Maestría en Dirección de Tecnología de la

Información - ESAN
Auditoría Informática
Jornada 3

José A. López

josel@salleurl.edu
Aspectos organizativos en la innovación Sesión 4/5 Pág. 1
Agenda

1. Cómo actuar frente a una auditoría iterna

2. COBIT

3. ITG

Auditoría Informática – Prof. José A. López Pág. 2

Cómo puede actuar un CIO frente a Auditoría Interna?

Identificar, decidir y adoptar el conjunto de mejores prácticas/estándares

que le permitan garantizar la alineación de la Estrategia del Negocio con
la Tecnología necesaria para su consecución. Algunos ejemplos:

• ITIL, estándar en la Operación y Mantenimiento de Sistemas y

ISO/IEC 20000
• CMMI, Integración de modelos de madurez de
capacidades o Capability Maturity Model Integration
• PMI, Project Management Institute, para el desarrollo de proyectos
(software)
• ISO/IEC·27000, Sistema de Gestión de Seguridad de la
Información.
• BS·25999:2008: Sistema de Gestión del Plan de Continuidad del
Negocio
• COBIT (ISACA)
• GTAG (IIA)

Auditoría Informática – Prof. José A. López Pág. 3

Cómo puede actuar un CIO frente a Auditoría Interna?

PMI Program Management Institute

Sede: USA
Miembros: 500.000 en 100 países
WEB: www.pmi.org

PMBOK (Project Management Body of Knwoledge) contiene una

descripción general de los fundamentos de la Gestión de Proyectos
reconocidos como buenas prácticas para lograr un gerenciamiento
eficaz y eficiente del proyecto. Único estándar ANSI para la gestión de
proyectos

Existen 6 tipos diferentes de certificaciones: (CAPM) Asociado en

Gestión de Proyectos Certificado, (PMP) Profesional el gestión de
Proyectos, (PgMP), PMI Profesional en Programación (PMI-SP)SM,
PMI Profesional en Gestión de Riesgos (PMI-RMP)SM, PMI
Practicante certificado de Agile (PMI-ACP)

Auditoría Informática – Prof. José A. López Pág. 4

Cómo puede actuar un CIO frente a Auditoría Interna?

CMMI Capability Maturity Model Integration

Sede: USA
Miembros: 101 países
Web: http://cmmiinstitute.com/

Modelo para la mejora y evaluación de procesos para el desarrollo,

mantenimiento y operación de sistemas de software

El Standard CMMI Appraisal

Method for Process Improvement
(SCAMPI) es el método oficial SEI
para proveer puntos de referencia
de sistemas de calificación en
relación con los modelos CMMI

Auditoría Informática – Prof. José A. López Pág. 5

Organizaciones y estándares

ISACA

Certified Information systems Auditor (CISA)

Cetified in Risk and Information Systems Control (CRISC)
Certified Information Security Manager (CSIM)
Certified in the Governance of Enterprise IT (CGEIT)
Cybersecurity Nexus (CSX)

IT Governance Institute (ITGI)

Mantiene el estándar COBIT, Val IT y Risk IT Frameworks

Aquiere CMMI Institute

https://www.isaca.org/pages/default.aspx

Auditoría Informática – Prof. José A. López Pág. 6

Organizaciones y estándares

IIA – Institute of Internal Auditors

Cerified internal Auditor (CIA)

Certification in Control Self Assessment (CCSA)
Certified Government Auditing Professional (CGAP)
Certified Financial Services Auditor CFSA)
Certification in Risk Management Assurance (CRMA)
Qualification in Internal Audit Leadership (QIAL)

2 guias para los profesionales: Obligatorias (Altamente recomendables. 8

PG, 15 GTAG (Global Technology Guide) y 3 GAIT (Guide to the
Assessment of IT Risks)

Publica revista especializada

https://na.theiia.org/Pages/IIAHome.aspx

Auditoría Informática – Prof. José A. López Pág. 7

Cómo puede actuar un CIO frente a Auditoría Interna?

