Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
CAMPUS ZACATECAS
TESIS
Que para obtener el grado de Maestro en
Informtica Administrativa
Presenta
I.S.C. Julin Fuentes Parga
Asesor
M.C. Jos Manuel Carrillo Hernndez
DEDICATORIAS
A mi esposa Lucy
Porque sin su apoyo y sacrificio
nada de esto hubiera sido posible
A mis padres
Por mostrarme el camino
AGRADECIMIENTOS
A la Universidad Autnoma de Durango.
A los maestros de la Maestra en Informtica Administrativa.
A mis compaeros.
A mis Hermanos y familiares por el apoyo brindado durante esta travesa.
RESUMEN
INDICES
NDICE DE CONTENIDO
P R O P O S I C I N .................................................................................... 8
ENUNCIADO DE LA PROPOSICIN ............................................................... 9
CONTENIDO Y LMITES................................................................................. 13
JUSTIFICACIN ............................................................................................. 14
FUENTES DE CONOCIMIENTO UTILIZADAS ............................................... 20
PROBLEMAS CORRELACIONADOS ............................................................. 21
PERIODO DE TIEMPO UTILIZADO ............................................................... 23
CAPTULO I ....................................................................................................... 25
MARCO TERICO ............................................................................................. 25
I.1. LA LEY SARBANES OXLEY (SOX) ....................................................... 25
I.1.A. Historia ................................................................................................ 25
I.1.B. Alcance de la Ley SOx ........................................................................ 26
I.2. COBIT..................................................................................................... 29
I.2.A. Definicin de COBIT......................................................................... 29
I.2.B. Historia ................................................................................................ 31
I.2.C. Los principios del marco de referencia ............................................... 32
I.2.C.a. COBIT y el Gobierno de TI ......................................................... 33
I.2.C.b. COBIT como integrador de estndares...................................... 36
I.2.C.c. El principio fundamental de COBIT ............................................... 36
I.2.C.d. Los recursos de COBIT ................................................................ 38
I.2.D. Los dominios de COBIT ................................................................... 39
I.2.D.a. Planeacin y Organizacin (PO) ................................................... 40
I.2.D.b. Adquisicin e implementacin (AI) ................................................ 42
I.2.D.c. Entrega y Soporte (DS) ................................................................. 44
I.2.D.d. Monitoreo ...................................................................................... 48
I.2.E. Modelos de madurez de COBIT ....................................................... 49
I.3. LOS ESTNDARES ACEPTADOS ........................................................... 56
I.3.A. COSO ................................................................................................. 56
I.3.A.a. Entorno de control ......................................................................... 57
I.3.A.b. Evaluacin de los riesgos ............................................................. 58
I.3.A.c. Actividades de control ................................................................... 58
I.3.A.d. Informacin y comunicacin .......................................................... 58
I.3.A.e. Monitoreo ...................................................................................... 59
I.3.B. ITIL (Information Technology Infrastructure Library) ........................... 60
I.3.B.a. Soporte al Servicio ........................................................................ 61
I.3.B.b. Entrega del Servicio ...................................................................... 61
I.4 LA DIRECCIN DE TI DE GRUPO MODELO ........................................... 62
I.4.A. Breve resea histrica ........................................................................ 62
I.4.B. Estructura Actual ................................................................................. 63
I.4.C. Servicios de la direccin de TI ............................................................ 64
GRFICAS
Grfica 1. Los proceso de TI definidos en los dominios de COBIT. ...................... 35
Grfica 2. El principio fundamental de COBIT ....................................................... 37
Grfica 3. Representacin grfica de los modelos de madurez ........................... 50
Grfica 4. Poblacin Entrevistada ......................................................................... 78
Grfica 5. Percepcin sobre la comunicacin del proyecto ................................... 79
Grfica 6. Percepcin sobre el diseo de los controles ......................................... 80
Grfica 7. Percepcin sobre la validacin del cumplimiento de los controles ....... 82
Grfica 8. Percepcin sobre la estructura organizacional de TI ............................ 83
Grfica 9. Percepcin sobre el apoyo de la direccin ........................................... 85
Grfica 10. Percepcin sobre cmo se visualizan los controles ............................ 86
Grfica 11. Grado de conciencia del personal de TI sobre los controles .............. 88
P R O P O S I C I N
9
ENUNCIADO DE LA PROPOSICIN
10
estas polticas se debern apegar todos los colaboradores para garantizar que las
actividades se realizan dentro de los parmetros establecidos.
Ciclo de mejora continua que permita mejorar los procesos con base a la
experiencia y la informacin proporcionada por el monitoreo.
11
enfocndose en reas especficas; as por ejemplo, se pueden mencionar:
ITIL.- Que define los procesos y actividades para soportar los servicios de
TI.
12
necesidades de los clientes.
Objetivo General:
Objetivos Especficos
13
COBIT en la direccin de TI de Grupo Modelo.
2.- Conocer la percepcin que tiene el personal directivo de la direccin de
TI respecto la implantacin de COBIT en la direccin de TI de Grupo Modelo.
3.-. Identificar los principales factores que obstaculizan la implantacin de
COBIT en la direccin de TI de Grupo Modelo.
4.- Emitir recomendaciones para la implantacin exitosa de COBIT en la
direccin de TI de Grupo Modelo.
Hiptesis Planteada:
CONTENIDO Y LMITES
14
JUSTIFICACIN
15
Las organizaciones de TI deben jugar un doble papel fundamental para
lograr la explotacin de la informacin; el primer papel, al generar mecanismos
para aprovechar los datos y convertirlos en informacin valiosa que permita tomar
decisiones efectivas en el momento indicado. El segundo papel, al aprovechar los
mismos mecanismos que genera en su propio beneficio para explotar su propia
informacin que le permitan ajustar sus actividades y proponer soluciones
efectivas de raz a las problemticas que enfrenta.
16
que garantice que la informacin financiera emitida por las empresas que cotizan
en la bolsa de valores estadounidense sea confiable, con lo cual se busca
restablecer la confianza de los inversionistas despus de los escndalos
financieros de compaas como Enron y World Com.
17
se estableci que se deberan implantar 131 Controles.
18
es decir, que el control se est llevando de acuerdo a lo establecido y se
monitorea que la nueva forma de realizar las actividades se est llevando a cabo
de forma cotidiana.
Parte de los resultados de las evaluaciones, dejaron ver que incluso, las
condiciones de la direccin de TI haban cambiado desde el momento del diseo
de los controles hasta el momento de la evaluacin, por lo que tambin se hizo
necesario ajustar el diseo de algunos de los controles para adecuarlos a las
nuevas condiciones de la direccin de TI.
19
en la Direccin de TI.
20
FUENTES DE CONOCIMIENTO UTILIZADAS
21
Entrevistas realizadas al personal de los puestos clave identificados, para
conocer estatus, opiniones y problemticas.
PROBLEMAS CORRELACIONADOS
22
iniciativa privada en Mxico es un factor determinante para la forma en la que se
administran las reas de la empresa, trayendo consigo diferentes vicios que no
permiten un desarrollo adecuado de las reas de TI; es decir, en muchas de las
empresas, las reas de TI son visualizadas como un rea que no aporta valor al
negocio en lugar de visualizarse como reas estratgicas que pueden generar una
ventaja competitiva para la empresa.
23
misma organizacin.
DEMOSTRACIN
25
CAPTULO I
MARCO TERICO
I.1.A. Historia
26
I.1.B. Alcance de la Ley SOx
27
los servicios que las empresas auditoras pueden prestar a sus clientes a los que
auditan. Por lo anterior, queda prohibido para una empresa auditora proporcionar
a sus clientes de auditora servicios de contabilidad y todos aquellos servicios
relacionados con la preparacin y emisin de los reportes anuales, auditora
interna, servicios legales, servicios actuariales y todos aquellos que la PCAOB
determine.
Debido a que esta certificacin no est sujeta a alguna revisin por parte de
auditores externos y para garantizar la transparencia y confiabilidad de la
informacin, se hace necesario que la misma sea verificada por personal
independiente a la empresa; dicho personal conforma el comit de auditora.
28
operativa.
