Monografias.com > Administración y Finanzas > Contabilidad
Descargar Imprimir Comentar Ver trabajos relacionados

Trabajo de Auditoria: Normas COBIT




Enviado por ivanasrojas



    Índice

    2. COBIT
    3. Planificación y
    Organización

    4. Adquisición e
    implementación

    5. Prestación y
    Soporte

    6. Monitoreo
    7. Aplicación de las Normas
    COBIT

    8. Apéndice I
    9. Apéndice II

    1.
    Introducción

    El siguiente trabajo tiene la finalidad de exponer las
    Normas COBIT
    de manera simple y comprensible. Para ello, además de
    realizar un desarrollo
    teórico de las mismas, incluimos un análisis de la situación actual del
    Departamento de Recursos
    Humanos de la
    organización INEXEI SCHOOL, explicamos si sus procedimientos
    respetan o no la norma, e indicamos qué debería
    hacerse para que aplique y cumpla con un determinado proceso de la
    norma.

    El cuerpo del trabajo esta dividido en dos partes
    principales las cuales reflejan las Características y Estructura de
    COBIT y el Relevamiento y Aplicación de las Normas COBIT
    en la Escuela.
    Además, incluimos dos Apéndices: en el
    apéndice I indicamos los componentes de COBIT como
    Producto y en
    el apéndice II incorporamos la lista completa de Dominios,
    Procesos y
    Objetivos de
    Control.

    Para Finalizar, adjuntamos con esta monografía
    un disquette que contiene el Resumen Ejecutivo (2ª
    Edición) de la norma y las Guías de Auditoría de la misma, las cuales pueden
    ser utilizadas por nuestros compañeros si desean
    profundizar más en el estudio de COBIT, y que en este
    trabajo son desarrolladas brevemente para no hacer tediosa la
    explicación de la norma y por razones de espacio
    obvias.

    2. COBIT (Objetivos de
    Control para
    Tecnología
    de Información y Tecnologías
    relacionadas)

    COBIT, lanzado en 1996, es una herramienta de gobierno de TI
    que ha cambiado la forma en que trabajan los profesionales de TI.
    Vinculando tecnología informática y prácticas de control,
    COBIT consolida y armoniza estándares de fuentes
    globales prominentes en un recurso crítico para la
    gerencia, los
    profesionales de control y los auditores.

    COBIT se aplica a los sistemas de
    información de toda la empresa,
    incluyendo las computadoras
    personales, mini computadoras y
    ambientes distribuidos. Esta basado en la filosofía de que
    los recursos de TI
    necesitan ser administrados por un conjunto de procesos
    naturalmente agrupados para proveer la información pertinente y confiable que
    requiere una organización para lograr sus objetivos.
    Misión:
    Investigar, desarrollar, publicar y promover un conjunto
    internacional y actualizado de objetivos de control para tecnología
    de información que sea de uso cotidiano para gerentes
    y auditores

    Usuarios:

    • La Gerencia:
      para apoyar sus decisiones de inversión en TI y control sobre el
      rendimiento de las mismas, analizar el costo
      beneficio del control.
    • Los Usuarios Finales: quienes obtienen una
      garantía sobre la seguridad y
      el control de los productos
      que adquieren interna y externamente.
    • Los Auditores: para soportar sus opiniones sobre los
      controles de los proyectos de
      TI, su impacto en la
      organización y determinar el control mínimo
      requerido.
    • Los Responsables de TI: para identificar los
      controles que requieren en sus áreas.

    También puede ser utilizado dentro de las
    empresas por
    el responsable de un proceso de
    negocio en su responsabilidad de controlar los aspectos de
    información del proceso, y por todos
    aquellos con responsabilidades en el campo de la TI en las
    empresas.

    Características:

    • Orientado al negocio
    • Alineado con estándares y regulaciones "de
      facto"
    • Basado en una revisión crítica y
      analítica de las tareas y actividades en TI
    • Alineado con estándares de control y auditoria
      (COSO, IFAC, IIA, ISACA, AICPA)

    Principios:
    El enfoque del control en TI se lleva a cabo visualizando la
    información necesaria para dar soporte a los procesos de
    negocio y considerando a la información como el resultado
    de la aplicación combinada de recursos
    relacionados con las TI que deben ser administrados por procesos
    de TI.

    • Requerimientos de la información del
      negocio

    Para alcanzar los requerimientos de negocio, la
    información necesita satisfacer ciertos
    criterios:

    Requerimientos de Calidad: Calidad, Costo y
    Entrega.
    Requerimientos Fiduciarios: Efectividad y Eficiencia
    operacional, Confiabilidad de los reportes financieros y
    Cumplimiento le leyes y
    regulaciones.

    • Efectividad: La información debe ser relevante
      y pertinente para los procesos del negocio y debe ser
      proporcionada en forma oportuna, correcta, consistente y
      utilizable.
    • Eficiencia: Se debe proveer información
      mediante el empleo
      óptimo de los recursos (la forma más productiva y
      económica).
    • Confiabilidad: proveer la información
      apropiada para que la
      administración tome las decisiones adecuadas para
      manejar la empresa y
      cumplir con sus responsabilidades.
    • Cumplimiento: de las leyes,
      regulaciones y compromisos contractuales con los cuales
      está comprometida la
      empresa.

    Requerimientos de Seguridad:
    Confidencialidad, Integridad y Disponibilidad

    • Confidencialidad: Protección de la
      información sensible contra divulgación no
      autorizada
    • Integridad: Refiere a lo exacto y completo de la
      información así como a su validez de acuerdo con
      las expectativas de la empresa.
    • Disponibilidad: accesibilidad a la información
      cuando sea requerida por los procesos del negocio y la
      salvaguarda de los recursos y capacidades asociadas a la
      misma.
    • Recursos de TI

    En COBIT se establecen los siguientes recursos en TI
    necesarios para alcanzar los objetivos de negocio:

    • Datos: Todos los objetos de información.
      Considera información interna y externa, estructurada o
      no, gráficas, sonidos, etc.
    • Aplicaciones: entendido como los sistemas de
      información, que integran procedimientos
      manuales y
      sistematizados.
    • Tecnología: incluye hardware y
      software
      básico, sistemas
      operativos, sistemas de
      administración de bases de datos,
      de redes, telecomunicaciones, multimedia,
      etc.
    • Instalaciones: Incluye los recursos necesarios para
      alojar y dar soporte a los sistemas de
      información.
    • Recurso Humano: Por la habilidad, conciencia y
      productividad del personal para
      planear, adquirir, prestar servicios,
      dar soporte y monitorear los sistemas de
      Información.
      • Procesos de TI

    La estructura de
    COBIT se define a partir de una premisa simple y
    pragmática: "Los recursos de las Tecnologías de la
    Información (TI) se han de gestionar mediante un conjunto
    de procesos agrupados de forma natural para que proporcionen la
    información que la empresa necesita para alcanzar sus
    objetivos".

    COBIT se divide en tres niveles:
    Dominios
    Procesos
    Actividades
    Dominios: Agrupación natural de procesos, normalmente
    corresponden a un dominio o una
    responsabilidad organizacional.
    Procesos: Conjuntos o
    series de actividades unidas con delimitación o cortes de
    control.
    Actividades: Acciones
    requeridas para lograr un resultado medible.
    Se definen 34 objetivos de control generales, uno para cada uno
    de los procesos de las TI. Estos procesos están agrupados
    en cuatro grandes dominios que se detallan a continuación
    junto con sus procesos y una descripción general de las actividades de
    cada uno:

    3. Dominio: Planificación y
    organización

    Este dominio cubre la estrategia y las
    tácticas y se refiere a la identificación de la
    forma en que la tecnología de
    información puede contribuir de la mejor manera al logro
    de los objetivos de negocio. Además, la consecución
    de la visión estratégica necesita ser planeada,
    comunicada y administrada desde diferentes perspectivas.
    Finalmente, deberán establecerse una organización y una infraestructura
    tecnológica apropiadas.

    Procesos:

    • PO1 Definición de un plan
      Estratégico

    Objetivo: Lograr un balance óptimo entre las
    oportunidades de tecnología de información y los
    requerimientos de TI de negocio, para asegurar sus logros
    futuros.
    Su realización se concreta a través un proceso de
    planeación estratégica emprendido en
    intervalos regulares dando lugar a planes a largo plazo, los que
    deberán ser traducidos periódicamente en planes
    operacionales estableciendo metas claras y concretas a corto
    plazo, teniendo en cuenta:

    • La definición de objetivos de negocio y
      necesidades de TI, la alta gerencia será la responsable
      de desarrollar e implementar planes a largo y corto plazo que
      satisfagan la misión y
      las metas generales de la organización.
    • El inventario de
      soluciones
      tecnológicas e infraestructura actual, se deberá
      evaluar los sistemas existentes en términos de: nivel de
      automatización de negocio, funcionalidad,
      estabilidad, complejidad, costo y fortalezas y debilidades, con
      el propósito de determinar el nivel de soporte que
      reciben los requerimientos del negocio de los sistemas
      existentes.
    • Los cambios organizacionales, se deberá
      asegurar que se establezca un proceso para modificar
      oportunamente y con precisión el plan a largo
      plazo de tecnología de información con el fin de
      adaptar los cambios al plan a largo plazo de la
      organización y los cambios en las condiciones de la
      TI
    • Estudios de factibilidad
      oportunos, para que se puedan obtener resultados
      efectivos
    • PO2 Definición de la Arquitectura de
      Información

    Objetivo: Satisfacer los requerimientos de negocio,
    organizando de la mejor manera posible los sistemas de
    información, a través de la creación y
    mantenimiento
    de un modelo de
    información de negocio, asegurándose que se definan
    los sistemas apropiados para optimizar la utilización de
    esta información, tomando en
    consideración:

    • La documentación deberá conservar
      consistencia con las necesidades permitiendo a los responsables
      llevar a cabo sus tareas eficiente y oportunamente.
    • El diccionario de
      datos, el cual incorporara las reglas de sintaxis de
      datos de la
      organización y deberá ser continuamente
      actualizado.
    • La propiedad de
      la información y la clasificación de severidad
      con el que se establecerá un marco de referencia de
      clasificación general relativo a la ubicación de
      datos en clases
      de información.
    • PO3 Determinación de la dirección tecnológica