COBIT (Control Objectives for Information and Related Technologies)

Publicado por ISACA en 1996 en respuesta a las dificultades de los auditores frente a IT

En 2005 se publica la versión más conocida, COBIT 4.1:

o 34 procesos
o 210 objetivos orientados a 4 dominios:
 Planificación y Organización (Plan and Organize)
 Adquisición e Implantación (Acquire and Implement)
 Entrega y Soporte (Deliver and Support)
 Supervisión y Evaluación (Monitor and Evaluate)

En 2012 se publica la última release proporcionando una visión end to end de la

actividad de TI.

Agrupa las mejores prácticas del mercado:

COBIT 5 = COBIT 4.1 + Normas Val IT/Risk IT,+ ITIL + ISO/IEC 27000 + ISO/IEC 31000

Auditoría Informática – Prof. José A. López Pág. 8

Cómo puede actuar un CIO frente a Auditoría Interna?

VAL IT

Origen: UK
Administrador: IT GI (IT Governance Institute)

Framework dirigido a la gobernabilidad de las inversiones de IT.

Proporciona:
o Conjunto de principios rectores
o una serie de procesos y mejores prácticas:
 Value Governance (VG prefix)
 Portfolio Management (PM prefix)
 Investment Management (IM prefix)

”Val IT se centra en la decisión de invertir (¿estamos haciendo lo

correcto?) y la realización de beneficios (¿estamos obteniendo
beneficios?), mientras que COBIT está enfocado en la ejecución (¿lo
estamos haciendo correctamente, y lo estamos logrando bien?).”

Auditoría Informática – Prof. José A. López Pág. 9

Cómo puede actuar un CIO frente a Auditoría Interna?

ITIL Information Technology Infrastructure Library

Sede: UK
Miembros: 6.000 miembros, 4.000 individuales, +50 países
Web: https://www.axelos.com/ http://www.itsmfi.org/

conceptos y buenas prácticas usadas para la gestión de servicios de

tecnologías de la información, el desarrollo de tecnologías de la información y
las operaciones relacionadas con la misma en general

3 certificados: Foundation Certificate (Certificado Básico, Practitioner's

Certificate (Certificado de Responsable), Manager's Certificate (Certificado de
Director)

Auditoría Informática – Prof. José A. López Pág. 10

Cómo puede actuar un CIO frente a Auditoría Interna?

COBIT 5

* *

* En desarrollo

Auditoría Informática – Prof. José A. López Pág. 11

COBIT 5

Auditoría Informática – Prof. José A. López Pág. 12

COBIT 5

PRINCIPIO 1 – Satisfacer las necesidades de los stakeholders

“Enterprises exist to create value for their stakeholders by maintaining a balance

between the realisation of benefits and the optimisation of risk and use of resources.

COBIT 5 provides all of the required processes and other enablers to support
business value creation through the use of IT. Because every enterprise has
different objectives, an enterprise can customise COBIT 5 to suit its own
context through the goals cascade, translating high-level enterprise goals
into manageable, specific, IT-related goals and mapping these to specific
processes and practices.”

Auditoría Informática – Prof. José A. López Pág. 13

COBIT 5

PRINCIPIO 2 – Cubrir todos los procesos de la compañía (end to end)

“COBIT 5 integrates governance of enterprise IT into enterprise governance:

It covers all functions and processes within the enterprise; COBIT 5 does not
focus only on the ‘IT function’, but treats information and related technologies
as assets that need to be dealt with just like any other asset by everyone in the
enterprise.

It considers all IT-related governance and management enablers to be

enterprisewide and end-to-end, i.e., inclusive of everything and everyone—
internal and external—that is relevant to governance and management of
enterprise information and related IT.”

Auditoría Informática – Prof. José A. López Pág. 14

COBIT 5

PRINCIPIO 3 – Aplicar un framework simple y único

“There are many IT-related standards and good practices, each providing
guidance on a subset of IT activities. COBIT 5 aligns with other relevant
standards and frameworks at a high level, and thus can serve as the
overarching framework for governance and management of enterprise IT.

