alienacin busca asegurar la alineacin de las inversiones
vinculadas con tecnologa de informacin con la arquitectura de empresa deseada.

Anlisis de beneficios financieros: Consecucin de proyectos que valen ms para el promotor del
negocio de lo que cuestan, de modo que la manera como un promotor de negocio debe evaluar
una propuesta de inversin por tecnologa de informacin se asemeja a una decisin inversora de
carcter individual. Luego de que se establecen los gastos y beneficios financieros precisados en
la hoja de datos del caso de negocio se comprenden en un estado de tesorera para deducir el
valor financiero. Por otra parte los resultados finales en los estados financieros se comprenden
en ratios para definir de la inversin su valor desde una mirada especficamente financiera.

Anlisis de beneficios no financieros: Las entidades u organizaciones deben tener conocimiento

claro de la naturaleza de valor para la entidad y de la misma manera claridad en la forma en la
que se crea valor, es decir evidenciar como estos beneficios aportan a la creacin de valor. Si en
dado caso no se registra ningn aporte claro a los resultados financieros, se puede fundamentar
la toma de decisiones en el nivel de alineacin estratgica y el grado de importancia a dicho
criterio, por lo tanto cuando se elige un programa con beneficios no financieros, el modelo de
anlisis incluso facilita la identificacin de indicadores que pueden estar sujetos a un seguimiento
que permite mejorar el control con relacin a la realizacin de beneficios.

Anlisis del riesgo: Proceso de anlisis y evaluacin de los riesgos determinados con relacin a
los procesos y objetivos del programa, es importante hacer un anlisis cualitativo y luego un
anlisis cuantitativo, si es requerido; esto permite reconocer los niveles de riesgo aceptables para
el programa, as como determinar el momento en que se sobrepasan los niveles de riesgo
pactados. Es necesario nombrar a una persona con un alto grado de responsabilidad, autoridad y
recursos para gestionar el riesgo, de la misma manera que se bebe documentar cualquier riesgo
establecido con un impacto importante. Las maneras de cmo se deben resolver la eliminacin,
mitigacin, traslado, compartir o el aceptar los riesgos, as como los planes de aprovechamiento
de oportunidades, deben estar basados en tecnologas conocidas o datos que provienen de
hechos pasados. Es necesario para el momento en que se propone solucin para un riesgo
identificado, comprobar que no existe ningn efecto indeseable, ni riesgo actual introducido
desde su implementacin.

Evaluacin y optimizacin del riesgo: El promotor del negocio a nivel del programa individual
debe definir si el caso de negocio es bastante slido para su valoracin a nivel de cartera, para
luego confrontar el valor relativo del programa con los programas activos y candidatos. Es
importante llegar a un valor normalizado, o a un conjunto de puntuaciones normalizadas de
alineacin global, de beneficios financieros, no financieros y de riesgo para los casos de negocio
individuales para la facilitar el proceso.

Documentacin del caso de negocio: Constitucin de guas que evidencien la relevancia e

importancia de los componentes del caso de negocio para los diferentes grados de inversin y
para las diferentes etapas dentro del ciclo de vida econmico. Dentro de este proceso de
documentacin se detalla una estructura general y los contenidos de un caso de negocio que
parten de una portada la cual contiene el nombre del programa, promotor del negocio, director del
programa, notas de revisin, firmas de validacin y por ltimo la firma de visto bueno. Luego se
presenta el resumen ejecutivo el cual define el contexto del programa, sinopsis de la evaluacin
del caso de negocio y el resumen de valor comparativo.

Revisin del caso de negocio durante la ejecucin del programa: Revisin constante del caso de
negocio, verificando la actualizacin continua durante todo el ciclo de vida econmico de una
inversin y utilizada para dar fundamento a la implementacin y ejecucin de un programa que
adems incluye la realizacin de beneficios. Para complementar este proceso de actualizacin es
importante realizarlo cuando cambian los costos o beneficios proyectados del programa. Cuando
cambian los riesgos, o como preparacin para los revisiones de etapa. Por medio de un proceso