    Objetivo: Aprovechar al máximo de la
    tecnología disponible o tecnología emergente,
    satisfaciendo los requerimientos de negocio, a través de
    la creación y mantenimiento
    de un plan de infraestructura tecnológica, tomando en
    consideración:

    • La capacidad de adecuación y evolución de la infraestructura actual,
      que deberá concordar con los planes a largo y corto
      plazo de tecnología de información y debiendo
      abarcar aspectos tales como arquitectura de
      sistemas, dirección tecnológica y estrategias de
      migración.
    • El monitoreo de desarrollos tecnológicos que
      serán tomados en consideración durante el
      desarrollo y
      mantenimiento del plan de infraestructura
      tecnológica.
    • Las contingencias (por ejemplo, redundancia, resistencia,
      capacidad de adecuación y evolución de la infraestructura), con lo
      que se evaluará sistemáticamente el plan de
      infraestructura tecnológica.
    • Planes de adquisición, los cuales
      deberán reflejar las necesidades identificadas en el
      plan de infraestructura tecnológica.
      • PO4 Definición de la organización y
        de las relaciones de TI

    Objetivo: Prestación de servicios de
    TI
    Esto se realiza por medio de una organización conveniente
    en número y habilidades, con tareas y responsabilidades
    definidas y comunicadas, teniendo en cuenta:

    • El comité de dirección el cual se
      encargara de vigilar la función
      de servicios de información y sus
      actividades.
    • Propiedad,
      custodia, la Gerencia deberá crear una estructura para
      designar formalmente a los propietarios y custodios de los
      datos. Sus funciones y
      responsabilidades deberán estar claramente
      definidas.
    • Supervisión, para asegurar que las funciones y
      responsabilidades sean llevadas a cabo
      apropiadamente
    • Segregación de funciones, con la que
      se evitará la posibilidad de que un solo individuo
      resuelva un proceso crítico.
    • Los roles y responsabilidades, la gerencia
      deberá asegurarse de que todo el personal
      deberá conocer y contar con la autoridad
      suficiente para llevar a cabo las funciones y responsabilidades
      que le hayan sido asignadas
    • La descripción
      de puestos, deberá delinear claramente tanto la
      responsabilidad como la autoridad,
      incluyendo las definiciones de las habilidades y la experiencia
      necesarias para el puesto, y ser adecuadas para su
      utilización en evaluaciones de desempeño.
    • Los niveles de asignación de personal,
      deberán hacerse evaluaciones de requerimientos
      regularmente para asegurar para asegurar una asignación
      de personal adecuada en el presente y en el futuro.
    • El personal clave, la gerencia deberá definir
      e identificar al personal clave de tecnología de
      información.
      • PO5 Manejo de la inversión

    Objetivo: tiene como finalidad la satisfacción de
    los requerimientos de negocio, asegurando el financiamiento
    y el control de desembolsos de recursos financieros.

    Su realización se concreta a través
    presupuestos
    periódicos sobre inversiones y
    operaciones
    establecidas y aprobados por el negocio, teniendo en
    cuenta:

    • Las alternativas de financiamiento, se deberán investigar
      diferentes alternativas de financiamiento.
    • El control del gasto real, se deberá tomar
      como base el sistema de
      contabilidad
      de la organización, mismo que deberá registrar,
      procesar y reportar rutinariamente los costos
      asociados con las actividades de la función
      de servicios de información
    • La justificación de costos y
      beneficios, deberá establecerse un control gerencial que
      garantice que la prestación de servicios por parte de la
      función de servicios de información se justifique
      en cuanto a costos. Los beneficios derivados de las actividades
      de TI deberán ser analizados en forma
      similar.
      • PO6 Comunicación de la dirección y
        aspiraciones de la gerencia

    Objetivo: Asegura el
    conocimiento y comprensión de los usuarios sobre las
    aspiraciones del alto nivel (gerencia), se concreta a
    través de políticas
    establecidas y transmitidas a la comunidad de
    usuarios, necesitándose para esto estándares para
    traducir las opciones estratégicas en reglas de usuario
    prácticas y utilizables. Toma en cuenta:

    • Los código de ética /
      conducta, el
      cumplimiento de las reglas de ética,
      conducta,
      seguridad y estándares de control
      interno deberá ser establecido por la Alta Gerencia
      y promoverse a través del ejemplo.
    • Las directrices tecnológicas
    • El cumplimiento, la Gerencia deberá
      también asegurar y monitorear la duración de la
      implementación de sus políticas.
    • El compromiso con la calidad, la Gerencia de la
      función de servicios de información deberá
      definir, documentar y mantener una filosofía de calidad,
      debiendo ser comprendidos, implementados y mantenidos por todos
      los niveles de la función de servicios de
      información.
    • Las políticas de seguridad y control
      interno, la alta gerencia deberá asegurar que esta
      política
      de seguridad y de control interno especifique el
      propósito y los objetivos, la estructura gerencial, el
      alcance dentro de la organización, la definición
      y asignación de responsabilidades para su
      implementación a todos los niveles y la
      definición de multas y de acciones
      disciplinarias asociadas con la falta de cumplimiento de estas
      políticas.
      • PO7 Administración de recursos
        humanos

    Objetivo: Maximizar las contribuciones del personal a
    los procesos de TI, satisfaciendo así los requerimientos
    de negocio, a través de técnicas
    sólidas para administración
    de personal, tomando en consideración:

    • El reclutamiento y promoción, deberá tener como base
      criterios objetivos, considerando factores como la
      educación, la experiencia y la
      responsabilidad.
    • Los requerimientos de calificaciones, el personal
      deberá estar calificado, tomando como base una educación, entrenamiento y
      o experiencia apropiados, según se requiera
    • La capacitación, los programas de
      educación y entrenamiento
      estarán dirigidos a incrementar los niveles de habilidad
      técnica y administrativa del personal.
    • La evaluación objetiva y medible del
      desempeño, se deberá asegurar que
      dichas evaluaciones sean llevada a cabo regularmente
      según los estándares establecidos y las
      responsabilidades específicas del puesto. Los empleados
      deberán recibir asesoría sobre su
      desempeño o su conducta cuando esto sea
      apropiado.
      • PO8 Asegurar el cumplimiento con los
        requerimientos Externos

    Objetivo: Cumplir con obligaciones
    legales, regulatorias y contractuales

    Para ello se realiza una identificación y
    análisis de los requerimientos externos en
    cuanto a su impacto en TI, llevando a cabo las medidas apropiadas
    para cumplir con ellos y se toma en
    consideración:

    • Definición y mantenimiento de procedimientos
      para la revisión de requerimientos externos, para la
      coordinación de estas actividades y para
      el cumplimiento continuo de los mismos.
    • Leyes, regulaciones y contratos
    • Revisiones regulares en cuanto a cambios
    • Búsqueda de asistencia legal y
      modificaciones
    • Seguridad y ergonomía con respecto al ambiente de
      trabajo de los usuarios y el personal de la función de
      servicios de información.
    • Privacidad
    • Propiedad intelectual
    • Flujo de datos externos y criptografía
      • PO9 Evaluación de riesgos

    Objetivo: Asegurar el logro de los objetivos de TI y
    responder a las amenazas hacia la provisión de servicios
    de TI

    Para ello se logra la participación de la propia
    organización en la identificación de riesgos de TI y
    en el análisis de impacto, tomando medidas
    económicas para mitigar los riesgos y se toma
    en consideración:

    • Identificación, definición y
      actualización regular de los diferentes tipos de riesgos
      de TI (por ej.: tecnológicos, de seguridad, etc.) de
      manera de que se pueda determinar la manera en la que los
      riesgos deben ser manejados a un nivel aceptable.
    • Definición de alcances, limites de los riesgos
      y la metodología para las evaluaciones de los
      riesgos.
    • Actualización de evaluación de
      riesgos
    • Metodología de evaluación de
      riesgos
    • Medición de riesgos cualitativos y/o
      cuantitativos
    • Definición de un plan de acción contra
      los riesgos para asegurar que existan controles y medidas de
      seguridad económicas que mitiguen los riesgos en forma
      continua.
    • Aceptación de riesgos dependiendo de la
      identificación y la medición del riesgo, de la
      política
      organizacional, de la incertidumbre incorporada al enfoque de
      evaluación de riesgos y de que tan económico
      resulte implementar protecciones y controles.
      • PO10 Administración de
        proyectos

    Objetivo: Establecer prioridades y entregar servicios
    oportunamente y de acuerdo al presupuesto de
    inversión

    Para ello se realiza una identificación y
    priorización de los proyectos en
    línea con el plan operacional por parte de la misma
    organización. Además, la organización
    deberá adoptar y aplicar sólidas técnicas
    de administración
    de proyectos para cada proyecto
    emprendido y se toma en consideración:

    • Definición de un marco de referencia general
      para la administración de proyectos que defina el
      alcance y los límites
      del mismo, así como la metodología de administración de
      proyectos a ser adoptada y aplicada para cada proyecto
      emprendido. La metodología deberá cubrir, como
      mínimo, la asignación de responsabilidades, la
      determinación de tareas, la realización de
      presupuestos
      de tiempo y
      recursos, los avances, los puntos de revisión y las
      aprobaciones.
    • El involucramiento de los usuarios en el desarrollo,
      implementación o modificación de los
      proyectos.
    • Asignación de responsabilidades y autoridades
      a los miembros del personal asignados al proyecto.
    • Aprobación de fases de proyecto por parte de
      los usuarios antes de pasar a la siguiente fase.
    • Presupuestos de costos y horas hombre
    • Planes y metodologías de aseguramiento de
      calidad que sean revisados y acordados por las partes
      interesadas.
    • Plan de administración de riesgos para
      eliminar o minimizar los riesgos.
    • Planes de prueba, entrenamiento, revisión
      post-implementación.
      • PO11 Administración de calidad

    Objetivo: Satisfacer los requerimientos del
    cliente

    Para ello se realiza una planeación, implementación y
    mantenimiento de estándares y sistemas de
    administración de calidad por parte de la
    organización y se toma en consideración:

    • Definición y mantenimiento regular del plan de
      calidad, el cual deberá promover la filosofía de
      mejora continua y contestar a las preguntas básicas de
      qué, quién y cómo.
    • Responsabilidades de aseguramiento de calidad que
      determine los tipos de actividades de aseguramiento de calidad
      tales como revisiones, auditorias,
      inspecciones, etc. que deben realizarse para alcanzar los
      objetivos del plan general de calidad.
    • Metodologías del ciclo de
      vida de desarrollo de sistemas que rija el proceso de
      desarrollo, adquisición, implementación y
      mantenimiento de sistemas de información.
    • Documentación de pruebas de
      sistemas y programas
    • Revisiones y reportes de aseguramiento de
      calidad

    4. Dominio:
    Adquisición e implementación

    Para llevar a cabo la estrategia de TI,
    las soluciones de
    Ti deben ser identificadas, desarrolladas o adquiridas, asi como
    implementadas e integradas dentro del proceso del negocio.
    Además, este dominio cubre los cambios y el mantenimiento
    realizados a sistemas existentes.

