Proceso de revisión, evaluación y presentación de un informe final para la gerencia.
Persona que tiene la virtud de oír y revisar, pero debe estar encaminado
a un objetivo que es de evaluar eficiencia y eficacia.
Es el examen y evaluación de los procesos del Área de procesamiento
automático de datos (PAD) y de la utilización de los recursos que en ellos
intervienen, para llegar a establecer el grado de eficiencia, efectividad y economía
de los sistemas computarizados en una empresa y presentar conclusiones y
recomendaciones encaminadas a corregir las deficiencias existentes y
mejorarlas.
AUDITORIA
EXTERNA
Examina y evalúa una determinada realidad por personal externo al ente auditado, para emitir una opinión independiente sobre el resultado de las operaciones y la validez técnica del sistema de control que está operando en el área auditada.
Ventajas:
• El trabajo del auditor es totalmente independiente y
libre de cualquier injerencia por parte de las autoridades de la empresa
auditada.
• Auditorias apoyadas
por una mayor experiencia por parte de los auditores externos, debido a que
utilizan técnicas y herramientas que ya fueron probadas en otras empresas con
características similares.
Desventajas:
• La información del
auditor puede estar limitada a la información que puede recopilar debido a que
conoce poco la empresa.
• Dependen en absoluto
de la cooperación que el auditor pueda obtener por parte de los auditados.
• Su evaluación, alcances y resultados pueden
ser muy limitados.
que pueden llegar a
crear ambientes hostiles para los auditores que las realizan.
AUDITORIA
INTERNA
Es una función de
control al servicio de la alta dirección empresarial. El auditor interno no
ejerce autoridad sobre quienes toman decisiones o desarrollan el trabajo
operativo, no revela en ningún caso la responsabilidad de otras personas en la
organización.
El objetivo final es
contar con un dictamen interno sobre las actividades de toda la empresa, que
permita diagnosticar la actuación administrativa, operacional y funcional de
empleados y funcionarios de las áreas que se auditan.
Visión
Global de la Auditoria de Sistemas
Reacción ante la Auditoria
•
A nadie le justa ser evaluado
•
Pocos comprenden la labor del Auditor
•
Las expectativas de una auditoria no son bien atendidas
•
Estereotipos del Auditor
•
Comunique los beneficios de una auditoria
“La palabra auditoria proviene del
latín auditorius, y de ella se deriva AUDITOR, que significa todo aquel que
tiene la virtud de oír”
“La exacta
observación del ambiente, la lógica implacable y la asombrosa agudeza
psicológica con que Holmes reconstruye sus casos justifican sobradamente que se
haya convertido en uno de los seres de ficción más <<vivos>> y
populares de la literatura de todos los tiempos”
www.isaca.org
El Proceso de Auditoria de Sistemas de Información
Introducción
* Organización de la Función de Auditoria de SI
* Organización de la Función de Auditoria de SI
-
Autoridad
- Alcance
-
Responsabilidades
•
Aprobación del Estatuto
•
Modificación del Estatuto
• Los Auditores de SI son un recurso limitado.
• La Tecnología de SI está cambiando constantemente.
• Los Auditores de SI deben mantener su competencia técnica.
• La dirección de Auditoria debería:
- Asignar recurso humano (habilidades
y conocimiento)
- Asignar recursos tecnológicos
- Elaborar un plan de capacitación
Introducción
* Administración de los Recursos de Auditoria de SI
* Administración de los Recursos de Auditoria de SI
•
¿Qué factores determinan cuantos
auditores de SI se necesitan?