www.auditool.org

39
reiterativo de identificacin o reconocimiento, evaluacin y manejo de
riesgo deben ser monitoreados y controlados durante todo el ciclo de vida econmico del
programa especficamente en relacin a los riesgos. Es necesario gestionar el programa, debido
a que siempre hay riesgos, adems de solicitar al personal que anticipe e identifique los riesgos
para despus comunicarlos a la organizacin del programa. Tambin es importante que se
gestione el programa de manera activa, como parte integral de la entidad, posibilitando as un
mayor ritmo de cancelaciones. De esta manera se concluyen los ocho pasos para el desarrollo
del caso de negocio.
La administracin del programa gobierna todos los procesos que soportan la ejecucin de los programas.
Todos los cambios y capacidades necesarias para habilitarlos, deben ser entendidos, definidos,
monitoreados y administrados como un programa integral de cambios en el negocio, donde la tecnologa
es parte pero no la totalidad. Es importante mantener un enfoque en los resultados del negocio
esperados, el alcance de las iniciativas necesarias para el logro de los resultados, la relacin entre las
iniciativas y como estas contribuyen a los resultados, y cualquier suposicin planteada.
La realizacin de los beneficios comprende todas las actividades necesarias para una administracin
activa de la realizacin de los beneficios del programa. Val IT distingue dos tipos de beneficios, beneficios
del negocio que contribuyen directamente a la creacin de valor; y los beneficios intermedios que
benefician a las partes interesadas.
BMIS, Business Model for Information Security
COBIT 5 toma como base el modelo relacional que utiliza BMIS, Business Model for Information Security,
Modelo de Negocios para la Seguridad de la Informacin, el cual comprende los aspectos importantes en
relacin a la Gestin de la seguridad de la informacin en una empresa. En los procesos, Administrar la
Seguridad, administrar los servicios de seguridad, y los tres de la dimensin de Monitorear, evaluar y
valorar; han sido incorporados varios de los componentes de BMIS, para respaldar la gestin en la
empresa para alcanzar los objetivos del negocio y crear valor.
El objetivo de BMIS es proveer de seguridad a los activos de informacin de la empresa para el logro de
los objetivos del negocio a un nivel aceptable de riesgo. La seguridad es considerada un proceso de
mejoramiento de calidad en una organizacin, con el objetivo de un mejoramiento continuo del trabajo de
la organizacin; adems se ha convertido en una parte esencial del negocio, incluso el xito de la
empresa est relacionado con su habilidad para administrar apropiadamente los riesgos. Este modelo se
visualiza como una pirmide, manteniendo un balance entre sus 4 componentes, y establece seis
interconexiones dinmicas.
Los componentes son:

Organizacin: Estructura de la
empresa y como esta afecta al
personal, procesos y tecnologas,
dando lugar a riesgos adicionales,
oportunidades y reas de mejora.
Organizacin formal
Organizacin informal

Organizacin
Personas
Tecnologia

Procesos

Personas: Recursos humanos de la

organizacin.
Tecnologa: Aplicaciones tcnicas del conocimiento utilizado en la organizacin.
Procesos: Creados para que las organizaciones logren su estrategia en el BMIS. Contienen una
serie de actividades estructuradas para lograr los resultados esperados, y son evaluado para
determinar si estn bien definidos, gestionados, medible y optimizado.

www.auditool.org

40
Interconexiones:
Gobierno
Cultura
Arquitectura
Habilitacin y soporte
Factores humanos
Emergentes
GLOSARIO

Apetito: Monto general de riesgo que una empresa u otra entidad est dispuesta a aceptar en la
bsqueda de su misin o visin.

Diccionarios de Datos: Es un conjunto de metadatos, es decir datos que describen informacin

sobre otros datos, y contienen caractersticas lgicas y puntuales de los datos que se van a utilizar en el
sistema que se programa. (Nombre, descripcin, alias, contenido y organizacin)

Herramientas CASE: Herramientas asistidas por computador. Son aplicaciones informticas con
fines de mejorar la productividad en el desarrollo de software, mejora en trminos de tiempo y dinero.
Estas herramientas ayudan en todo el ciclo de existencia del software en tareas como clculos de costos,
documentacin o detencin de errores, etc.