    Procesos:

    • AI1 Identificación de Soluciones
      Automatizadas

    Objetivo: Asegurar el mejor enfoque para cumplir con los
    requerimientos del usuario

    Para ello se realiza un análisis claro de las
    oportunidades alternativas comparadas contra los requerimientos
    de los usuarios y toma en consideración:

    • Definición de requerimientos de
      información para poder
      aprobar un proyecto de desarrollo.
    • Estudios de factibilidad
      con la finalidad de satisfacer los requerimientos del negocio
      establecidos para el desarrollo de un proyecto.
    • Arquitectura de información para tener en
      consideración el modelo de
      datos al definir soluciones y analizar la factibilidad de las
      mismas.
    • Seguridad con relación de costo-beneficio
      favorable para controlar que los costos no excedan los
      beneficios.
    • Pistas de auditoria para ello deben existir
      mecanismos adecuados. Dichos mecanismos deben proporcionar la
      capacidad de proteger datos sensitivos (ej.
      Identificación de usuarios contra divulgación o
      mal uso)
    • Contratación de terceros con el objeto de
      adquirir productos
      con buena calidad y excelente estado.
    • Aceptación de instalaciones y
      tecnología a través del contrato con el
      Proveedor donde se acuerda un plan de aceptación para
      las instalaciones y tecnología especifica a ser
      proporcionada.
    • AI2 Adquisición y mantenimiento del software
      aplicativo

    Objetivo: Proporciona funciones automatizadas que
    soporten efectivamente al negocio.

    Para ello se definen declaraciones específicas
    sobre requerimientos funcionales y operacionales y una
    implementación estructurada con entregables claros y se
    toma en consideración:

    • Requerimientos de usuarios, para realizar un correcto
      análisis y obtener un software claro y fácil de
      usar.
    • Requerimientos de archivo,
      entrada, proceso y salida.
    • Interfase usuario-maquina asegurando que el software
      sea fácil de utilizar y que sea capaz de auto
      documentarse.
    • Personalización de paquetes
    • Realizar pruebas
      funcionales (unitarias, de aplicación, de integración y de carga y estrés),
      de acuerdo con el plan de prueba del proyecto y con los
      estándares establecidos antes de ser aprobado por los
      usuarios.
    • Controles de aplicación y requerimientos
      funcionales
    • Documentación (materiales
      de consulta y soporte para usuarios) con el objeto de que los
      usuarios puedan aprender a utilizar el sistema o
      puedan sacarse todas aquellas inquietudes que se les puedan
      presentar.
    • AI3 Adquisición y mantenimiento de la
      infraestructura tecnológica

    Objetivo: Proporcionar las plataformas apropiadas para
    soportar aplicaciones de negocios

    Para ello se realizara una evaluación
    del desempeño del hardware y software, la
    provisión de mantenimiento
    preventivo de hardware y la instalación, seguridad y
    control del software del sistema y toma en
    consideración:

    • Evaluación de tecnología para
      identificar el impacto del nuevo hardware o software sobre el
      rendimiento del sistema general.
    • Mantenimiento preventivo del hardware con el objeto
      de reducir la frecuencia y el impacto de fallas de
      rendimiento.
    • Seguridad del software de sistema, instalación
      y mantenimiento para no arriesgar la seguridad de los datos y
      programas ya almacenados en el mismo.
      • AI4 Desarrollo y mantenimiento de
        procedimientos

    Objetivo: Asegurar el uso apropiado de las aplicaciones
    y de las soluciones tecnológicas establecidas.

    Para ello se realiza un enfoque estructurado del
    desarrollo de manuales de
    procedimientos de operaciones para
    usuarios, requerimientos de servicio y
    material de entrenamiento y toma en
    consideración:

    • Manuales de procedimientos de usuarios y controles,
      de manera que los mismos permanezcan en permanente
      actualización para el mejor desempeño y control
      de los usuarios.
    • Manuales de Operaciones y controles, de manera que
      estén en permanente actualización.
    • Materiales de entrenamiento enfocados al uso del
      sistema en la práctica diaria.
      • AI5 Instalación y aceptación de los
        sistemas

    Objetivo: Verificar y confirmar que la solución
    sea adecuada para el propósito deseado

    Para ello se realiza una migración
    de instalación, conversión y plan de aceptaciones
    adecuadamente formalizadas y toma en
    consideración:

    • Capacitación del personal de acuerdo al plan
      de entrenamiento definido y los materiales
      relacionados.
    • Conversión / carga de datos, de manera que los
      elementos necesarios del sistema anterior sean convertidos al
      sistema nuevo.
    • Pruebas específicas (cambios,
      desempeño, aceptación final, operacional) con el
      objeto de obtener un producto
      satisfactorio.
    • Acreditación de manera que la Gerencia de
      operaciones y usuaria acepten los resultados de las pruebas y
      el nivel de seguridad para los sistemas, junto con el riesgo residual
      existente.
    • Revisiones post implementación con el objeto
      de reportar si el sistema proporciono los beneficios esperados
      de la manera mas económica.
      • AI6 Administración de los
        cambios

    Objetivo: Minimizar la probabilidad de
    interrupciones, alteraciones no autorizadas y errores.

    Esto se hace posible a través de un sistema de
    administración que permita el análisis,
    implementación y seguimiento de todos los cambios
    requeridos y llevados a cabo a la infraestructura de TI actual y
    toma en consideración:

    • Identificación de cambios tanto internos como
      por parte de proveedores
    • Procedimientos de categorización,
      priorización y emergencia de solicitudes de
      cambios.
    • Evaluación del impacto que provocaran los
      cambios.
    • Autorización de cambios
    • Manejo de liberación de manera que la
      liberación de software este regida por procedimientos
      formales asegurando aprobación, empaque,
      pruebas de regresión, entrega, etc.
    • Distribución de software, estableciendo
      medidas de control especificas para asegurar la distribución de software correcto al
      lugar correcto, con integridad y de manera
      oportuna.

    5. Dominio:
    Prestación y soporte

    En este dominio se hace referencia a la entrega de los
    servicios requeridos, que abarca desde las operaciones
    tradicionales hasta el entrenamiento, pasando por seguridad y
    aspectos de continuidad. Con el fin de proveer servicios,
    deberán establecerse los procesos de soporte necesarios.
    Este dominio incluye el procesamiento de los datos por sistemas
    de aplicación, frecuentemente clasificados como controles
    de aplicación.

    Procesos

    • Ds1 Definición de niveles de
      servicio

    Objetivo: Establecer una comprensión común
    del nivel de servicio
    requerido

    Para ello se establecen convenios de niveles de servicio
    que formalicen los criterios de desempeño contra los
    cuales se medirá la cantidad y la calidad del servicio y
    se toma en consideración:

    • Convenios formales que determinen la disponibilidad,
      confiabilidad, desempeño, capacidad de crecimiento,
      niveles de soporte proporcionados al usuario, plan de
      contingencia / recuperación, nivel mínimo
      aceptable de funcionalidad del sistema satisfactoriamente
      liberado, restricciones (límites
      en la cantidad de trabajo), cargos por servicio, instalaciones
      de impresión central (disponibilidad), distribución de impresión central
      y procedimientos de cambio.
    • Definición de las responsabilidades de los
      usuarios y de la función de servicios de
      información
    • Procedimientos de desempeño que aseguren que
      la manera y las responsabilidades sobre las relaciones que
      rigen el desempeño entre todas las partes involucradas
      sean establecidas, coordinadas, mantenidas y comunicadas a
      todos los departamentos afectados.
    • Definición de dependencias asignando un
      Gerente de
      nivel de Servicio que sea responsable de monitorear y reportar
      los alcances de los criterios de desempeño del servicio
      especificado y todos los problemas
      encontrados durante el procesamiento.
    • Provisiones para elementos sujetos a cargos en los
      acuerdos de niveles de servicio para hacer posibles
      comparaciones y decisiones de niveles de servicios contra su
      costo.
    • Garantías de integridad
    • Convenios de confidencialidad
    • Implementación de un programa de
      mejoramiento del servicio.
      • Ds2 Administración de servicios prestados
        por terceros

    Objetivo: Asegurar que las tareas y responsabilidades de
    las terceras partes estén claramente definidas, que
    cumplan y continúen satisfaciendo los
    requerimientos

    Para ello se establecen medidas de control dirigidas a
    la revisión y monitoreo de contratos y
    procedimientos existentes, en cuanto a su efectividad y
    suficiencia, con respecto a las políticas de la
    organización y toma en consideración:

    • Acuerdos de servicios con terceras partes a
      través de contratos entre la organización y el
      proveedor de la
      administración de instalaciones este basado en
      niveles de procesamiento requeridos, seguridad, monitoreo y
      requerimientos de contingencia, así como en otras
      estipulaciones según sea apropiado.
    • Acuerdos de confidencialidad. Además, se
      deberá calificar a los terceros y el contrato
      deberá definirse y acordarse para cada relación
      de servicio con un proveedor.
    • Requerimientos legales regulatorios de manera de
      asegurar que estos concuerde con los acuerdos de seguridad
      identificados, declarados y acordados.
    • Monitoreo de la entrega de servicio con el fin de
      asegurar el cumplimiento de los acuerdos del
      contrato.
      • Ds3 Administración de desempeño y
        capacidad

    Objetivo: Asegurar que la capacidad adecuada está
    disponible y que se esté haciendo el mejor uso de ella
    para alcanzar el desempeño deseado.