Introducción
* Planeación de la Auditoria
* Planeación de la Auditoria
Introducción
* Planeación de la Auditoria
* Planeación de la Auditoria
• Lograr un entendimiento de la misión, los objetivos, el propósito
y los procesos del negocio
• Identificar contenidos específicos (políticas, estándares y
directrices requeridos, procedimientos y estructura de la organización)
•
Evaluar el análisis de riesgos y todo análisis de impacto sobre la
privacidad
•
Realizar un análisis de riesgos
•
Llevar a cabo una revisión de control interno
•
Establecer el alcance y los objetivos de la auditoria
•
Desarrollar el enfoque o la estrategia de auditoria
•
Asignar recursos humanos a la auditoria y dirigir la logística de
trabajo
Introducción
* Efecto de las Leyes y Regulaciones sobre la planificación de Auditoria de SI
* Efecto de las Leyes y Regulaciones sobre la planificación de Auditoria de SI
Regulaciones legales:
-
Establecimiento de los requerimientos regulatorios
-
Organización de los requerimientos regulatorios
-
Responsabilidades asignadas a las entidades correspondientes
-
Correlación con las funciones de auditoría financiera, operacional y de TI
Introducción
* Efecto de las Leyes y Regulaciones sobre la planificación de Auditoria de SI
* Efecto de las Leyes y Regulaciones sobre la planificación de Auditoria de SI
Áreas
de Interés:
- Requerimientos legales (leyes, acuerdos
regulatorios y contractuales) aplicables a la Auditoria de SI.
- Requerimientos legales aplicables al
auditado y a sus sistemas, administración de datos, informes, etc.
Introducción
* Efecto de las Leyes y Regulaciones sobre la planificación de Auditoria de SI
* Efecto de las Leyes y Regulaciones sobre la planificación de Auditoria de SI
Pasos para determinar el cumplimiento con los
requerimientos externos:
- Identificar los requerimientos
gubernamentales u otros externos relevantes
- Documentar las leyes y regulaciones
pertinentes
- Determinar si la administración y la función
de SI han considerado los requerimientos externos relevantes
- Revisar los documentos internos del
departamento de SI que se ocupan del cumplimiento de las leyes que le son
aplicables
- Determinar el cumplimiento con los
procedimientos establecidos
04 de noviembre del 2013
CASO
ENRON:
Antecedentes
• 1985
• Actividades
iniciales exitosas en conducción de gas natural y electricidad
• Comercializadora de energía
más poderosa del mundo
• Se lanza a los
mercados de carbón, papel, acero, agua
• Gozaba de gran
prestigio y gran crédito gracias al enorme poderío que le daba su
capitalización en el mercado
CASO ENRON:
Antecedentes
• 1999 funda Enron online
• Lo más valioso, sus acciones
• En Agosto de 2000 alcanza el mayor valor de
venta de sus acciones ($90.56)
• Ocupaba el lugar No. 7 en la lista de las 500
empresas más importantes de EE.UU (Fortune)
CASO ENRON:
En picada
•
Compensaciones excesivas a altos ejecutivos y
socios
•
Despilfarro de fondos por las grandes
contribuciones a la financiación de campañas políticas
•
Posibles sobornos
•
Recursos mal empleados por la dirección
•
Inversiones torpes y poco planificadas
CASO ENRON:
En picada
• En Marzo de 2001 la cotización por acción baja
a $60.00
• Incursiona con un rotundo fracaso en el
terreno de las telecomunicaciones
• En el tercer trimestre de 2001 reporta una
pérdida de más de $1000 millones
• El 2 de Diciembre de 2001 la empresa se
declara en suspensión de pagos
CASO ENRON:
En picada
•
Despide a más de 4.500 empleados
•
El valor por acción cae a menos de 26 centavos
•
Deja de cotizar por rebasar el límite inferior
de $1
•
La compañía acumula deudas de más de $30.000
millones
•
Pierde a su Vicepresidente ejecutivo por
suicidio
CASO ENRON:
¿Dónde estaban los auditores?
¿Dónde estaban los auditores?