1
2
29
El resto de los ttulos de la ley Sarbanes-Oxley se muestran en la siguiente
tabla:
Ttulo
I
II
III
IV
V
VI
VII
VIII
IX
X
XI
I.2. COBIT
30
Los objetivos de control para la informacin y la tecnologa relacionada
(COBIT) es un marco de referencia de buenas prcticas para las organizaciones
de TI. Este marco est formado por un conjunto de dominios y procesos que
representan las actividades de TI en una estructura manejable y lgica.
31
La misin de COBIT
I.2.B. Historia
La tercera edicin fue liberada en Julio del 2000, una de las novedades
32
principales fue que dicho documento fue editado por el Instituto de Gobierno de TI
(IT Governance Institute), el cual fue formado por la Information Systems Audit and
Control Association (ISACA) en 1998. En esta versin de COBIT se agregaron las
directrices gerenciales y se enfoc ms hacia el Gobierno de TI.
33
I.2.C.a. COBIT y el Gobierno de TI
34
responsable y los riesgos relacionados a TI son manejados apropiadamente.
COBIT est diseado para su uso por parte de tres diferentes audiencias:
COBIT est alineado con los objetivos del negocio, debido que los objetivos
de control tienen una clara relacin con los objetivos del negocio, ya que estn
definidos con una orientacin a los procesos del negocio.
4 Dominios.
34 Objetivos de alto nivel.
35
318 Objetivos de control detallados.
Los cuales se representan a continuacin:
36
I.2.C.b. COBIT como integrador de estndares
COBIT est diseado para cubrir la brecha existente entre los dos tipos de
modelos de control; por lo tanto, COBIT se visualiza como una herramienta ms
completa para llevar a cabo la administracin y para operar a un nivel ms alto a
los estndares de tecnologa. Por lo anterior se dice que COBIT es el modelo para
el gobierno de TI.
6
7
Security Code of Conduct del DTI (Departamento de Industria y Comercio, Reino Unido)
COBIT Objetivos de Control. IT Governance Institute. 3ra. Edicin. USA 1996. p. 14
37
Requerimientos
de Negocio
Procesos
de TI
Recursos
de TI
Para que los objetivos del negocio puedan ser satisfechos, la informacin
debe cumplir con ciertos criterios del negocio, que de acuerdo a COBIT son
conocidos como requerimientos del negocio para la informacin. Dichos criterios
son resumidos a continuacin:
38
disponibilidad (de seguridad) y tambin con el de efectividad y eficiencia.
Ibidem.
39
Planeacin y organizacin.
Adquisicin e implementacin.
Entrega y Soporte.
Monitoreo
10
Ibidem.
40
11
COBIT Objetivos de Control. IT Governance Institute. 3ra. Edicin. USA 1996. p. 17.
41
informacin
4.2 Ubicacin de los servicios de informacin en la organizacin
4.3 Revisin de Logros Organizacionales
4.4 Funciones y Responsabilidades
4.5 Responsabilidad del aseguramiento de calidad
4.6 Responsabilidad por la seguridad lgica y fsica
4.7 Propiedad y Custodia
4.8 Propiedad de Datos y Sistemas
4.9 Supervisin
4.10 Segregacin de Funciones
4.11 Asignacin de Personal para Tecnologa de Informacin
4.12 Descripcin de Puestos para el Personal de la Funcin de TI
4.13 Personal clave de TI
4.14 Procedimientos y polticas para el personal contratado
4.15 Relaciones
5.0 Manejo de la Inversin en Tecnologa de Informacin
5.1 Presupuesto Operativo Anual para la Funcin de Servicio de informacin
5.2 Monitoreo de Costo - Beneficio
5.3 Justificacin de Costo Beneficio
6.0 Comunicacin de los Objetivos y Aspiraciones de la Gerencia
6.1 Ambiente positivo de control de la informacin
6.2 Responsabilidad de la Gerencia en cuanto a Polticas
6.3 Comunicacin de las Polticas de la Organizacin
6.4 Recursos para la implementacin de Polticas
6.5 Mantenimiento de Polticas
6.6 Cumplimiento de Polticas, Procedimientos y Estndares
6.7 Compromiso con la Calidad
6.8 Poltica sobre el Marco Referencial para la Seguridad y el Control Interno
6.9 Derechos de propiedad intelectual
6.10 Polticas Especficas
6.11 Comunicacin de Conciencia de Seguridad en TI
7.0 Administracin de Recursos Humanos
7.1 Reclutamiento y Promocin de Personal
7.2 Calificacin del Personal
7.3 Roles y Responsabilidades
7.4 Entrenamiento del personal
7.5 Entrenamiento Cruzado o Respaldo de Personal
7.6 Procedimientos para la Acreditacin del Personal
7.7 Evaluacin de Desempeo de los Empleados
7.8 Cambios de Puesto y Terminacin de contrato de trabajo
8.0 Aseguramiento del Cumplimiento con Requerimientos Externos
8.1 Revisin de Requerimientos Externos
8.2 Prcticas y Procedimientos para el Cumplimiento de Requerimientos Externos
8.3 Cumplimiento de los Estndares de Seguridad y Ergonoma
8.4 Privacidad, Propiedad Intelectual y Flujo de Datos
8.5 Comercio Electrnico
8.6 Cumplimiento con Contratos de Seguros
9.0 Anlisis de Riesgos
9.1 Anlisis de Riesgos del Negocio
9.2 Enfoque de Anlisis de Riesgos
9.3 Identificacin de Riesgos
42
9.4 Medicin de Riesgos
9.5 Plan de Accin para mitigar los Riesgos
9.6 Aceptacin de Riesgos
9.7 Seleccin de Proteccin.
9.8 Compromiso de Anlisis de Riesgos
10.0 Administracin de Proyectos
10.1 Marco Referencial para la Administracin de Proyectos
10.2 Participacin del Departamento Usuario en la Iniciacin de Proyectos
10.3 Miembros y Responsabilidades del Equipo del Proyecto
10.4 Definicin del Proyecto
10.5 Aprobacin del Proyecto
10.6 Plan maestro del proyecto
10.7 Plan Maestro del Proyecto
10.8 Plan de Aseguramiento de Calidad de Sistemas
10.9 Planeacin de Mtodos de Aseguramiento
10.10 Administracin Formal de Riesgos de Proyectos
10.11 Plan de Prueba
10.12 Plan de Entrenamiento
10.13 Plan de Revisin Post Implementacin
11.0 Administracin de Calidad
11.1 Plan General de Calidad
11.2 Enfoque de Aseguramiento de Calidad
11.3 Planeacin del Aseguramiento de Calidad
11.4 Revisin de Aseguramiento de Calidad sobre el Cumplimiento de Estndares y
procedimientos de la Funcin de Servicios de Informacin
11.5 Metodologa del Ciclo de Vida de Desarrollo de Sistemas
11.6 Metodologa del Ciclo de Vida de Desarrollo de Sistemas para Cambios Mayores a la
Tecnologa Actual
11.7 Actualizacin de la Metodologa del Ciclo de Vida de Desarrollo de Sistemas
11.8 Coordinacin y Comunicacin
11.9 Marco Referencial para la Adquisicin y Mantenimiento de la Infraestructura de
Tecnologa
11.10 Relaciones con Terceras Partes en su rol de Implementadores
11.11 Estndares para la Documentacin de Programas
11.12 Estndares para Pruebas de Programas
11.13 Estndares para Pruebas de Sistemas
11.14 Pruebas Piloto/En Paralelo
11.15 Documentacin de las Pruebas del Sistema
11.16 Evaluacin del Aseguramiento de la Calidad sobre el Cumplimiento de Estndares de
Desarrollo
11.17 Revisin del Aseguramiento de Calidad sobre el Logro de los Objetivos de la Funcin
de Servicios de Informacin
11.18 Mtricas de Calidad
11.19 Reportes de Revisiones de Aseguramiento de la Calidad
43
identificadas, desarrolladas o adquiridas, as como implementadas e integradas
dentro del proceso del negocio. Adems, este dominio cubre los cambios y el
mantenimiento realizados a sistemas existentes, para asegurar que el ciclo de vida