    Para ello se realizan controles de manejo de capacidad y
    desempeño que recopilen datos y reporten acerca del manejo
    de cargas de trabajo, tamaño de aplicaciones, manejo y
    demanda de
    recursos y toma en consideración:

    • Requerimientos de disponibilidad y desempeño
      de los servicios de sistemas de información
    • Monitoreo y reporte de los recursos de
      tecnología de información
    • Utilizar herramientas
      de modelado apropiadas para producir un modelo del sistema
      actual para apoyar el pronóstico de los requerimientos
      de capacidad, confiabilidad de configuración,
      desempeño y disponibilidad.
    • Administración de capacidad estableciendo un
      proceso de planeación para la revisión del
      desempeño y capacidad de hardware con el fin de asegurar
      que siempre exista una capacidad justificable
      económicamente para procesar cargas de trabajo con
      cantidad y calidad de desempeño
    • Prevenir que se pierda la disponibilidad de recursos
      mediante la implementación de mecanismos de tolerancia de
      fallas, de asignación equitativos de recursos y de
      prioridad de tareas.

    Monitoreo

    • Ds4 Asegurar el Servicio Continuo

    Objetivo: mantener el servicio disponible de acuerdo con
    los requerimientos y continuar su provisión en caso de
    interrupciones
    Para ello se tiene un plan de continuidad probado y funcional,
    que esté alineado con el plan de continuidad del negocio y
    relacionado con los requerimientos de negocio y toma en
    consideración:

    • Planificación de Severidad
    • Plan Documentado
    • Procedimientos Alternativos
    • Respaldo y Recuperación
    • Pruebas y entrenamiento sistemático y
      singulares
      • Ds5 Garantizar la seguridad de
        sistemas

    Objetivo: salvaguardar la información contra uso
    no autorizados, divulgación, modificación,
    daño o pérdida

    Para ello se realizan controles de acceso lógico
    que aseguren que el acceso a sistemas, datos y programas
    está restringido a usuarios autorizados y toma en
    consideración:

    • Autorización,autenticación y
      el acceso lógico junto con el uso de los
      recursos de TI deberá restringirse a través de la
      instrumentación de mecanismos de
      autenticación de usuarios identificados y recursos
      asociados con las reglas de acceso
    • Perfiles e identificación de usuarios
      estableciendo procedimientos para asegurar acciones oportunas
      relacionadas con la requisición, establecimiento,
      emisión, suspensión y suspensión de
      cuentas de
      usuario
    • Administración de llaves criptográficas
      definiendo implementando procedimientos y protocolos a
      ser utilizados en la generación, distribución,
      certificación, almacenamiento, entrada, utilización y
      archivo de
      llaves criptográficas con el fin de asegurar la
      protección de las mismas
    • Manejo, reporte y seguimiento de incidentes
      implementado capacidad para la atención de los mismos
    • Prevención y detección de virus tales
      como Caballos de Troya, estableciendo adecuadas medidas de
      control preventivas, detectivas y correctivas.
    • Utilizaciónde Firewalls si
      existe una conexión con Internet u
      otras redes
      públicas en la organización

    Monitoreo

    • Ds6 Educación y entrenamiento de
      usuarios

    Objetivo: Asegurar que los usuarios estén
    haciendo un uso efectivo de la tecnología y estén
    conscientes de los riesgos y responsabilidades
    involucrados

    Para ello se realiza un plan completo de entrenamiento y
    desarrollo y se toma en consideración:

    • Curriculum de entrenamiento estableciendo y
      manteniendo procedimientos para identificar y documentar las
      necesidades de entrenamiento de todo el personal que haga uso
      de los servicios de información
    • Campañas de concientización, definiendo
      los grupos
      objetivos, identificar y asignar entrenadores y organizar
      oportunamente las sesiones de entrenamiento
    • Técnicas de concientización
      proporcionando un programa de
      educación y entrenamiento que incluya conducta
      ética de la función de servicios de
      información
      • Ds7 Identificación y asignación de
        costos

    Objetivo: Asegurar un conocimiento
    correcto de los costos atribuibles a los servicios de
    TI

    Para ello se realiza un sistema de contabilidad de
    costos que asegure que éstos sean registrados,
    calculados y asignados a los niveles de detalle requeridos y toma
    en consideración:

    • Los elementos sujetos a cargo deben ser recursos
      identificables, medibles y predecibles para los
      usuarios
    • Procedimientos y políticas de cargo que
      fomenten el uso apropiado de los recursos de computo y aseguren
      el trato justo de los departamentos usuarios y sus
      necesidades
    • Tarifas definiendo e implementando procedimientos de
      costeo de prestar servicios, para ser analizados, monitoreados,
      evaluados asegurando al mismo tiempo la
      economía

    Monitoreo

    • Ds8 Apoyo y asistencia a los clientes
      de TI

    Objetivo: asegurar que cualquier problema experimentado
    por los usuarios sea atendido apropiadamente

    Para ello se realiza un Buró de ayuda que
    proporcione soporte y asesoría de primera línea y
    toma en consideración:

    • Consultas de usuarios y respuesta a problemas
      estableciendo un soporte de una función de buró
      de ayuda
    • Monitoreo de consultas y despacho estableciendo
      procedimientos que aseguren que las preguntas de los clientes que
      pueden ser resueltas sean reasignadas al nivel adecuado para
      atenderlas
    • Análisis y reporte de tendencias adecuado de
      las preguntas de los clientes y su solución, de los
      tiempos de respuesta y la identificación de
      tendencias
      • Ds9 Administración de la
        configuración

    Objetivo: Dar cuenta de todos los componentes de TI,
    prevenir alteraciones no autorizadas, verificar la existencia
    física y
    proporcionar una base para el sano manejo de cambios

    Para ello se realizan controles que identifiquen y
    registren todos los activos de TI
    así como su localización física y un programa
    regular de verificación que confirme su existencia y toma
    en consideración:

    • Registro de activos
      estableciendo procedimientos para asegurar que sean registrados
      únicamente elementos de configuración autorizados
      e identificables en el inventario, al
      momento de adquisición
    • Administración de cambios en la
      configuración asegurando que los registros de
      configuración reflejen el status real de todos los
      elementos de la configuración
    • Chequeo de software no autorizado revisando
      periódicamente las computadoras personales de la
      organización
    • Controles de almacenamiento de software definiendo un
      área de almacenamiento de archivos para
      todos los elementos de software válidos en las fases del
      ciclo de
      vida de desarrollo de sistemas
      • Ds10 Administración de
        Problemas

    Objetivo: Asegurar que los problemas e incidentes sean
    resueltos y que sus causas sean investigadas para prevenir que
    vuelvan a suceder.

    Para ello se necesita un sistema de manejo de problemas
    que registre y dé seguimiento a todos los incidentes,
    además de un conjunto de procedimientos de escalamiento de
    problemas para resolver de la manera más eficiente los
    problemas identificados. Este sistema de administración de
    problemas deberá también realizar un seguimiento de
    las causas a partir de un incidente dado.

    • Ds11 Administración de Datos

    Objetivo: Asegurar que los datos permanezcan completos,
    precisos y válidos durante su entrada,
    actualización, salida y almacenamiento.

    Lo cual se logra a través de una
    combinación efectiva de controles generales y de
    aplicación sobre las operaciones de TI. Para tal fin, la
    gerencia deberá diseñar formatos de entrada de
    datos para los usuarios de manera que se minimicen lo errores y
    las omisiones durante la creación de los datos.

    Este proceso deberá controlar los documentos
    fuentes (de
    donde se extraen los datos), de manera que estén
    completos, sean precisos y se registren apropiadamente. Se
    deberán crear también procedimientos que validen
    los datos de entrada y corrijan o detecten los datos
    erróneos, como así también procedimientos de
    validación para transacciones erróneas, de manera
    que éstas no sean procesadas. Cabe destacar la importancia
    de crear procedimientos para el almacenamiento, respaldo y
    recuperación de datos, teniendo un registro
    físico (discos, disquetes, CDs y cintas magnéticas)
    de todas las transacciones y datos manejados por la
    organización, albergados tanto dentro como fuera de la
    empresa.

    La gerencia deberá asegurar también la
    integridad, autenticidad y confidencialidad de los datos
    almacenados, definiendo e implementando procedimientos para tal
    fin.

    • Ds12 Administración de las
      instalaciones

    Objetivo: Proporcionar un ambiente
    físico conveniente que proteja al equipo y al personal de
    TI contra peligros naturales (fuego, polvo, calor
    excesivos) o fallas humanas lo cual se hace posible con la
    instalación de controles físicos y ambientales
    adecuados que sean revisados regularmente para su funcionamiento
    apropiado definiendo procedimientos que provean control de acceso
    del personal a las instalaciones y contemplen su seguridad
    física.

    • Ds13 Administración de la
      operación

    Objetivo: Asegurar que las funciones importantes de
    soporte de TI estén siendo llevadas a cabo regularmente y
    de una manera ordenada

    Esto se logra a través de una
    calendarización de actividades de soporte que sea
    registrada y completada en cuanto al logro de todas las
    actividades. Para ello, la gerencia deberá establecer y
    documentar procedimientos para las operaciones de
    tecnología de información (incluyendo operaciones
    de red), los cuales
    deberán ser revisados periódicamente para
    garantizar su eficiencia y
    cumplimiento.