• Arthur Andersen fue una de las firmas
auditoras más importantes del mundo
• Enron era el segundo cliente más importante de
AA
• El trabajo de AA para Enron superaba los $50
millones anuales
• Si AA hubiese hecho sonar el silbato en su
momento ante las dudosas transacciones financieras, Enron se habría visto
obligada a poner freno al crecimiento descontrolado de su deuda
CASO ENRON:
Responsabilidades
Responsabilidades
• Comportamientos despiadados y completamente
inmorales imperaban en los niveles superiores de la dirección (desenfreno y
avaricia)
• Prácticas habituales de ocultar enormes
deudas, engaño a los accionistas sobre la posición de liquidez
• Gran cantidad de “auto-operaciones”
CASO ENRON:
Responsabilidades
Responsabilidades
• La firma AA destruyo papeles y archivos
electrónicos correspondientes a las auditorias (1997-2000)
• La actuación de AA dio origen a una demandada
de las autoridades por obstrucción a la justicia, destrucción y alteración de
documentos
•
La gran estafa de Enron a sus empleados y
accionistas concluyó en penas de cárcel para sus directivos
•
Su ex-presidente falleció antes de cumplir los
45 años de sentencia
CASO ENRON:
El fin
• La firma AA admitió que se destruyeron algunos
documentos, pero dijo que era un procedimiento normal
• Los miembros del jurado tras diez días de
deliberaciones no lograban llegar a una decisión unánime sobre la inocencia o
culpabilidad
• Finalmente el tribunal falló en contra de la
firma auditora
• La firma auditora AA es sentenciada a entregar
su licencia de operaciones
CASO ENRON:
Política y Legislación
Política y Legislación
•
La actitud política general estaba menos
preocupada por proteger los intereses de los accionistas que los de los
directivos
•
El sistema político y legislativo permitió que
se extendiera esta cultura
•
Florecimiento de la filosofía de la avaricia
CASO ENRON:
Política y Legislación
Política y Legislación
• La Ley Sarbanes-Oxley, pretende:
- Aumentar las penas por delitos
societarios
- Aumentar la autoridad y
responsabilidad de los comités de auditoria
- Definir estándares de
responsabilidad profesional para los abogados
- Limitar el alcance de los
servicios que los auditores pueden prestar a sus clientes
- Eliminar los préstamos a
directivos y administradores
Estándares y Directrices para la
Auditoria de Sistemas de Información
* Código de Ética Profesional
* Código de Ética Profesional
•
Apoyar la implementación y fomentar el
cumplimiento de las normas, los procedimientos y los controles apropiados en
los SI.
Ejecutar
sus labores con objetividad, diligencia y cuidado profesional, de conformidad
con las normas y mejores prácticas profesionales.
Estándares y Directrices para la
Auditoria de Sistemas de Información
* Código de Ética Profesional (Cont.)
* Código de Ética Profesional (Cont.)
• Servir en el interés de los accionistas en una
forma legal y honesta, y al mismo tiempo mantener altos estándares de conducta
y de carácter, y no involucrarse en actos que puedan desacreditar la profesión.
• Mantener la privacidad y la confidencialidad
de la información obtenida en el curso de su función a menos que la autoridad
legal requiera su revelación. Dicha información no será usada para beneficio
personal ni será revelada a terceros.
Estándares y Directrices para la
Auditoria de Sistemas de Información
* Código de Ética Profesional (Cont.)
* Código de Ética Profesional (Cont.)
• Mantener competencia en sus respectivos campos
y se comprometerá a emprender únicamente las actividades que puedan realizar
con competencia profesional.
• Informar a las personas adecuadas los
resultados del trabajo realizado, revelando todos los hechos significativos de
los que tengan conocimiento.
• Apoyar la educación profesional de los
accionistas para mejorar su comprensión sobre seguridad y control de los
sistemas de información.
Estándares y Directrices para la
Auditoria de Sistemas de Información
* Estándares para la Auditoria de Sistemas de Información
* Estándares para la Auditoria de Sistemas de Información
•
Estándares.
•
Directrices.
•
Procedimientos.