es continuo para esos sistemas. 12
Tabla VI. Procesos y Objetivos de Control del Dominio AI
1.0 Identificacin de Soluciones
1.1 Definicin de Requerimientos de Informacin
1.2 Formulacin de Acciones Alternativas
1.3 Formulacin de Estrategias de Adquisicin.
1.4 Requerimientos de Servicios de Terceros
1.5 Estudio de Factibilidad Tecnolgica
1.6 Estudio de Factibilidad Econmica
1.7 Arquitectura de Informacin
1.8 Reporte de Anlisis de Riesgos
1.9 Controles de Seguridad costo-efectivo
1.10 Diseo de Pistas de Auditora
1.11 Ergonoma
1.12 Seleccin de Software del Sistema
1.13 Control de Abastecimiento
1.14 Adquisicin de Productos de Software
1.15 Mantenimiento de Software de Terceras Partes
1.16 Contratos para la Programacin de Aplicaciones
1.17 Aceptacin de Instalaciones
1.18 Aceptacin de Tecnologa
2.0 Adquisicin y Mantenimiento de Software de Aplicacin
2.1 Mtodos de Diseo
2.2 Cambios Significativos a Sistemas Actuales
2.3 Aprobacin del Diseo
2.4 Definicin y Documentacin de Requerimientos de Archivos
2.5 Especificaciones de Programas
2.6 Diseo para la Recopilacin de Datos Fuente
2.7 Definicin y Documentacin de Requerimientos de Entrada de Datos
2.8 Definicin de Interfases
2.9 Interfases Usuario-Mquina
2.10 Definicin y Documentacin de Requerimientos de Procesamiento
2.11 Definicin y Documentacin de Requerimientos de Salida de Datos
2.12 Controlabilidad
2.13 Disponibilidad como Factor Clave de Diseo
2.14 Consideracin de Integridad de TI en programas de software de aplicaciones
2.15 Pruebas al Software de Aplicacin
2.16 Materiales de Consulta y Soporte para Usuario
2.17 Reevaluacin del Diseo del Sistema
3.0 Adquisicin y Mantenimiento de la Arquitectura de Tecnologa
3.1 Evaluacin de Nuevo Hardware y Software
3.2 Mantenimiento Preventivo para Hardware
3.3 Seguridad del Software del Sistema
12
44
3.4 Instalacin del Software del Sistema
3.5 Mantenimiento del Software del Sistema
3.6 Controles para Cambios del Software del Sistema
3.7 Uso y Monitoreo de Utilidades/Utilitarios del Sistema
4.0 Procedimientos de Desarrollo y Mantenimiento de TI
4.1 Requerimientos Operacionales y Niveles de Servicio
4.2 Manual de Procedimientos para Usuario
4.3 Manual de Operacin
4.4 Material de Entrenamiento
5.0 Instalacin y Acreditacin de Sistemas
5.1 Entrenamiento
5.2 Medicin del Desempeo del Software de Aplicacin
5.3 Plan de Implementacin
5.4 Conversin del Sistema
5.5 Conversin de datos
5.6 Planes y estrategias de pruebas
5.7 Pruebas a cambios
5.8 Criterios y Desempeo de Pruebas en Paralelo/Piloto
5.9 Prueba de Aceptacin Final
5.10 Pruebas y Acreditacin de la Seguridad
5.11 Prueba Operacional
5.12 Promocin a Produccin
5.13 Evaluacin de la Satisfaccin de los Requerimientos del Usuario
5.14 Revisin Gerencial Post Implementacin
6.0 Administracin de Cambios
6.1 Inicio y Control de Solicitudes de Cambio
6.2 Anlisis de Impacto
6.3 Control de Cambios
6.4 Cambios de Emergencia
6.5 Documentacin y Procedimientos
6.6 Mantenimiento Autorizado
6.7 Poltica de Liberacin de Software
6.8 Distribucin de Software
45
aplicacin, frecuentemente clasificados como controles de aplicacin. 13
Tabla VII. Procesos y Objetivos de Control del Dominio DS
1.0 Definicin de Niveles de Servicio
1.1 Marco de Referencia para acuerdos de Nivel de Servicio
1.2 Aspectos sobre los Acuerdos de Nivel de Servicio
1.3 Procedimientos de Desempeo
1.4 Monitoreo y Reporte
1.5 Revisin de Contratos y Acuerdos de Nivel de Servicio
1.6 Elementos sujetos a Cargo
1.7 Programa de Mejoramiento del Servicio
2.0 Administracin de Servicios prestados por Terceros
2.1 Interfases con Proveedores
2.2 Relaciones con los Dueos
2.3 Contratos con Terceros
2.4 Calificaciones de terceros
2.5 Contratos con Outsourcing
2.6 Continuidad del Servicios
2.7 Relaciones de Seguridad
2.8 Monitoreo
3.0 Administracin de Desempeo y Capacidad
3.1 Requerimientos de Disponibilidad y Desempeo
3.2 Plan de Disponibilidad
3.3 Monitoreo y Reporte
3.4 Herramientas de Modelado
3.5 Administracin de Desempeo Proactivo
3.6 Pronstico de Carga de Trabajo
3.7 Administracin de Capacidad de Recursos
3.8 Disponibilidad de Recursos
3.9 Calendarizacin / Programacin de recursos
4.0 Aseguramiento de Servicio Continuo
4.1 Marco de Referencia de Continuidad de Tecnologa de Informacin
4.2 Estrategia y Filosofa del Plan de Continuidad de Tecnologa de Informacin
4.3 Contenido del Plan de Continuidad de Tecnologa de Informacin
4.4 Minimizacin de requerimientos de Continuidad de Tecnologa de Informacin
4.5 Mantenimiento del Plan de Continuidad de Tecnologa de Informacin
4.6 Pruebas del Plan de Continuidad de Tecnologa de Informacin
4.7 Entrenamiento sobre el Plan de Continuidad de Tecnologa de Informacin
4.8 Distribucin del Plan de Continuidad de Tecnologa de Informacin
4.9 Procedimientos de Respaldo de Procesamiento para Departamentos Usuarios
4.10 Recursos crticos de Tecnologa de Informacin
4.11 Centro de Cmputo y Hardware de respaldo
4.12 Almacenamiento de copias de respaldo fuera del sitio
4.13 Procedimientos de Refinamiento del Plan de Continuidad de TI
5.0 Garantizar la Seguridad de Sistemas
5.1 Administrar Medidas de Seguridad
13
Ibidem. p. 18.