    6. Dominio:
    Monitoreo

    Todos los procesos de una organización necesitan
    ser evaluados regularmente a través del tiempo para
    verificar su calidad y suficiencia en cuanto a los requerimientos
    de control, integridad y confidencialidad. Este es, precisamente,
    el ámbito de este dominio.

    Procesos

    • M1 Monitoreo del Proceso

    Objetivo: Asegurar el logro de los objetivos
    establecidos para los procesos de TI. Lo cual se logra definiendo
    por parte de la gerencia reportes e indicadores de
    desempeño gerenciales y la implementación de
    sistemas de soporte así como la atención regular a los reportes
    emitidos.

    Para ello la gerencia podrá definir indicadores
    claves de desempeño y/o factores críticos de
    éxito y
    compararlos con los niveles objetivos propuestos para evaluar el
    desempeño de los procesos de la organización. La
    gerencia deberá también medir el grado de
    satisfacción del los clientes con respecto a los servicios
    de información proporcionados para identificar
    deficiencias en los niveles de servicio y establecer objetivos de
    mejoramiento, confeccionando informes que
    indiquen el avance de la organización hacia los objetivos
    propuestos.

    • M2 Evaluar lo adecuado del Control
      Interno

    Objetivo: Asegurar el logro de los objetivos de control
    interno establecidos para los procesos de TI.

    Para ello la gerencia es la encargada de monitorear la
    efectividad de los controles internos a través de
    actividades administrativas y de supervisión, comparaciones,
    reconciliaciones y otras acciones rutinarias., evaluar su
    efectividad y emitir reportes sobre ellos en forma regular. Estas
    actividades de monitoreo continuo por parte de la Gerencia
    deberán revisar la existencia de puntos vulnerables y
    problemas de seguridad.

    • M3 Obtención de Aseguramiento
      Independiente

    Objetivo: Incrementar los niveles de confianza entre la
    organización, clientes y proveedores
    externos. Este proceso se lleva a cabo a intervalos regulares de
    tiempo.

    Para ello la gerencia deberá obtener una
    certificación o acreditación independiente de
    seguridad y control interno antes de implementar nuevos servicios
    de tecnología de información que resulten
    críticos, como así también para trabajar con
    nuevos proveedores de servicios de tecnología de
    información. Luego la gerencia deberá adoptar como
    trabajo rutinario tanto hacer evaluaciones periódicas
    sobre la efectividad de los servicios de tecnología de
    información y de los proveedores de estos servicios como
    así también asegurarse el cumplimiento de los
    compromisos contractuales de los servicios de tecnología
    de información y de los proveedores de estos
    servicios.

    • M4 Proveer Auditoria Independiente

    Objetivo: Incrementar los niveles de confianza y
    beneficiarse de recomendaciones basadas en mejores
    prácticas de su implementación, lo que se logra con
    el uso de auditorias
    independientes desarrolladas a intervalos regulares de tiempo.
    Para ello la gerencia deberá establecer los estatutos para
    la función de auditoria, destacando en este documento la
    responsabilidad, autoridad y obligaciones
    de la auditoria. El auditor deberá ser independiente del
    auditado, esto significa que los auditores no deberán
    estar relacionados con la sección o departamento que
    esté siendo auditado y en lo posible deberá ser
    independiente de la propia empresa. Esta auditoria deberá
    respetar la ética y los estándares profesionales,
    seleccionando para ello auditores que sean técnicamente
    competentes, es decir que cuenten con habilidades y conocimientos
    que aseguren tareas efectivas y eficientes de
    auditoria.

    La función de auditoria deberá
    proporcionar un reporte que muestre los objetivos de la
    auditoria, período de cobertura, naturaleza y
    trabajo de auditoria realizado, como así también la
    organización, conclusión y recomendaciones
    relacionadas con el trabajo de
    auditoria llevado a cabo.
    Los 34 procesos propuestos se concretan en 32 objetivos de
    control detallados anteriormente.
    Un Control se define como "las normas, estándares,
    procedimientos, usos y costumbres y las estructuras
    organizativas, diseñadas para proporcionar garantía
    razonable de que los objetivos empresariales se alcanzaran y que
    los eventos no
    deseados se preverán o se detectaran, y
    corregirán"
    Un Objetivo de
    Control se define como "la declaración del resultado
    deseado o propuesto que se ha de alcanzar mediante la
    aplicación de procedimientos de control en cualquier
    actividad de TI"
    En resumen, la estructura conceptual se puede enfocar desde tres
    puntos de vista:
    -Los recursos de las TI
    -Los criterios empresariales que deben satisfacer la
    información
    -Los procesos de TI

    Las tres dimensiones condeptuales de COBIT

    7. Aplicación de
    las Normas COBIT

    A continuación, analizaremos como se
    deberían aplicar las Normas COBIT en una
    Organización, utilizando para ello la Guía de
    Auditoria presentada en la pagina Web
    www.isaca.org, la
    misma indica los pasos a seguir para auditar cada uno de los
    procesos de TI de la norma. Este reporte lo confeccionamos
    dándole el formato de un informe de
    auditoría:

    Informe de Auditoria

    • Entidad Auditada: ARCO IRIS SCHOOL
    • Alcance de la auditoría: Esta
      auditoría comprende solamente al área de
      Recursos
      Humanos de la Arco Iris School, con respecto al
      cumplimiento del proceso "Administración de Recursos Humanos"
      de la norma COBIT.
    • Norma Aplicada: COBIT, específicamente
      el proceso de TI Po7 "Administración de Recursos
      Humanos"
    • Relevamiento:

    Organización: Colegio Privado que brinda un
    servicio de educación a niños de nivel inicial y
    primario.

    Objetivos de la Organización:

    • Ofrecer el servicio de una excelente
      educación con orientación bilingüe
      (Español – Ingles),
      artística, deportiva y ecológica en forma
      personalizada a los niños de nivel inicial y primario,
      y obtener por el servicio un beneficio monetario acorde a
      las ofertas educativa que brinda la Institución
      (según si el inscripto participa de escolaridad
      simple o doble)
    • Incrementar cada año el número de
      inscriptos para obtener mayor rentabilidad y ampliar la comunidad educativa.
    • Transmitir a la comunidad en general el perfil
      institucional y los beneficios que los alumnos obtienen
      por una educación personalizada.

    Departamento de administración de personal: Comprende
    todo lo relacionado con el desarrollo y
    administración de políticas y programas que
    provean una estructura organizativa eficiente, empleados
    calificados, tratamiento equitativo, oportunidades de
    progreso, satisfacción en el
    trabajo y adecuada seguridad de empleo.

    Depende de la Gerencia de
    Administración.

    Políticas y estrategias del Departamento de
    Administración de personal

    Políticas

    Estrategias

    Para con el

    Personal

    Objetivo: perfeccionar al personal con el perfil
    Institucional

    Seleccionar docentes que respondan a los
    requerimientos del proyecto educativo
    institucional

    Realizar durante la selección de personal talleres de
    capacitación y evaluación de
    inteligencia
    emocional y desarrollo de la persona.

    Seleccionar docentes con muy buenas
    referencias

    Los docentes de asignaturas especiales
    (plástica, música, deportes, etc.) deben
    tener experiencias mínimas en mas de una escuela
    y estar abalados con referencias por escrito

    Respetar las decisiones personales de los docentes
    y no docentes.

    Antes de que un personal forme parte de la
    institución debe conocer y firmar las Normativas
    Institucionales donde se especifican todas las medidas,
    deberes y derechos de
    todo el personal docente y no docente

    La dirección general realiza
    periódicamente evaluaciones del rendimiento de
    trabajo individual y grupal mediante entrevistas. (grupales y
    personales)

    Educativas

    Objetivo: Lograr una excelencia
    educativa

    Brindar una educación excelente y
    personalizada

    Confeccionar un PEI (Proy. Educ. Inst.) con los
    objetivos que cubran las orientaciones Bilingüe,
    deportiva, ecológica y artística.

    Realizar periódicamente talleres de
    capacitación docente a nivel institucional donde se
    promueve la inteligencia emocional y el desarrollo
    personal.

    La Dirección académica debe evaluar
    constantemente el trabajo de los docentes y elevar los
    informes
    a la dirección general.

    Funciones – Subfunsiones –
    Tareas:

    1-Realizar el reclutamiento: lograr que todos los puestos
    estén cubiertos por personal competente que cubran
    el perfil institucional por un costo razonable.

    1. Buscar los postulantes (docentes y no
      docentes)
    • Análisis de las necesidades del
      cargo
    • Desarrollo de especificaciones de
      trabajo
    • Análisis de las fuentes de empleados
      potenciales
    • Atracción de los posibles
      postulantes
    1. Realizar el proceso de selección: Análisis de la
      capacidad de los aspirantes para decidir cual tiene
      mayores posibilidades.
    • Entrevistar los postulantes
    • Realizar talleres de Pruebas de inteligencia emocional.
    • Evaluación de los postulantes en base a
      los resultados de los talleres.
    • Confección y entrega de los diferentes
      tipos de contratos de trabajo (contratos temporales, a
      plazo fijo, contratos de prueba, pasantías,
      etc.)
    1. Instrucción y entrega de materiales:
      Entrenamiento, información y entrega de materiales
      necesarios a los empleados contratados (o nuevos) para
      que cumplan sus obligaciones eficientemente.
    • Orientación de los nuevos empleados
      mediante talleres de capacitación y entrega de
      documentación con las normativas
      (reglas con las que se rige la
      institución)
    • Seguimiento de la actuación de los
      empleados (y empleados nuevos
      también).
    • Compra de materiales didácticos u otros
      servicios para entregar a los docentes y así los
      mismos puedan dictar sus clases
      eficientemente.
    1. Despidos: Terminación legal de las
      relaciones con los empleados en la forma mas beneficiosa
      para ellos y el colegio.
    • Realización de la
      entrevista de egreso
    • Análisis de las bajas
    1. Determinar los servicios sociales para los
      empleados.
    • Determinación de servicio médicos
      y otros para los empleados (y alumnos) que cubran la
      seguridad e integridad física del personal dentro
      de la organización.
    • Prepara la documentación para la
      gestión de obras sociales del
      personal.