Lenguajes de Cuarta Generacin Independientes: Se definen como entornos de desarrollo de

aplicaciones formados por herramientas como compiladores, editores, sistemas de acceso a bases de
datos, etc. Los lenguajes de cuarta generacin son entornos de desarrollo de aplicaciones constituidos
por herramientas, tales como compiladores, editores, sistemas de acceso a bases de datos, etc. Por lo
general, estas herramientas funcionan sobre sistemas gestores de bases de datos especficos, aunque
cabe resaltar, que las capacidades otorgadas por las herramientas 4GL son mucho mejores que las
facilidades que nos ofrecen los SGBD, con lo que podemos desarrollar potentes y eficientes entornos de
desarrollo de aplicaciones.

Monitor de Transacciones: Es un sistema encargado de recolectar, almacenar, modificar y

recuperar toda la informacin generada por las transacciones originadas en una entidad. Es considerado
un elemento de suma importancia en la confidencialidad y el rendimiento ya que la base de este
programa se caracteriza por gestionar los datos de forma que estos deben ser siempre consistentes o
coherentes con la informacin que se aborda.

Paquetes de Seguridad: son software que se encargan de velar por la seguridad de la

informacin de las bases de datos, el control de los accesos, la definicin de privilegios, perfiles de
usuarios, etc. es importante que estos paquetes de seguridad estn bien integrados con los SGBD para
que los usuarios no puedan violar los controles a travs del SGBD.

Protocolos y Sistemas Distribuidos: El uso de sistemas distribuidos conllevan altos riegos para
ser violados, debido a que a travs de los sistemas de redes pueden acceder a l informacin de las bases
de datos y romper con todos los dispositivos de seguridad y confidencialidad. Por tal motivo se presentan
cinco objetivos de control para revisar la distribucin de datos.

Sistema de Gestin de Base de Datos (SGBD): Es una herramienta que agrupa una serie de
programas que facilitan la definicin, construccin y manipulacin de una base de datos. El SGBD
permite especificar los tipos de datos, estructuras, restricciones, actualizaciones y consulta de las
distintas bases de datos, adems de conocer los diferentes procesos para almacenar los datos sobre
algn medio de almacenamiento. Los sistemas de Gestin de Base de Datos Permiten tener una
abstraccin de la informacin en distintos niveles, independencia, consistencia, seguridad y manejo de
transacciones.

Sistema de Monitorizacin y Ajuste (tuning): Es un sistema el cual complementa las funciones

ofrecidas por el SGBD ya que ofrece mayor informacin y proporcionan la estructura ptima de la base
de datos para ser analizada.

Sistema Operativo (OS): Es el software bsico de un computador que provee un interfaz entre el
resto de programas del computador, los dispositivos hardware y el usuario, involucra procesos como
control de memoria, gestin de reas de almacenamiento intermedio, manejo de errores, control de
confidencialidad, mecanismos de interbloqueo, etc.

www.auditool.org

41

Software de auditora: Son programas especializados en el

procesamiento de datos en grandes cantidades generados por la contabilidad de una entidad, estos
programas tienen como propsito identificar tendencias, anomalas, localizacin de errores, y posibles
irregularidades en la comparacin y anlisis de los archivos bajo los criterios definidos por los usuarios.

Tolerancia: Variacin relativa al logro de un objetivo (normalmente es medida de mejor forma

utilizando las mismas unidades que se utilizan para medir el objetivo relacionado) regin intolerable
regin tolerable o ALARP regin aceptable.
VOCABULARIO
CAATs

Computer Assisted Audit Techniques

COBIT

Control Objectives for Information and

Related Technology
Committee
of
Sponsoring
Organizations of the Treadway
Commission

COSO

Tcnicas de Auditoria Asistidas por

computador
Objetivos de Control para la informacin y
Tecnologa relacionada
Comit de Organizaciones patrocinadoras
de la Comisin Treadway

ERM
ISACA

Enterprise Risk Management

Information Systems Audit and Control
Association

Gestin del Riesgo Empresarial

Asociacin de Auditoria y Control de
Sistemas de informacin

ITGCs

Information
Technology
General
Controls
Information Technology Governance
Institute

Controles Generales de Tecnologa de

informacin
Instituto de Gobierno de Tecnologa de
Informacin

Database Management System

Information
and
communication
technology

Sistema de Gestin de Bases de Datos

Tecnologas de la informacin y la
comunicacin

ITGI

DBMS/SGBD
ICT/TICs

www.auditool.org