Auditoría Informática – Prof. José A. López Pág. 15

COBIT 5

PRINCIPIO 4 – Facilitar una aproximación holística

“Efficient and effective governance and management of enterprise IT require a

holistic approach, taking into account several interacting components. COBIT 5
defines a set of enablers to support the implementation of a comprehensive
governance and management system for enterprise IT. Enablers are broadly defined
as anything that can help to achieve the objectives of the enterprise. The COBIT 5
framework defines seven categories of enablers:
•Principles, Policies and Frameworks
•Processes
•Organisational Structures
•Culture, Ethics and Behaviour
•Information
•Services, Infrastructure and Applications
•People, Skills and Competencies
Auditoría Informática – Prof. José A. López Pág. 16
COBIT 5

PRINCIPIO 5 – Separar la Governanza de la Gestión

Governance ensures that stakeholder needs, conditions and options are evaluated
to determine balanced, agreed-on enterprise objectives to be achieved; setting
direction through prioritisation and decision making; and monitoring performance
and compliance against agreed-on direction and objectives. In most enterprises,
overall governance is the responsibility of the board of directors under the
leadership of the chairperson. Specific governance responsibilities may be delegated
to special organisational structures at an appropriate level, particularly in larger,
complex enterprises.

Management plans, builds, runs and monitors activities in alignment with the
direction set by the governance body to achieve the enterprise objectives. In most
enterprises, management is the responsibility of the executive management under
the leadership of the chief executive officer (CEO).

Auditoría Informática – Prof. José A. López Pág. 17

COBIT 5

Auditoría Informática – Prof. José A. López Pág. 18

COBIT 5

Auditoría Informática – Prof. José A. López Pág. 19

COBIT 5

Fuente: Pag. 33 documento COBIT-5-ESP Jose Lopez.pdf

Auditoría Informática – Prof. José A. López Pág. 20

COBIT 5

CASO DE NEGOCIO

1. Objetivos de beneficio de negocio

2. Propietarios asociados del beneficio
3. Cambios de negocio requeridos para crear el valor previsto
4. CAPEX-Inversiones precisas para realizar los cambios de gobierno y
gestión de TI corporativa
5. OPEX-Costes ordinarios de TI y de negocio
6. Beneficios esperados de operar en el nuevo modo
7. Riesgo inherente en los puntos anteriores, incluyendo cualquier
restricción o dependencia
8. Roles, responsabilidades y obligaciones relativas a la iniciativa

Auditoría Informática – Prof. José A. López Pág. 21

GTAIT

GTAG 1: Information Technology Controls

GTAG 2: Change and Patch Management Controls: Critical for Organizational Success
GTAG 3: Continuous Auditing: Implications for Assurance, Monitoring, and Risk
Assessment
GTAG 4: Management of IT Auditing
GTAG 5: Managing and Auditing Privacy Risks
GTAG 6: Managing and Auditing IT Vulnerabilities
GTAG 7: Information Technology Outsourcing
GTAG 8: Auditing Application Controls
GTAG 9: Identity and Access Management
GTAG 10: Business Continuity Management
GTAG 11: Developing the IT Audit Plan
GTAG 12: Auditing IT Projects
GTAG 13: Fraud Prevention and Detection in the Automated World
GTAG 14: Auditing User-developed Applications
GTAG 15: Information Security Governance
GTAG 16: Data Analysis Technologies
GTAG 17: Auditing IT Governance

Auditoría Informática – Prof. José A. López Pág. 22

TOP 10 FIRMAS AUDITORÍA
USA

Fuente: www.statista.com

Auditoría Informática – Prof. José A. López Pág. 23

TOP 10 FIRMAS AUDITORÍA
UK

Fuente: www.statista.com

Auditoría Informática – Prof. José A. López Pág. 24

TOP 10 FIRMAS AUDITORÍA
Resto mundo

Fuente: www.statista.com

Auditoría Informática – Prof. José A. López Pág. 25