46
5.2 Identificacin, Autenticacin y Acceso
5.3 Seguridad de Acceso a Datos en Lnea
5.4 Administracin de Cuentas de Usuario
5.5 Revisin Gerencial de Cuentas de Usuario
5.6 Control de Usuarios sobre Cuentas de Usuario
5.7 Vigilancia de Seguridad
5.8 Clasificacin de Datos
5.9 Administracin Centralizada de Identificacin y Derechos de Acceso
5.10 Reportes de Violacin y de Actividades de Seguridad
5.11 Manejo de Incidentes
5.12 Re-acreditacin
5.13 Confianza en las Contrapartes
5.14 Autorizacin de Transacciones
5.15 No Rechazo
5.16 Sendero Seguro
5.17 Proteccin de las funciones de seguridad
5.18 Administracin de las Llaves Criptogrficas
5.19 Prevencin, Deteccin y Correccin de Software Malicioso
5.20 Arquitecturas de Firewalls y conexin a redes pblicas
5.21 Proteccin de Valores Electrnicos
6.0 Identificacin y Asignacin de Costos
6.1 Elementos Sujetos a Cargo
6.2 Procedimientos de Costeo
6.3 Procedimientos de Cargo y Facturacin a Usuarios
7.0 Educacin y Entrenamiento de Usuarios
7.1 Identificacin de Necesidades de Entrenamiento
7.2 Organizacin de Entrenamiento
7.3 Entrenamiento sobre Principios y Conciencia de Seguridad
8.0 Apoyo y Asistencia a los Clientes de Tecnologa de Informacin
8.1 Help Desk
8.2 Registro de consultas del Cliente
8.3 Escalamiento de consultas del Cliente
8.4 Monitoreo de Atencin a Clientes
8.5 Anlisis y Reporte de Tendencias
9.0 Administracin de la Configuracin
9.1 Registro de la Configuracin
9.2 Base de la Configuracin
9.3 Registro de status
9.4 Control de la Configuracin
9.5 Software no Autorizado
9.6 Almacenamiento de Software
9.7 Procedimientos para la Administracin de la Configuracin
9.8 Contabilidad y registro del Software
10.0 Administracin de Problemas e Incidentes
10.1 Sistema de Administracin de Problemas
10.2 Escalamiento de Problemas
10.3 Seguimiento de Problemas y Pistas de Auditora
10.4 Autorizaciones para acceso temporal y de emergencia.
10.5 Prioridades en Procesos de Emergencia
11.0 Administracin de Datos
47
11.1 Procedimientos de Preparacin de Datos
11.2 Procedimientos de Autorizacin de Documentos Fuente
11.3 Recopilacin de Datos de Documentos Fuente
11.4 Manejo de Errores de Documentos Fuente
11.5 Retencin de Documentos Fuente
11.6 Procedimientos para la Autorizacin de Entrada de Datos
11.7 Chequeos de Exactitud, Suficiencia y Autorizacin
11.8 Manejo de Errores en la Entrada de Datos
11.9 Integridad de Procesamiento de Datos
11.10 Validacin y Edicin de Procesamiento de Datos
11.11 Manejo de Errores en el Procesamiento de Datos
11.12 Manejo y Retencin de Datos de Salida
11.13 Distribucin de Datos de Salida
11.14 Balanceo y Conciliacin de Datos de Salida
11.15 Revisin de Salida de Datos y Manejo de Errores
11.16 Provisiones de Seguridad para Reportes de Salida
11.17 Proteccin de Informacin Sensitiva durante transmisin y transporte
11.18 Proteccin de Informacin Sensitiva a ser Desechada
11.19 Administracin de Almacenamiento
11.20 Perodos de Retencin y Trminos de Almacenamiento
11.21 Sistema de Administracin de la Librera de Medios
11.22 Responsabilidades de la Administracin de la Librera de Medios
11.23 Respaldo y Restauracin
11.24 Funciones de Respaldo
11.25 Almacenamiento de Respaldo
11.26 Archivo
11.27 Proteccin de Mensajes Sensitivos
11.28 Autenticacin e Integridad
11.29 Integridad de Transacciones Electrnicas
11.30 Integridad Continua de Datos Almacenados
12.0 Administracin de Instalaciones
12.1 Seguridad Fsica
12.2 Discrecin (bajo perfil) de las Instalaciones de Tecnologa de Informacin
12.3 Escolta de Visitantes
12.4 Salud y Seguridad del Personal
12.5 Proteccin contra Factores Ambientales
12.6 Suministro Ininterrumpido de Energa
13.0 Administracin de Operaciones
13.1 Manual de Instrucciones y procedimientos de Operaciones de procesamiento
13.2 Documentacin del Proceso de Inicio y de Otras Operaciones
13.3 Calendarizacin/programacin de Trabajos
13.4 Ejecucin de los Trabajos estndar programados
13.5 Continuidad de Procesamiento
13.6 Bitcoras de Operacin
13.7 Proteccin de Formas Especiales y dispositivos de salida
13.8 Operaciones Remotas
48
I.2.D.d. Monitoreo
14
Ibidem.
49
I.2.E. Modelos de madurez de COBIT
50
15
15
COBIT Objetivos de Control. IT Governance Institute. 3ra. Edicin. USA 1996. p. 127.
51
Tabla IX. Modelo genrico de madurez 16
0 No existente. Hay una completa falta de cualquier proceso de gobierno de TI identificable. La
organizacin no ha reconocido aun que hay aspectos que deben ser identificados y por lo tanto no
hay comunicacin al respecto.
.
1 Inicial / Ad Hoc. Hay evidencia de que la organizacin ha reconocido que existen aspectos del
gobierno de TI que deben ser considerados. Hay, sin embargo, procesos no estandarizados, pero
en su lugar, hay procedimientos ad hoc aplicados sobre un caso individual o sobre bases de caso a
caso. El enfoque Gerencial es catico y hay una espordica e inconsistente comunicacin sobre
aspectos y enfoques que deban ser considerados. Puede haber algn reconocimiento para utilizar
el valor de TI en el desempeo orientado al resultado de los procesos relacionados de la empresa.
No hay procesos de anlisis estndar. El monitoreo de TI est implementado en una forma reactiva
a incidentes que han causado algunas prdidas o apuros a la organizacin.
2 Repetible pero intuitiva. Hay una conciencia global sobre los aspectos del gobierno de TI. Las
actividades del gobierno de TI y los indicadores de desempeo estn en desarrollo, incluyendo la
planeacin de TI y los procesos de entrega y monitoreo. Como parte de los esfuerzos, las
actividades del gobierno de TI estn formalmente establecidas dentro del proceso de
administracin del cambio con el involucramiento activo de la alta gerencia. Procesos
seleccionados de TI son identificados para mejorar y/o controlar el ncleo de los procesos de la
empresa, son efectivamente planeados y monitoreados como si fueran inversiones y son derivados
en el contexto de un marco de referencia de la arquitectura de TI. La gerencia ha identificado los
mtodos y tcnicas bsicos de anlisis y medicin del gobierno de TI, sin embargo, el proceso no
ha sido adoptado a travs la organizacin. No hay entrenamiento y comunicacin sobre los
estndares de gobernabilidad y las responsabilidades son dejadas a los individuos. Los individuos
direccionan los procesos de gobernabilidad como si no fueran procesos y proyectos de TI. Las
herramientas de gobernabilidad son limitadas, escogidas e implementadas para lograr mtricas de
gobernabilidad pero puede que no se usen en toda su capacidad debido a la falta de experiencia
en su funcionalidad.
16
Ibidem. p. 21.
52
entendimiento de quien es el cliente y sus responsabilidades estn definidas y monitoreadas a
travs de acuerdos de nivel de servicio. Las responsabilidades son claras y el proceso de
propiedad est establecido. Los procesos de TI estn alineados con el negocio y con la estrategia
de TI. El mejoramiento de los procesos de TI est basado primariamente sobre un entendimiento
cuantitativo y por ello es posible monitorear y medir el cumplimiento con procesos y con mtrica de
procesos. Todos los responsables o propietarios de los procesos son advertidos sobre los riesgos,
la importancia de TI y las oportunidades que TI puede ofrecer. La Gerencia ha definido una
tolerancia bajo la cual los procesos deben operar. Se toman acciones en la mayora, pero no en
todos los casos, donde parece que los procesos no estn operando efectiva o eficientemente. Los
procesos se mejoran ocasionalmente y se refuerzan las mejores prcticas internas. Se estandariza
el uso de anlisis causa-efectos. Hay un limitado, primario y tctico uso de la tecnologa, basado en
tcnicas de madurez y reforzado con herramientas estndar. Hay involucramiento de todos los
expertos internos requeridos. El gobierno de TI involucra los procesos a todo lo ancho de la
empresa. Las actividades del gobierno de TI estn llegando a integrarse con los procesos de
gobierno de la empresa.
5 Optimizado. En esta fase hay un entendimiento avanzado y hacia futuro de los aspectos y
soluciones del gobierno de TI. El entrenamiento y las comunicaciones son soportadas por
conceptos y tcnicas de vanguardia. Los procesos han sido refinados a un nivel de mejores
prcticas externas basadas sobre resultados de mejoramiento continuo y modelos de madurez con
otras organizaciones. La implementacin de esas polticas han permitido a la organizacin, a la
gente y a los procesos que se adapten rpidamente y por completo a los requerimientos de
gobierno de TI. Todos los problemas y desviaciones son analizados de raz y con base en ese
anlisis se identifican e inician acciones eficientes y oportunas. La Tecnologa de Informacin es
utilizada de una manera extensiva y optimizada para automatizar el flujo de trabajo y proporcionar
herramientas para mejorar la calidad y la efectividad. Los riesgos y el retorno de los procesos de TI
son definidos, balanceados y comunicados a travs de toda la empresa. Se aprovechan expertos
externos y se utilizan benchmarks como guas. El monitoreo y el autoanlisis de riesgos y las
comunicaciones acerca de las expectativas del gobierno influencian la organizacin y hay un
ptimo uso de la tecnologa para soportar la medicin, el anlisis, las comunicaciones y el
entrenamiento. El gobierno de la empresa y el gobierno de TI estn estratgicamente conectados
empujando a los recursos humanos y financieros a incrementar la ventaja competitiva de la
empresa.
53
2 Existe conciencia
de la necesidad de
actuar
La gerencia
comunica los
problemas
generales
17
Ibidem. p. 23.