    2-Administrar sueldos y jornales: lograr que todos
    los empleados estén remunerados adecuada,
    equitativamente y en tiempo.

    1. Clasificar la posición,
      responsabilidades y requerimientos de los
      empleados
    • Preparación de las normativas
      institucionales donde están las especificaciones
      de trabajo
    • Revisión periódica y
      corrección de las normativas.
    • Fijar los
      valores monetarios de los puestos en forma justa y
      equitativa, respecto a otros puestos en el colegio y a
      puestos similares en el mercado de trabajo.
    • Efectuar los pagos correspondientes a los
      sueldos mensuales (el pago y entrega de recibos de sueldo
      se efectúa en la propia
      institución)
    1. Control de Horarios: Fijación de horas
      de trabajo y periodos de inasistencia con goce de haberes
      o sin el, que sean justos tanto para el empleado como
      para el colegio.
    • Planificación y administración de
      políticas sobre horarios de trabajos o
      inasistencias.
    • Planificación y administración de
      planes de vacaciones.

    3- Promocionar las Relaciones institucionales:
    Asegurar que las relaciones de trabajo entre la
    dirección general y los empleados al igual que la
    satisfacción en el trabajo y oportunidad de progreso
    del personal, sean desarrollados y mantenidos siguiendo los
    mejores intereses del colegio y de los empleados.
    También su función es la de desarrollar
    proyectos de Relaciones Institucionales con el medio
    externo (otras instituciones escolares, clubes,
    etc.)

    1. Realizar negociaciones colectivas: Lograr
      concordancia con las organizaciones de empleados reconocidas
      oficialmente y establecidas legalmente, de la manera que
      mejor contemple los intereses de la escuela y los
      docentes.
    • Negociación de convenios
    • Interpretación y administración
      de estos
    1. Controlar la disciplina del personal
    • Fijar reglas de conducta y disposiciones
      mediante las normativas institucionales
    • Establecer y administrar las medidas
      disciplinarias con respecto a inasistencias
      injustificadas.
    1. Investigación de Personal:
    • Investigación de referencias de trabajos
      anteriores.
    • Confirmar las referencias y otras
      documentaciones a la administración
      general.
    • Investigar y verificar la documentación
      presentada por los empleados que luego conformaran el
      legajo de los mismos (DNI, títulos oficiales,
      registración en la Junta de clasificaciones,
      etc.)

    5-Generar Informes

    • Confeccionar todos los informes mensuales,
      semestrales y anuales con las estadísticas, resúmenes,
      etc. de las gestiones administrativas del
      personal.
    • Diagnóstico:

    De acuerdo con el Dominio "Planificación y Organización"
    y el Proceso "Administración de Recursos Humanos",
    nosotros hemos desarrollado un análisis, donde
    identificamos con que normas esta cumpliendo la
    organización y con cuales no, a partir de
    allí definiremos que es lo que la escuela
    debería hacer para cumplir con las normas
    COBIT.

    La organización ARCO IRIS SCHOOL,
    según nuestro parecer y de acuerdo a lo relevado,
    creemos que se ajusta bastante bien a las normas COBIT en
    cuanto al proceso en cuestión, puesto que la misma
    cumple con las siguientes actividades o tareas del
    mismo:

    Reclutamiento y Promoción personal, ya que la
    Dirección evalúa regularmente los procesos
    necesarios para asegurar que las practicas de reclutamiento
    y promoción de personal tengan excelentes
    resultados, considerando factores como la
    educación del personal, la experiencia y la
    responsabilidad.

    Personal Calificado, puesto que se verifica que el
    personal que lleva tareas especificas este capacitado y
    para ello se realizan Talleres Docentes.

    Entrenamiento de Personal, ya que en cuanto
    ingresa el personal y durante su permanencia en el
    establecimiento tiene a su disposición toda la
    información que necesite, así como
    también la permanente capacitación. Aunque es
    importante destacar que no hay un manual de
    Funciones, ni de Procedimientos, por lo cual los
    empleados pueden tener dudas con respecto a sus
    funciones.

    Evaluación de Desempeño de los
    Empleados, ya que el establecimiento implementa un proceso
    de evaluación de desempeño de los
    empleados y asesora a los mismos sobre su desempeño
    o conducta de manera apropiada. Aunque las evaluaciones de
    rendimiento no están definidas formalmente y por
    ende se puede llegar a tener problemas por la subjetividad
    de la persona
    que esta evaluando el desempeño.

    Cambios de puestos y Despidos, puesto que cuando
    se toman tales acciones se trata de que sean oportunas y
    apropiadas, de tal manera que los controles internos y la
    seguridad no se vean perjudicados por estos eventos.

    s importante destacar que ARCO IRIS SCHOOL tienes
    dificultados en cuanto a:

    Respaldo de Personal, puesto que no cuenta con
    suficiente personal de respaldo para solucionar posibles
    ausencias. Tampoco el personal encargado de puestos
    delicados como ser el Tesorero toma vacaciones
    interrumpidas con duración suficiente como para
    probar la habilidad de la organización para manejar
    casos de ausencia y detectar actividades
    fraudulentas.

    Procedimientos de Acreditación de Personal,
    puesto que las investigaciones de seguridad asociada a la
    contratación no son llevadas a cabo.

    • Conclusiones:

    Por lo tanto, podemos especificar que para que la
    escuela cumpla con las normas COBIT en cuanto al proceso
    "Administración de Recursos Humanos"
    deberá:

    • Realizar manuales de funciones, de manera que
      estén definidos todos los puestos de trabajo y sus
      correspondientes funciones.
    • Realizar manuales de Procedimientos, de manera
      que los empleados puedan identificar cuales son las
      tareas que deben realizar de acuerdo a su puesto y
      funciones.
    • Establecer Procedimientos de
      Acreditación, ya que de lo contrario se pueden
      tener serios problemas por no haber realizado
      correctamente las investigaciones de seguridad.
    • Proporcionar un entrenamiento "cruzado" de
      manera de tener personal de respaldo con la finalidad de
      solucionar posibles ausencias, ya que la escuela no puede
      contar con suficiente personal por su economía actual.
    • Definir y publicar formalmente las evaluaciones
      de rendimiento, de manera de aplicarlas a la hora de
      hacer la evaluación de desempeño para
      evitar problemas con el personal docente y no
      docente.

    8. Apéndice
    I

    COBIT como Producto, incluye:

    • Resumen Ejecutivo: es un documento dirigido a la alta
      gerencia presentando los antecedentes y la estructura
      básica de COBIT Además, describe de manera
      general los procesos, los recursos y los criterios de
      información, los cuales conforman la "Columna Vertebral"
      de COBIT.
    • Marco de Referencia (Framework): Incluye la introducción contenida en el resumen
      ejecutivo y presenta las guías de navegación para
      que los lectores se orienten en la exploración del
      material de COBIT haciendo una presentación detallada de
      los 34 procesos contenidos en los cuatro dominios.
    • Objetivos de Control: Integran en su contenido lo
      expuesto tanto en el resumen ejecutivo como en el marco de
      referencia y presenta los objetivos de control detallados para
      cada uno de los 34 procesos.

    En total se describen 302 objetivos de control
    detallados (de 3 a 30 objetivos por cada uno de los
    procesos)

    • Guías de Auditoria: Se hace una
      presentación del proceso de auditoria generalmente
      aceptado (relevamiento de información, evaluación
      de control, evaluación de cumplimiento y
      evidenciación de los riesgos).

    Este documento incluye guías detalladas para
    auditar cada uno de los 34 procesos teniendo en cuenta los 302
    objetivos de control detallados.

    • Guías de Administración: Se enfoca de
      manera similar a los otros productos e integra los principios del
      Balance Business Scorecard.

    Para ayudar a determinar cuales son los adecuados
    niveles de seguridad y control integra los conceptos de:
    –Modelo de madurez CMM (prácticas de Control)
    –Indicadores claves de Desempeño de los procesos de
    TI
    –Factores Críticos de Éxito a
    tener en cuenta para mantener bajo control los procesos de
    TI.

    • Guías Gerenciales: Incluidas en la Tercera
      Edición, las mismas proveen modelos de
      madurez, factores críticos de éxito, indicadores
      claves de objetivos e indicadores claves de desempeño
      para los 34 procesos de TI de COBIT. Estas guías proveen
      a la gerencia herramientas
      que permiten la auto evaluación y poder
      seleccionar opciones para implementación de controles y
      mejoras sobre la información y la tecnología
      relacionada. Las guías fueron desarrolladas por un panel
      de 40 expertos en seguridad y control, profesionales de
      administración de TI y de administración de
      desempeño, analistas de la industria y
      académicos de todo el mundo.
    • Herramientas de implementación: Muestra algunas
      de las lecciones aprendidas por aquellas organizaciones
      que han aplicado COBIT e incluye una guía de
      implementación con dos herramientas: Diagnóstico de conciencia
      Administrativa y Diagnóstico de Control en TI

    Como con cualquier investigación amplia e innovadora, COBIT
    será actualizado cada tres años. Esto asegurara que
    el modelo y la estructura permanezcan vigentes. La
    validación también permite asegurar que los 41
    materiales de referencia primarios no hayan cambiado, y, si
    hubieran cambiado, reflejas eso en el documento