Polticas,
estndares y
procedimientos
Existen enfoques ad
hoc hacia los
procesos y las
prcticas
Los procesos y las
prcticas no estn
definidos
Surgen procesos
similares y comunes
pero en su mayora
son intuitivos y
parten de la
experiencia individual
Algunos aspectos de
los procesos son
repetibles debido a la
experiencia
individual, y puede
existir alguna
documentacin y
entendimiento
informal de las
polticas y
procedimientos
17
Herramientas y
automatizacin
Habilidades y
experiencia
Responsabilidad y
rendicin de cuentas
Establecimiento y
medicin de metas
Pueden existir
algunas
herramientas; el
uso se basa en
herramienta
estndar de
escritorio
No existe un
enfoque planeado
para el uso de
herramientas
Existen enfoques
comunes para el
uso de
herramientas pero
se basan en
soluciones
desarrolladas por
individuos clave.
Pueden haberse
adquirido
herramientas de
proveedores, pero
probablemente no
se aplican de
forma correcta o
incluso no usarse.
No existe definicin de
responsabilidades y de
rendicin de cuentas.
Las personas toman la
propiedad de los
problemas con base en
su propia iniciativa de
manera reactiva.
Se identifican los
requerimientos mnimos
de habilidades para
reas crticas
Se da entrenamiento
como respuesta a las
necesidades, en lugar
de hacerlo con base en
un plan acordado.
Existe entrenamiento
informal sobre la
marcha.
Un individuo asume su
responsabilidad, y por lo
general debe rendir
cuentas an si esto no
est acordado de modo
formal. Existe confusin
acerca de la
responsabilidad cuando
ocurren problemas y
una cultura de culpas
tiende a existir.
54
3 Existe el
entendimiento de
la necesidad de
actuar
La gerencia es
ms formal y
estructurada en su
comunicacin
Surge el uso de
buenas prcticas
Los procesos,
polticas y
procedimientos estn
definidos y
documentados para
todas las actividades
clave
4 Hay
entendimiento de
los requerimientos
completos
Se aplican
tcnicas maduras
de comunicacin y
se usan
herramientas
estndar de
comunicacin
El proceso es slido
y completo; se
aplican las mejores
prcticas internas.
Todos los aspectos
del proceso estn
documentados y son
repetibles. La
direccin ha
terminado y
aprobado las
polticas. Se adoptan
y siguen estndares
para el desarrollo y
mantenimiento de
procesos y
procedimientos.
Se definen y
documentan los
requerimientos y
habilidades para todas
las reas.
Existe un plan de
entrenamiento formal
pero todava se basa en
iniciativas individuales
La responsabilidad y la
rendicin de cuentas
sobre los procesos
estn definidas y se han
identificado a los
propietarios de los
procesos de negocio.
Es poco probable que el
propietario del proceso
tenga la autoridad plena
para ejercer las
responsabilidades.
Los requerimientos de
habilidades se
actualizan
rutinariamente para
todas las reas, se
asegura la capacidad
para todas las reas
crticas y se fomenta la
certificacin
Se aplican tcnicas
maduras de
entrenamiento de
acuerdo al plan y se
fomenta la comparticin
del conocimiento.
Todos los expertos
internos estn
involucrados y se
evala la efectividad del
plan de entrenamiento.
Las responsabilidades y
la rendicin de cuentas
sobre los procesos
estn aceptadas y
funcionan de modo que
se permite al propietario
del proceso descargar
sus responsabilidades.
Existe una cultura de
recompensas que activa
la accin positiva.
Se establecen algunas
mediciones y metas de
efectividad, pero no se
comunican, y existe una
relacin clara con las
metas del negocio.
Surgen los procesos de
medicin pero no se
aplican de modo
consistente. Se adoptan
ideas de un balanced
scorecard de TI as
como la aplicacin
intuitiva ocasional de
anlisis de causas raz.
La eficiencia y la
efectividad se miden y
comunican y estn
ligadas a las metas del
negocio y al plan
estratgico de TI. Se
implementa el balanced
scorecard de TI en
algunas reas, con
excepciones conocidas
por la gerencia y se est
estandarizando el
anlisis de causas raz.
Surge la mejora
continua.
55
5 Existe un
entendimiento
avanzado y a
futuro de los
requerimientos
Existe una
comunicacin
proactiva de los
problemas, basada
en las tendencias,
se aplican tcnicas
maduras de
comunicacin y se
usan herramientas
integradas de
comunicacin
Se aplican las
mejores prcticas y
estndares externos
La documentacin de
procesos ha
evolucionado a flujos
de trabajo
automatizados. Los
procesos, las
polticas y los
procedimientos estn
estandarizados e
integrados para
permitir una
administracin y
mejoras integrales
Se usan juegos de
herramientas
estandarizados a
lo largo de la
empresa.
Las herramientas
estn
completamente
integradas con
otras herramientas
relacionadas para
permitir un soporte
integral de los
procesos.
Se usan las
herramientas para
dar soporte a la
mejora del proceso
y detectar de forma
automtica las
excepciones de
control
La organizacin
fomenta de manera
formal la mejora
continua de las
habilidades, con base
en metas personales y
organizacionales
claramente definidas.
El entrenamiento y la
educacin dan soporte
a las mejores prcticas
externas y al uso de
conceptos y tcnicas de
vanguardia. La
comparticin del
conocimiento es parte
de la cultura
empresarial y se
implementan sistemas
basados en
conocimiento. Se usan
a expertos externos y a
lderes de la industria
como gua.
Los propietarios de
procesos tienen la
facultad de tomar
decisiones y medidas.
La aceptacin de la
responsabilidad ha
descendido en cascada
a travs de la
organizacin de forma
consistente.
Existe un sistema de
medicin de desempeo
integrado que liga al
desempeo de TI con
las metas del negocio
por la aplicacin global
del balanced scorecard
de TI. La direccin nota
las excepciones de
forma global y
consistente y el anlisis
de causas raz se aplica.
La mejora continua es
una forma de vida.
56
I.3. LOS ESTNDARES ACEPTADOS
I.3.A. COSO
57
Un resumen ejecutivo para la direccin, en el cual se explican de
manera general los principales conceptos del informe.
El marco de referencia, en el cual se presentan en detalle los 5
elementos bsicos del control interno que interactan entre ellos y
estn integrados en el proceso de direccin:
o Entorno de Control.
o Administracin de los riesgos.
o Actividades de Control.
o Informacin y comunicacin.
o Monitoreo.
58
de autoridades y responsabilidades, el desarrollo de los empleados, entre otras.
Los riesgos deben ser administrados tomando en cuenta que las empresas
se encuentran en un entorno dinmico y cambiante.
59
informacin interna como la externa.
I.3.A.e. Monitoreo
60
I.3.B. ITIL (Information Technology Infrastructure Library)
61
I.3.B.a. Soporte al Servicio
62
I.4 LA DIRECCIN DE TI DE GRUPO MODELO
Infraestructura.
Desarrollo de Aplicaciones.
63
actividades que se desarrollaban en el corporativo, lo que dio lugar a la necesidad
de iniciar a implantar un esquema de control interno que permitiera una
administracin adecuada de los recursos y servicios que se generan en la
direccin de TI.
64
65
66
Sarbanes-Oxley, lo cual podra darse por alguna de las siguientes situaciones:
Por el probable ingreso de Grupo Modelo a cotizar en la bolsa de
valores estadounidense.
Por la sociedad que se tiene con la compaa Anhausser-Bush, ya
que siendo una compaa estadounidense est obligada a apegarse
a la Ley SOx y cabra la posibilidad de que siendo socios se obligara
a Grupo Modelo a apegarse a dicha Ley.
Lo anterior se debe a que la ley Sox es muy general y slo proporciona las
pautas de lo que se deber hacer para tener un adecuado nivel de control interno
que garantice la transparencia de la informacin financiera. En este sentido,
67
COSO y COBIT son un poco ms particulares aunque solo dicen el qu y no el
cmo, es por esto, que estos marcos de referencia se pueden complementar con
otros estndares que indican el cmo.
68
existentes, stos fueron asignados a las diferentes reas de la direccin para que
se realizara el diseo de los documentos que cerraran las brechas detectadas
entre la situacin de la direccin de TI y los objetivos de control de COBIT.
69
DS
Desarrollo/Mant
enimiento
AI
AI
Infraestructura
DS
70
Innovacin y
Arquitectura
AI
DS
Seguridad
Informtica
DS
71
DS5.18 Administracin de las Llaves Criptogrficas
DS5.19 Prevencin, Deteccin y Correccin de Software
NO autorizado
DS5.2 Identificacin, Autentificacin y Acceso
DS5.3 Seguridad de Acceso a Datos en Lnea
DS5.5 Revisin General de Cuentas de Usuario
DS5.6 Control de Usuarios sobre Cuentas de Usuario
DS5.7 Vigilancia de Seguridad
DS5.8 Clasificacin de Datos
DS9.5 Software NO autorizado
Consultora:
Empresa de auditora que fue contratada para llevar a cabo las siguientes
actividades:
72
se haba establecido en los controles (polticas, procesos, procedimientos,
formatos, etc,) se estaba ejecutando adecuadamente.
Auditora de QA:
Los cuales son los responsables del diseo de los controles, tomando en
cuenta las brechas detectadas por la consultora y estableciendo y documentando
la forma de cerrar las mismas para asegurar que el objetivo de control se
cumpliera.
Calidad de Procesos:
73
COBIT) a travs de las siguientes actividades:
Gestin del plan de trabajo del proyecto en general y de las
remediaciones particulares de los controles.
Programar y gestionar las revisiones de diseo y efectividad de los
controles.
Llevar el control de la informacin generada por el proyecto y de la
actualizacin del indicador de desempeo del proyecto.
Administrar la documentacin generada por las diferentes reas para
su oficializacin y custodia.
Gestionar las mejoras a la documentacin vigente.
74
CAPITULO II
DESARROLLO DE LA INVESTIGACIN
75
Para realizar la representacin grfica de los resultados obtenidos, se utiliz
el software SPSS for Windows Ver 12.0.
SI/NO
Comentario
Comentarios Adicionales
76
Con esta entrevista se busc obtener informacin relevante sobre la
percepcin que tienen los directores, gerentes y coordinadores acerca del
proyecto de implementacin de los controles COBIT.
Comunicacin:
Diseo:
Implantacin:
Esta seccin fue diseada para obtener informacin acerca del estado
actual de la implantacin de los controles, saber si actualmente se est
77
monitoreando el cumplimiento de los mismos, si la estructura organizacional actual
es la adecuada para trabajar con el nivel de control que se requiere y determinar
cules son los principales obstculos que se han visualizado para la correcta
implantacin de los controles.
Estrategia:
Actitud / Percepcin:
78
II.1.B. Anlisis de datos e interpretacin de resultados
Valid
Director
Gerente
Coordinador
Total
Frequency
3
5
3
11
Percent
27.3
45.5
27.3
100.0
Valid Percent
27.3
45.5
27.3
100.0
Cumulative
Percent
27.3
72.7
100.0
79
II.1.B.a. Comunicacin
Valid
No Efectiva
Frequency
11
Percent
100.0
Valid Percent
100.0
Cumulative
Percent
100.0
80
comunicacin de las responsabilidades en todos los niveles de la estructura
organizacional de TI.
Valid
Inadecuado
Adecuado
Total
Frequency
7
4
11
Percent
63.6
36.4
100.0
Valid Percent
63.6
36.4
100.0
Cumulative
Percent
63.6
100.0
81
En esta grfica se puede observar que el 63.6% de los entrevistados
consideran que el diseo de los controles no es el adecuado. Un diseo adecuado
significa que el control se apega a la realidad operativa pero guardando siempre el
factor de control requerido por COBIT. Un diseo adecuado facilita la implantacin
del control y ayuda a que el cumplimiento del mismo sea ms sencillo, lo que
favorece al xito del control.
II.1.B.c. Implementacin
Valid
No se realiza
Se realiza
Total
Frequency
8
3
11
Percent
72.7
27.3
100.0
Valid Percent
72.7
27.3
100.0
Cumulative
Percent
72.7
100.0
82
83
Valid
Inadecuado
Adecuado
Total
Frequency
3
8
11
Percent
27.3
72.7
100.0
Valid Percent
27.3
72.7
100.0
Cumulative
Percent
27.3
100.0
84
es la adecuada para la operacin de los controles COBIT
Valid
Insuficiente
Suficiente
Total
Frequency
6
5
11
Percent
54.5
45.5
100.0
Valid Percent
54.5
45.5
100.0
Cumulative
Percent
54.5
100.0
85
86
que ha proporcionado los recursos suficientes y necesarios para la adecuada
implementacin de los mismos.
Valid
Carga Adicional
Apoyo
Total
Frequency
7
4
11
Percent
63.6
36.4
100.0
Valid Percent
63.6
36.4
100.0
Cumulative
Percent
63.6
100.0
87
Valid
No Conciente
Cociente
Total
Frequency
4
7
11
Percent
36.4
63.6
100.0
Valid Percent
36.4
63.6
100.0
Cumulative
Percent
36.4
100.0
88
89
II.1.C. Explicacin de la situacin actual
La situacin actual tambin fue dividida en las mismas reas que se han
venido manejando a lo largo del Captulo II para una mejor clasificacin de las
brechas detectadas.
Cabe hacer mencin que todas las opiniones levantadas fueron analizadas
de manera individual y posteriormente en su conjunto; todas aquellas que carecan
de un sustento y que parecan ms excusa que problema, no fueron tomadas en
cuenta para NO sesgar el resultado de la investigacin.
II.1.C.a. Comunicacin
90
An cuando al inicio del proyecto se realiz una serie de reuniones con las
personas que estaran involucradas en el diseo de los controles, procesos y
procedimientos, no se realiz una concientizacin general sobre el proyecto. Se
asumi que todo el personal saba de lo que se trataba el proyecto y sobre
trminos desconocidos para el personal de TI, tal es el caso de SOx, ITIL, COBIT,
etc.
Una vez que se inici con el proyecto, slo se involucr a muy pocas
personas de muy alto nivel (en la estructura organizacional); se tuvieron muchos
91
problemas para que dichas personas permearan la informacin hacia sus
colaboradores, por lo que muchos de ellos se vieron en la necesidad de buscar
otras alternativas para obtener la informacin clave sobre el proyecto y muchos
ms se quedaron al margen esperando que la informacin les fuera entregada a
manera de instruccin para seguirlo como se debera.
92
conozca los principales cambios que se van generando en cada proceso y por
ende, que siempre se estn queriendo seguir los controles como originalmente se
tenan definidos, por lo que al final de cuentas se cae en re-trabajos al tener que
adaptar lo que ya se haba hecho hacia las nuevas formas de trabajo o nuevos
formatos.
II.1.C.b. Diseo
Como parte de esa falta de involucramiento del personal clave, los diseos
de los controles fueron realizados a muy alto nivel y de manera compleja, por lo
que resultan difciles de entender y muchas veces de operar por parte del personal
que los debe llevar a cabo en el da a da.
93
prrafos anteriores, estos controles estn sujetos a un proceso de mejora continua
y adicionalmente, en la direccin de TI se han tenido muchos cambios que han
impactado tambin la manera de operar y por ende, se tienen desviaciones de los
controles que fueron diseados originalmente contra la situacin actual de la
direccin de TI.
II.1.C.c. Implantacin
En algunos casos para cumplir con los controles, algunas reas han
solicitado a sus colaboradores que se generen evidencias de las actividades
aunque no sea en los formatos oficiales que se han definido para cada caso. Esto
es debido a la supuesta complejidad que existe para el llenado de los formatos
94
que se tienen definidos; sin embargo, esta es una de las principales excusas que
se han manifestado desde el principio del proyecto. Si bien existe alguna
complejidad para el llenado de los formatos, la falta de cumplimiento ha sido ms
bien consecuencia de que an no se consigue planificar los proyectos tomando en
cuenta que todos ellos requieren de cierta documentacin (evidencia) que es
necesario generar para comprobar el cumplimiento de los controles.
Algunas de las reas que se estn proponiendo trabajar bajo los esquemas
de control establecidos, son visualizadas por el resto de las reas como
obstculos y no como reas que estn tratando de generar valor al llevar al pie de
la letra los controles establecidos.