    9. Apéndice
    II

    Relaciones de Objetivo de
    Control, Dominios, Procesos y Objetivos de Control

    PLANEACIÓN Y ORGANIZACIÓN

    1.0 Definición de un Plan
    Estratégico de Tecnología de
    Información

    1.1 Tecnología de Información como
    parte del Plan de la Organización a corto y largo
    plazo

    1.2 Plan a largo plazo de Tecnología de
    Información

    1.3 Plan a largo plazo de Tecnología de
    Información – Enfoque y Estructura

    1.4 Cambios al Plan a largo plazo de
    Tecnología de Información

    1.5 Planeación a corto plazo para la
    función de Servicios de
    Información

    1.6 Evaluación de sistemas
    existentes

    2.0 Definición de la Arquitectura de
    Información

    2.1 Modelo de la Arquitectura de
    Información

    2.2 Diccionario de Datos y Reglas de cinta de
    datos de la corporación

    2.3 Esquema de Clasificación de
    Datos

    2.4 Niveles de Seguridad

    3.0 Determinación de la dirección
    tecnológica

    3.1 Planeación de la Infraestructura
    Tecnológica

    3.2 Monitoreo de Tendencias y Regulaciones
    Futuras

    3.3 Contingencias en la Infraestructura
    Tecnológica

    3.4 Planes de Adquisición de Hardware y
    Software

    3.5 Estándares de
    Tecnología

    4.0 Definición de la Organización y
    de las Relaciones de TI

    4.1 Comité de planeación o
    dirección de la función de servicios de
    información

    4.2 Ubicación de los servicios de
    información en la organización

    4.3 Revisión de Logros
    Organizacionales

    4.4 Funciones y Responsabilidades

    4.5 Responsabilidad del aseguramiento de
    calidad

    4.6 Responsabilidad de la seguridad lógica y física

    4.7 Propiedad y Custodia

    4.8 Propiedad de Datos y Sistemas

    4.9 Supervisión

    4.10 Segregación de Funciones

    4.11 Asignación de Personal para
    Tecnología de Información

    4.12 Descripción de Puestos para el
    Personal de la Función de TI

    4.13 Personal clave de TI

    4.14 Procedimientos para personal por
    contrato

    4.15 Relaciones

    5.0 Manejo de la Inversión en Tecnología de
    Información

    5.1 Presupuesto Operativo Anual para la
    Función de Servicio de información

    5.2 Monitoreo de Costo – Beneficio

    5.3 Justificación de Costo –
    Beneficio

    6.0 Comunicación de la dirección y
    aspiraciones de la gerencia

    6.1 Ambiente positivo de control de la
    información

    6.2 Responsabilidad de la Gerencia en cuanto a
    Políticas

    6.3 Comunicación de las Políticas de
    la Organización

    6.4 Recursos para la implementación de
    Políticas

    6.5 Mantenimiento de Políticas

    6.6 Cumplimiento de Políticas,
    Procedimientos y Estándares

    6.7 Compromiso con la Calidad

    6.8 Política sobre el Marco de Referencia
    para la Seguridad y el Control Interno

    6.9 Derechos de
    propiedad intelectual

    6.10 Políticas
    Específicas

    6.11 Comunicación de Conciencia de
    Seguridad en TI

    7.0 Administración de Recursos
    Humanos

    7.1 Reclutamiento y Promoción de
    Personal

    7.2 Personal Calificado

    7.3 Entrenamiento de Personal

    7.4 Entrenamiento Cruzado o Respaldo de
    Personal

    7.5 Procedimientos de Acreditación de
    Personal

    7.6 Evaluación de Desempeño de los
    Empleados

    7.7 Cambios de Puesto y Despidos

    8.0 Aseguramiento del Cumplimiento de
    Requerimientos Externos

    8.1 Revisión de Requerimientos
    Externos

    8.2 Prácticas y Procedimientos para el
    Cumplimiento de Requerimientos Externos

    8.3 Cumplimiento de los Estándares de
    Seguridad y Ergonomía

    8.4 Privacidad, Propiedad Intelectual y Flujo de
    Datos

    8.5 Comercio
    Electrónico

    8.6 Cumplimiento con Contratos de
    Seguros

    9.0 Evaluación de Riesgos

    9.1 Evaluación de Riesgos del
    Negocio

    9.2 Enfoque de Evaluación de
    Riesgos

    9.3 Identificación de Riesgos

    9.4 Medición de Riesgos

    9.5 Plan de Acción contra
    Riesgos

    9.6 Aceptación de Riesgos

    10.0 Administración de proyectos

    10.1 Marco de Referencia para la
    Administración de Proyectos

    10.2 Participación del Departamento Usuario
    en la Iniciación de Proyectos

    10.3 Miembros y Responsabilidades del Equipo del
    Proyecto

    10.4 Definición del Proyecto

    10.5 Aprobación del Proyecto

    10.6 Aprobación de las Fases del
    Proyecto

    10.7 Plan Maestro del Proyecto

    10.8 Plan de Aseguramiento de la Calidad de
    Sistemas

    10.9 Planeación de Métodos de Aseguramiento

    10.10 Administración Formal de Riesgos de
    Proyectos

    10.11 Plan de Prueba

    10.12 Plan de Entrenamiento

    10.13 Plan de Revisión Post
    Implementación

    11.0 Administración de Calidad

    11.1 Plan General de Calidad

    11.2 Enfoque de Aseguramiento de
    Calidad

    11.3 Planeación del Aseguramiento de
    Calidad

    11.4 Revisión de Aseguramiento de Calidad
    sobre el Cumplimiento de Estándares y Procedimientos
    de la Función de Servicios de
    Información

    11.5 Metodología del Ciclo de Vida de
    Desarrollo de Sistemas

    11.6 Metodología del Ciclo de Vida de
    Desarrollo de Sistemas para Cambios Mayores a la
    Tecnología Actual

    11.7 Actualización de la Metodología
    del Ciclo de Vida de Desarrollo de Sistemas

    11.8 Coordinación y
    Comunicación

    11.9 Marco de Referencia de Adquisición y
    Mantenimiento para la Infraestructura de
    Tecnología

    11.10 Relaciones con Terceras Partes como
    Implementadores

    11.11 Estándares para la
    Documentación de

    Programas

    11.12 Estándares para Pruebas de
    Programas

    11.13 Estándares para Pruebas de
    Sistemas

    11.14 Pruebas Piloto/En Paralelo

    11.15 Documentación de las Pruebas del
    Sistema

    11.16 Evaluación del Aseguramiento de la
    Calidad sobre el Cumplimiento de Estándar de
    Desarrollo

    11.17 Revisión del Aseguramiento de Calidad
    sobre el Logro de los Objetivos de la Función de
    Servicios de Información