95
Se percibe tambin que la estructura organizacional de la direccin de TI no
es la adecuada para la correcta implementacin de los controles, ya que en
muchos de los casos, la postura de las reas es rgida para responder a los
cambios que se han tenido en la direccin de TI.
96
El personal se encuentra demasiado involucrado en la operacin del
da a da.
Se ha trabajado de la misma forma (sin control) durante mucho
tiempo, por lo que ahora se tiene un problema de resistencia al
cambio.
En algunos casos no se tiene un diseo del todo adecuado en los
controles.
En la mayora de los casos, el personal tiene claro que se deben cumplir los
controles de manera adecuada pero les cuesta trabajo adaptarse a este esquema
de trabajo bajo control.
97
El medio ambiente de urgencia de los usuarios del negocio, lo cual
no permite que los proyectos sean programados con los tiempos
adecuados para la generacin de los controles.
Es necesaria una comunicacin efectiva que garantice que los objetivos, las
implicaciones y las consecuencias de la falta de cumplimiento a los controles son
comprendidos por todos los colaboradores de la direccin de TI.
98
cuestin de voluntad y buenos deseos; por el contrario, an y cuando no se est
muy de acuerdo con ellos, se debern cumplir al pie de la letra.
99
rea de Calidad de Procesos, quien es el rea responsable de la coordinacin del
proyecto de implantacin de los controles COBIT.
II.3.A. Comunicacin
en
cuanto
la
comunicacin
se
emitieron
las
siguientes
100
referencia que se utilizan para el cumplimiento de la ley Sox y su aplicacin
en la direccin de TI (COSO, COBIT, ITIL, etc.)
Objetivos y alcance del proyecto de cumplimiento a los controles COBIT.Donde se explique a detalle lo que se espera del proyecto y como cada
rea participa en l.
101
Con la finalidad de que cada colaborador identifique los procesos en los que
participa y como impacta en los dems el que l deje de hacer las cosas, es
necesario generar los mapas de los procesos individuales y su interrelacin con el
resto de los procesos (mapa general de procesos).
Una vez que se hayan generado dichos mapas, ser necesario realizar
sesiones de retroalimentacin con los participantes de cada proceso. En estas
sesiones se explicarn cada uno de los procesos y de manera general el mapa
general de procesos.
Para ayudar al personal a conocer cules son los controles puntuales que
deber cumplir y los documentos que deber conocer, se generar un registro de
102
los documentos que aplican por persona.
Mapas de procesos.
Procesos.
Procedimientos
Formatos
Registros
Estndares
Mejores prcticas
Guas
Otros documentos (documentos diferentes a los anteriores pero que
ser necesario que se conozcan).
Este registro ser seccionado por rea y en cada una de ellas se tendr a
todos los integrantes de la misma y los documentos que deber conocer cada uno
de ellos.
103
Para asegurar que los cambios a los documentos son comprendidos por
todos los involucrados, ahora en lugar de generar un comunicado dando a conocer
los cambios a los documentos, se generarn sesiones de retroalimentacin, en las
cuales se explique de manera detallada los cambios en dichos documentos a
todos los involucrados en ellos. Estas sesiones se realizarn de manera presencial
en un aula.
104
Para lograr la sensibilidad del usuario del negocio sobre el esfuerzo que
est realizando la direccin de TI para la implantacin de un esquema de control
interno adecuado, se emitir un comunicado dirigido a todos los usuarios de TI, en
el cual se d a conocer de manera general:
peridicas,
estas
evaluaciones
se
realizarn
durante
las
105
II.3.B. Diseo
Cabe mencionar que siempre que exista algn cambio en las condiciones
de la direccin de TI, se debern realizar reuniones para determinar el impacto de
dichos cambios sobre los controles que se tengan implementados en ese
momento.
106
II.3.C. Implementacin
107
Tablero operativo de cumplimiento a los controles:
108
Apego a procesos.
Eficiencia de procesos.
Calidad de software.
109
La informacin se almacena en un solo repositorio de datos.
Se cuenta con un control de acceso, lo que permite que cada
persona pueda consultar nicamente los documentos a los que tiene
derecho de consultar.
Se cuenta con un flujo de autorizacin y publicacin de informacin
que facilita dicho proceso al hacerse a travs de la misma
herramienta.
Se pueden obtener de manera automtica los registros de
documentos que aplican por persona.
Cuando surgen cambios de nomenclaturas, formatos, etc., dichos
cambios slo se generan una vez en las plantillas y los documentos
basados en las mismas heredan los cambios de forma automtica.
C O N C L U S I O N E S
111
Al trmino del presente trabajo de investigacin se observ que las
principales problemticas para la implantacin adecuada de los controles COBIT
que ayudarn al cumplimiento de la Ley SOx a la direccin de TI de Grupo Modelo
son:
El 63% del personal opina que el diseo de los controles no ha sido del todo
adecuado, lo que ha trado como consecuencia que los mismos no sean
implementados fcilmente como parte de la operacin normal de la direccin.
112
documento pero sin llevarse los vicios que ya tena la operacin. Si actualmente
algunos controles no se adaptan a la operacin, ha sido tambin parte de la
evolucin que ha venido teniendo la direccin de TI, por lo que ahora ser
necesario retomar aquellos que han tenido cambios significativos para adecuarlos
a la operacin actual.
Si bien existen varias reas de oportunidad para lograr los objetivos del
proyecto, el camino no es del todo difcil, ya que se cuenta con los principales
recursos para llevar a cabo el cambio en la forma en la que se ha venido llevando
el proyecto; de tal suerte, que permita una mejor administracin del mismo y un
cumplimiento adecuado; sin embargo, se tendr que trabajar muy intensamente
para disminuir la resistencia al cambio que an se tiene en la direccin de TI de
Grupo Modelo.
113
Algo que tambin es sumamente importante, es que para todos los
controles, ser necesario asignar de manera adecuada la responsabilidad, as
como los recursos necesarios para garantizar el xito de los mismos.
B I B L I O G R A F A
115
de
116
Deloitte. (s.f.). Sarbanes-Oxley. Recuperado el 2007, de www.deloitte.com:
http://www.deloitte.com/dtt/section_node/0,1042,sid%253D96325,00.html
Dugmore, J. a. (s.f.). ISO/IEC 20000 and ITIL - The Difference Explained by Jenny
Dugmore and Alison Holt. Recuperado el 2007, de www.best-managementpractice.com:
http://www.best-management-practice.com/KnowledgeCentre/Guest-Writer/ITIL/?DI=571307
Ezcobit.
(s.f.).
Overview.
Obtenido
http://www.ezcobit.com/UsingCobit/index.html
de
www.ezcobit.com:
de
de
www.foxit.net:
www.foxit.net:
de
www.foxit.net:
117
FoxIT. (s.f.). IT Governance. Recuperado el 2007,
http://www.foxit.net/asp/Frames_Set.asp?go2=BS15000
FoxIT. (s.f.). Preparing for ISO20000. Recuperado
http://www.foxit.net/asp/Frames_Set.asp?go2=BS15000:
http://www.foxit.net/asp/Frames_Set.asp?go2=BS15000
de
www.foxit.net:
el
2007,
de
de
Recuperado el 2007, de
IT Governance Institute. (1996). COBIT Objetivos de Control 3.0 (3ra ed.). USA: IT
Governance Institute.
IT Governance Institute. (s.f.). COBIT Reunin Informativa del consejo sobre la
gobernabilidad
TI.
Recuperado
el
2007,
de
www.itgi.org:
http://www.itgi.org/template_ITGI.cfm?template=/ContentManagement/ContentDisp
lay.cfm&ContentID=33303
118
IT Governance Institute EE. UU. (Junio de 2006). IT Governance Institute.
Obtenido de www.itgi.org: www.itgi.org
IT Governance Institute. (2004). IT Control objectives for Sarbanes-Oxley. IL, USA:
IT Governance Institute.
IT Governance Institute. (2006). IT Control Objectives for Sarbanes-Oxley: The
Role of IT in the Design and Implementation of Internal Control Over Financial
Reporting,
2nd
Edition.
Recuperado
el
2007,
de
www.isaca.org:
http://www.isaca.org/Template.cfm?Section=Home&CONTENTID=32621&TEMPL
ATE=/ContentManagement/ContentDisplay.cfm
IT Governance Institute. (2007). ITASSURANCEGUIDE:
Recuperado el 2007, de www.itgi.org: http://www.itgi.org
USINGCOBIT.
IT Governance Institute. (2006). Mapping of SEIs CMM for Software With COBIT
4.0. Recuperado el 2007, de www.itgi.org: http://www.itgi.org
IT Governance Institute. (Julio de 2000). The ITGovernance Institute is pleased
to offer you this complimentary download of COBIT. Recuperado el 2007, de
www.itgi.org:
http://www.isaca.org/ContentManagement/ContentDisplay.cfm?ContentID=33925
Iturbide, F. (2005). Ley Sarbanes-Oxley Act (SOX, SOA). Recuperado el 2007, de
www.cybsec.com:
http://web.unvi.utp.ac.pa/bibliotecavirtual/files/LEY_SOX_314.pdf
Jaimes, C. (Julio de 2004). El nuevo rol del CIO. Information Week , 6-7.
Kalendae. (s.f.). BS15000 and ISO20000 Frequently Asked Question (FAQs).
Recuperado
el
2007,
de
kalendae.com.mx:
http://www.kalendae.com.mx/index.php?option=com_content&task=view&id=43&It
emid=20
kalendae. (s.f.). Gobernabilidad Modelo. Recuperado el 2007, de
www.kalendae.com.mx:
URL:
http://www.kalendae.com.mx/index.php?option=com_content&task=view&id=38&It
emid=197
Kalendae. (s.f.). Gobernabilidad-Metodologa. Recuperado el 2007, de
www.kalendae.com.mx:
URL:
http://www.kalendae.com.mx/index.php?option=com_content&task=view&id=39&It
emid=246
Kalendae. (s.f.). Gobernabilidad-Tecnologa de la informacin. Obtenido de
www.kalendae.com.mx:
http://www.kalendae.com.mx/index.php?option=com_content&task=view&id=34&It
emid=196
119
Kalendae. (s.f.). ITIL. Recuperado el 2007, de www.kalendae.com.mx:
http://www.kalendae.com.mx/index.php?option=com_content&task=view&id=35&It
emid=202
kpmg. (s.f.). Ley Sabanes-Oxley. Recuperado el 2007, de www.kpmg.com.mx:
http://www.kpmg.com.mx/gobiernocorporativo/html/rrr_sox.htm
La web de Auditoria. (s.f.). El especial Sarbanes Oxley. Recuperado el 2007, de
www.lawebdeauditoria.com:
http://212.9.83.4/auditoria/home.nsf/SOX_pral?OpenForm
La web de Auditoria. (s.f.). El informe COSO. Recuperado el 2007, de
www.lawebdeauditoria.com:
http://212.9.83.4/auditoria/home.nsf/COSO_1?OpenPage
La web de auditora. (s.f.). El paso de la SOX en la organizacin. Recuperado el
2007,
de
www.lawebdeauditoria.com:
http://www.auditoria.com.mx/noticias/boletin/2005/0509.htm
Marn de Guerrero, M. A. (02 de Julio de 2002). Nuevos conceptos de control
interno
informe
COSO.
Recuperado
el
2007,
de
www.iicau.cl:
http://www.iicau.cl/SAC/Descargas/COSO.pdf
Marlin, S. (Mayo de 2005). Las Ventajas de Sarbanes-Oxley. Information Week ,
19-23.
Palacios, J. (14 de Mayo de 2007). Entrevista con Sharon Taylor, Arquitecto en
Jefe de ITIL v3. Recuperado el Agosto de 2007, de www.sg.com.mx:
http://www.sg.com.mx/content/view/249/
Paz, O. (10 de Enero de 2006). ITIL: Mejores prcticas para gestionar los servicios
de tecnologas de informacin. Recuperado el 2007, de www.channelplanet.com:
http://www.channelplanet.com/index.php?idcategoria=15742
Philips, R. a. (s.f.). Bridging the Gap between Project and Service Management by
FGI's Ruth Phillips and Angelina Lukehurst. Recuperado el 2007, de www.bestmanagement-practice.com:
http://www.best-managementpractice.com/Knowledge-Centre/Guest-Writer/ITIL/?DI=571308
Picas, R. (s.f.). El rol del gerente de sistemas (CIO). Recuperado el 2007, de
www.logistec.cl: http://www.logistec.cl/noticia.php?noticia_id=1370&categoria_id=6
Picas, R. (s.f.). Gerente equipo gerencial en el uso de la tecnoliga. Recuperado el
Septiembre
de
2007,
de
www.logistec.cl:
http://www.logistec.cl/noticia.php?noticia_id=1320&categoria_id=6
Rezzoagli, L. C. (2005). Manual para la elaboracin de tesis (1 Edicin ed.).
Durango, Mxico: Fomento Educativo y Cultural Francisco de Ibarra, A.C.
120
Santiago, E. (17 de Mayo de 2006). Importancia y retos de la gobernabilidad de
tecnologa.
Recuperado
el
2007,
de
ww.channelplanet.com:
http://www.channelplanet.com/?idcategoria=1634
SAS. (s.f.). Sarbanes-Oxley Compliance. Recuperado el 2007, de www.sas.com:
http://www.sas.com/offices/latinamerica/chile/solutions/financial/sox/
SEC. (s.f.). La SEC en Espaol: Informacin para los inversionistas. Recuperado
el 2007, de www.sec.gov: http://www.sec.gov/investor/espanol/quehacemos.htm
SEC. (2002). Sarbanes Oxley Act of 2002. USA: SEC.
SEC. (s.f.). Sobre el
http://www.secbd.org/
SEC.
Recuperado
el
2007,
de
www.secbd.org/:
121
Zayas, J. (2006). ITIL. Recuperado
http://www.inlac.org/documentos/28-4.pdf
el
2007,
de
www.inlac.org:
ANEXOS
A-1
A.
ANEXO A. DEFINICIN DE TRMINOS
COBIT
Objetivos de Control para la informacin y Tecnologas relacionadas
(COBIT, en ingls: Control Objectives for Information and related Technology) es
un conjunto de mejores prcticas para el manejo de informacin creado por la
Asociacin para la Auditora y Control de Sistemas de Informacin (ISACA, en
ingls: Information Systems Audit and Control Association), y el Instituto de
Administracin de las Tecnologas de la Informacin (ITGI, en ingls: IT
Governance Institute) en 1992.
A-2
e-learning
De Electronic Learning Anglicismo,, Neologismo. Aprendizaje asistido por
tecnologas de la informacin. El e-Learning fomenta el uso intensivo de las TIC
facilitando la creacin, adopcin y distribucin de contenidos, as como la
adaptacin del ritmo de aprendizaje y la disponibilidad de las herramientas de
aprendizaje independientemente de lmites horarios o geogrficos. Permitiendo al
alumno intercambiar opiniones y aportes a travs de las Tecnologas de
Informacin y Comunicacin.
Gobernabilidad de TI
Una estructura de relaciones y procesos para dirigir y controlar la empresa
con el objeto de alcanzar los objetivos de la empresa y aadir valor mientras se
balancean los riesgos versus el retorno sobre TI y sus procesos.
ISO:27001
El estndar para la seguridad de la informacin ISO/IEC 27001 (Information
technology - Security techniques - Information security management systems Requirements) fue aprobado y publicado como estndar internacional en Octubre
de 2005 por International Organization for Standardization y por la comisin
International Electrotechnical Commission.
Especifica los requisitos necesarios para establecer, implantar, mantener y
mejorar un Sistema de Gestin de la Seguridad de la Informacin (SGSI) segn el
conocido Ciclo de Deming: PDCA - acrnimo de Plan, Do, Check, Act (Planificar,
Hacer, Verificar, Actuar). Es consistente con las mejores prcticas descritas en
ISO/IEC 17799 (actual ISO/IEC 27002) y tiene su origen en la revisin de la norma
britnica British Standard BS 7799-2:2002.
A-3
La Sarbanes-Oxley Act of 2002, Pub. L. No. 107-204, 116 Stat. 745 (30 de
julio de 2002), es una ley de Estados Unidos tambin conocida como el Acta de
Reforma de la Contabilidad Pblica de Empresas y de Proteccin al Inversionista.
Tambin es llamada SOx o SarbOx.