    11.18 Métricas de Calidad

    11.19 Reportes de Revisiones de Aseguramiento de
    la Calidad

    ADQUISICIÓN E
    IMPLEMENTACIÓN

    1.0 Identificación de Soluciones

    1.1 Definición de Requerimientos de
    Información

    1.2 Formulación de Acciones
    Alternativas

    1.3 Formulación de Estrategias de
    Adquisición.

    1.4 Requerimientos de Servicios de
    Terceros

    1.5 Estudio de
    Factibilidad Tecnológica

    1.6 Estudio de
    Factibilidad Económica

    1.7 Arquitectura de Información

    1.8 Reporte de Análisis de
    Riesgos

    1.9 Controles de Seguridad
    Económicos

    1.10 Diseño de Pistas de
    Auditoría

    1.11 Ergonomía

    1.12 Selección de Software de
    Sistema

    1.13 Control de Abastecimiento

    1.14 Adquisición de Productos de
    Software

    1.15 Mantenimiento de Software de Terceras
    Partes

    1.16 Contratos de Programación de
    Aplicaciones

    1.17 Aceptación de Instalaciones

    1.18 Aceptación de
    Tecnología

    2.0 Adquisición y Mantenimiento de Software
    de Aplicación

    2.1 Métodos de Diseño

    2.2 Cambios Significativos a Sistemas
    Actuales

    2.3 Aprobación del Diseño

    2.4 Definición y Documentación de
    Requerimientos de Archivos

    2.5 Especificaciones de Programas

    2.6 Diseño para la Recopilación de
    Datos Fuente

    2.7 Definición y Documentación de
    Requerimientos de Entrada de Datos

    2.8 Definición de Interfases

    2.9 Interfases Usuario-Máquina

    2.10 Definición y Documentación de
    Requerimientos de Procesamiento

    2.11 Definición y Documentación de
    Requerimientos de Salida de Datos

    2.12 Controlabilidad

    2.13 Disponibilidad como Factor Clave de
    Diseño

    2.14 Estipulación de Integridad de TI en
    programas de software de aplicaciones

    2.15 Pruebas de Software de
    Aplicación

    2.16 Materiales de Consulta y Soporte para
    Usuario

    2.17 Reevaluación del Diseño del
    Sistema

    3.0 Adquisición y Mantenimiento de
    Arquitectura de Tecnología

    3.1 Evaluación de Nuevo Hardware y
    Software

    3.2 Mantenimiento
    Preventivo para Hardware

    3.3 Seguridad del Software del Sistema

    3.4 Instalación del Software del
    Sistema

    3.5 Mantenimiento del Software del
    Sistema

    3.6 Controles para Cambios del Sofware del
    Sistema

    4.0 Desarrollo y Mantenimiento de Procedimientos
    relacionados con Tecnología de
    Información

    4.1 Futuros Requerimientos y Niveles de Servicios
    Operacionales

    4.2 Manual de
    Procedimientos para Usuario

    4.3 Manual
    de Operación

    4.4 Material de Entrenamiento

    5.0 Instalación y Acreditación de
    Sistemas

    5.1 Entrenamiento

    5.2 Adecuación del Desempeño del
    Software de Aplicación

    5.3 Conversión

    5.4 Pruebas de Cambios

    5.5 Criterios y Desempeño de Pruebas en
    Paralelo/Piloto

    5.6 Prueba de Aceptación Final

    5.7 Pruebas y Acreditación de
    Seguridad

    5.8 Prueba Operacional

    5.9 Promoción a Producción 5.10 Evaluación de
    la Satisfacción de los Requerimientos del
    Usuario

    5.11Revisión Gerencial Post –
    Implementación

    6.0 Administración de Cambios

    6.1 Inicio y Control de Requisiciones de
    Cambio

    6.2 Evaluación del Impacto

    6.3 Control de Cambios

    6.4 Documentación y
    Procedimientos

    6.5 Mantenimiento Autorizado

    6.6 Política de Liberación de
    Software

    6.7 Distribución de Software

    ENTREGA DE SERVICIOS Y SOPORTE

    1.0 Definición de Niveles de
    Servicio

    1.1 Marco de Referencia para el Convenio de Nivel
    de Servicio

    1.2 Aspectos sobre los Acuerdos de Nivel de
    Servicio

    1.3 Procedimientos de Ejecución

    1.4 Monitoreo y Reporte

    1.5 Revisión de Convenios y Contratos de
    Nivel de Servicio

    1.6 Elementos sujetos a Cargo

    1.7 Programa de Mejoramiento del
    Servicio

    2.0 Administración de Servicios prestados
    por

    Terceros

    2.1 Interfases con Proveedores

    2.2 Relaciones de Dueños

    2.3 Contratos con Terceros

    2.4 Calificaciones de terceros

    2.5 Contratos con Outsourcing

    2.6 Continuidad de Servicios

    2.7 Relaciones de Seguridad

    2.8 Monitoreo

    3.0 Administración de Desempeño y
    Capacidad

    3.1 Requerimientos de Disponibilidad y
    Desempeño

    3.2 Plan de Disponibilidad

    3.3 Monitoreo y Reporte

    3.4 Herramientas de Modelado

    3.5 Manejo de Desempeño
    Proactivo

    3.6 Pronóstico de Carga de
    Trabajo

    3.7 Administración de Capacidad de
    Recursos

    3.8 Disponibilidad de Recursos

    3.9 Calendarización de recursos

    4.0 Aseguramiento de Servicio Continuo

    4.1 Marco de Referencia de Continuidad de
    Tecnología de Información

    4.2 Estrategia y Filosofía de Continuidad
    de Tecnología de Información

    4.3 Contenido del Plan de Continuidad de
    Tecnología de Información

    4.4 Minimización de requerimientos de
    Continuidad de Tecnología de
    Información

    4.5 Mantenimiento del Plan de Continuidad de
    Tecnología de Información

    4.6 Pruebas del Plan de Continuidad de
    Tecnología de Información

    4.7 Capacitación sobre el Plan de
    Continuidad de Tecnología de
    Información

    4.8 Distribución del Plan de Continuidad de
    Tecnología de Información

    4.9 Procedimientos de Respaldo de Procesamiento
    para Departamentos Usuarios

    4.10 Recursos críticos de Tecnología
    de Información

    4.11 Centro de
    Cómputo y Hardware de respaldo

    4.12 Procedimientos de Refinamiento del Plan de
    Continuidad de TI

    5.0 Garantizar la Seguridad de Sistemas

    5.1 Administrar Medidas de Seguridad

    5.2 Identificación, Autenticación y
    Acceso

    5.3 Seguridad de Acceso a Datos en
    Línea

    5.4 Administración de Cuentas
    de Usuario

    5.5 Revisión Gerencial de Cuentas de
    Usuario

    5.6 Control de Usuarios sobre Cuentas de
    Usuario

    5.7 Vigilancia de Seguridad

    5.8 Clasificación de Datos

    5.9 Administración Centralizada de
    Identificación y Derechos de Acceso

    5.10 Reportes de Violación y de Actividades
    de Seguridad

    5.11 Manejo de Incidentes

    5.12 Re-acreditación

    5.13 Confianza en Contrapartes

    5.14 Autorización de
    Transacciones

    5.15 No Rechazo

    5.16 Sendero Seguro

    5.17 Protección de funciones de
    seguridad

    5.18 Administración de Llave
    Criptográfica

    5.19 Prevención, Detección y
    Corrección de Software "Malicioso"

    5.20 Arquitecturas de FireWalls y conexión
    a redes públicas

    5.21 Protección de Valores
    Electrónicos

    6.0 Identificación y Asignación de
    Costos

    6.1 Elementos Sujetos a Cargo

    6.2 Procedimientos de Costeo

    6.3 Procedimientos de Cargo y Facturación a
    Usuarios

    7.0 Educación y Entrenamiento de
    Usuarios

    7.1 Identificación de Necesidades de
    Entrenamiento

    7.2 Organización de
    Entrenamiento

    7.3 Entrenamiento sobre Principios
    y Conciencia de Seguridad

    8.0 Apoyo y Asistencia a los Clientes de
    Tecnología de Información

    8.1 Buró de Ayuda

    8.2 Registro de
    Preguntas del Usuario

    8.3 Escalamiento de Preguntas del
    Cliente

    8.4 Monitoreo de Atención a
    Clientes

    8.5 Análisis y Reporte de
    Tendencias

    9.0 Administración de la
    Configuración

    9.1 Registro de la Configuración

    9.2 Base de la Configuración

    9.3 Registro de Estatus

    9.4 Control de la Configuración

    9.5 Software no Autorizado

    9.6 Almacenamiento de Software

    10.0 Administración de Problemas e
    Incidentes

    10.1 Sistema de Administración de
    Problemas

    10.2 Escalamiento de Problemas

    10.3 Seguimiento de Problemas y Pistas de
    Auditoría

    11.0 Administración de Datos

    11.1 Procedimientos de Preparación de
    Datos

    11.2 Procedimientos de Autorización de
    Documentos Fuente

    11.3 Recopilación de Datos de Documentos
    Fuente

    11.4 Manejo de Errores de Documentos
    Fuente

    11.5 Retención de Documentos
    Fuente

    11.6 Procedimientos de Autorización de
    Entrada de Datos

    11.7 Chequeos de Exactitud, Suficiencia y
    Autorización

    11.8 Manejo de Errores en la Entrada de
    Datos

    11.9 Integridad de Procesamiento de
    Datos

    11.10 Validación y Edición de
    Procesamiento de Datos

    11.11 Manejo de Error en el Procesamiento de
    Datos

    11.12 Manejo y Retención de Salida de
    Datos

    11.13 Distribución de Salida de
    Datos

    11.14 Balanceo y Conciliación de Datos de
    Salida

    11.15 Revisión de Salida de Datos y Manejo
    de Errores

    11.16 Provisiones de Seguridad para Reportes de
    Salida

    11.17 Protección de Información
    Sensible durante transmisión y transporte

    11.18 Protección de Información
    Crítica a

    de los Servicios de TI

    3.4 Evaluación Independiente de la
    Efectividad de proveedores externos de servicios

    3.5 Aseguramiento Independiente del Cumplimiento
    de leyes y requerimientos regulatorios y compromisos
    contractuales

    3.6 Aseguramiento Independiente del Cumplimiento
    de leyes y requerimientos regulatorios y compromisos
    contractuales

    3.7 Competencia de la Función de
    Aseguramiento Independiente

    3.8 Participación Proactiva de
    Auditoría

    4.0 Proveer Auditoría
    Independiente

    4.1 Estatutos de Auditoría

    4.2 Independencia

    4.3 Ética y Estándares
    Profesionales

    4.4 Competencia

    4.5 Planeación

    4.6 Desempeño del Trabajo de
    Auditoría

    4.7 Reporte

    4.8 Actividades de Seguimiento

    ser Desechada

    11.19 Administración de
    Almacenamiento

    11.20 Períodos de Retención y
    Términos de Almacenamiento

    11.21 Sistema de Administración de la
    Librería de Medios

    11.22 Responsabilidades de la
    Administración de la Librería de
    Medios

    de proveedores externos de servicios

    11.23 Respaldo y Restauración

    11.24 Funciones de Respaldo

    11.25 Almacenamiento de Respaldo

    11.26 Archivo

    11.27 Protección de Mensajes
    Sensitivos

    11.28 Autenticación e Integridad

    11.29 Integridad de Transacciones
    Electrónicas

    11.30 Integridad Continua de Datos
    Almacenados

    12.0 Administración de
    Instalaciones

    12.1 Seguridad Física

    12.2 Discreción de las Instalaciones de
    Tecnología de Información

    12.3 Escolta de Visitantes

    12.4 Salud y
    Seguridad del Personal

    12.5 Protección contra Factores
    Ambientales

    12.6 Suministro Ininterrumpido de
    Energía

    13.0 Administración de
    Operaciones

    13.1 Manual de
    procedimientos de Operación e
    Instrucciones

    13.2 Documentación del Proceso de Inicio y
    de Otras Operaciones

    13.3 Calendarización de Trabajos

    13.4 Salidas de la Calendarización de
    Trabajos Estándar

    13.5 Continuidad de Procesamiento

    13.6 Bitácoras de
    Operación

    13.7 Operaciones Remotas

    MONITOREO

    1.0 Monitoreo del Proceso

    1.1 Recolección de Datos de
    Monitoreo

    1.2 Evaluación de
    Desempeño

    1.3 Evaluación de la Satisfacción de
    Clientes

    1.4 Reportes Gerenciales

    2.0 Evaluar lo adecuado del Control
    Interno

    2.1 Monitoreo de Control Interno

    2.2 Operación oportuna del Control
    Interno

    2.3 Reporte sobre el Nivel de Control
    Interno

    2.4 Seguridad de operación y aseguramiento
    de Control Interno

    3.0 Obtención de Aseguramiento
    Independiente

    3.1 Certificación / Acreditación
    Independiente de Control y Seguridad de los servicios de
    TI

    3.2 Certificación / Acreditación
    Independiente de Control y Seguridad de proveedores
    externos de servicios

    3.3 Evaluación Independiente de la
    Efectividad

     

     

    Autor:

    Ivana Soledad Rojas Córsico

    Estudiante del 5to. Año de la Carrera Ingeniería en Sistemas, Universidad
    Tecnológica Nacional (Regional Córdoba)
    Tema: Auditoría de
    Sistemas de Información

    Nota al lector: es posible que esta página no contenga todos los componentes del trabajo original (pies de página, avanzadas formulas matemáticas, esquemas o tablas complejas, etc.). Recuerde que para ver el trabajo en su versión original completa, puede descargarlo desde el menú superior.

    Todos los documentos disponibles en este sitio expresan los puntos de vista de sus respectivos autores y no de Monografias.com. El objetivo de Monografias.com es poner el conocimiento a disposición de toda su comunidad. Queda bajo la responsabilidad de cada lector el eventual uso que se le de a esta información. Asimismo, es obligatoria la cita del autor del contenido y de Monografias.com como fuentes de información.

    Categorias
    Newsletter