Estándares y Directrices para la
Auditoria de Sistemas de Información
* Estándares para la Auditoria de Sistemas de Información
* Estándares para la Auditoria de Sistemas de Información
•
S1 Estatuto de Auditoria
•
S2 Independencia
•
S3 Ética y Estándares Profesionales
•
S4 Competencia profesional
•
S5 Planeación
•
S6 Ejecución del Trabajo de Auditoria
•
S7 Informe
•
S8 Actividades de Seguimiento
•
S9 Irregularidades y Actos Ilícitos
•
S10 Gobierno de TI
•
S11 Uso de la Evaluación de riesgos en la
planeación de Auditoria
Estándares y Directrices para la
Auditoria de Sistemas de Información
* Directrices para la Auditoria de Sistemas de Información
* Directrices para la Auditoria de Sistemas de Información
•
Considerarlas para determinar cómo implementar
los estándares.
•
Usar el juicio profesional para aplicarlas.
•
Poder justificar cualquier diferencia.
- G1 Uso del trabajo de otros
auditores, 01/06/1998
- G7 Debido cuidado profesional,
01/09/1999
- G19 Irregularidades y actos
ilegales, 01/07/2002
Estándares y Directrices para la
Auditoria de Sistemas de Información
* Relación entre Estándares, Directrices y Procedimientos
* Relación entre Estándares, Directrices y Procedimientos
Uso del juicio profesional
Análisis
de Riesgos
“El
potencial de que una amenaza determinada explote las vulnerabilidades de un
activo o grupo de activos, ocasionando pérdida o daño a los activos”
Directrices para la Administración
de Seguridad de TI (ISO)
Análisis de Riesgos
•
Categorías de Activos:
- Información:
Tipo de soporte: papel,
electrónico
B/D, ficheros, manuales,
contratos, etc
- Software:
Aplicaciones, S.O.,
utilidades, etc
- Físicos:
Ordenadores (PC,
servidores, portátiles…)
Comunicaciones (router,
switch, hub…)
Soportes (discos,
cintas…)
- Servicios
Energía, telefonía, etc
- Personas
Conocimiento
- Imagen
Análisis de Riesgos
•
Amenaza:
- Declaración intencionada de
infligir un daño (robo, acceso no autorizadad)
- Potencial de que un incidente
no querido pueda producir daños a la información (humano, técnico)
- Desastre natural, intencional o
accidental (inundación, terremoto, incendio )
Análisis de Riesgos
•
Vulnerabilidad
- Debilidad o agujero en la
seguridad de la organización (falta de control de acceso, equipos en lugares
inadecuados, cables desprotegidos, falta de personal clave, mantenimiento
inexistente, puertas abiertas)
“Una
vulnerabilidad, por si misma, no produce daños. Es una condición para que la
amenaza afecte al activo”
Análisis
de Riesgos
•
Riesgo y Planeación de la Auditoria
“El análisis de riesgos es parte de la
planeación de la auditoria y ayuda a identificar riesgos y vulnerabilidades
para que el auditor pueda determinar los controles necesarios para mitigar esos
riesgos”
30 de noviembre del 2013
COBIT
Es
un conjunto de mejores prácticas para la administración IT creado por ISACA, e
ITGI en 1992.
COBIT
brinda a managers, auditores y usuarios IT, un conjunto de medidas,
indicadores, procesos y mejores prácticas de consenso general para asistirlos en
maximar los beneficios derivados del uso de las tecnologías de información y
para obtener un control de conocimiento apropiado de IT en la organización.
ISACA
Es
el acrónimo de information Systems Audit and Control Association( Asociacion de
información), una asociación internacional que apoya y patrocina el desarrollo
de metodologías y certificaciones para la realización de actividades auditoria
y control en sistemas de información.
IT
Governance Institute (ITGI, en inglés: IT
Governance Institute) Tecnologia de la información de gobierno es una
disciplina subconjunto de gobierno corporativo centrado en la informática de
sistemas (IT) y de su rendimiento y la gestión de riesgos.
EDICIONES
la
primera edición fue publicada en 1996;
la segunda edición en 1998; la tercera edición en 2000(la edición
on-line estuvo disponible en 2003); y la cuarta edición en diciembre de 2005, y
la versión 4.1 esta disponible desde mayo de 2007. En la actualidad el ISACA
lanzo COBIT 5 el dia 10 de Abril.
Cobit 4.1
En
su cuarta edición, COBIT tiene 34 objetivos de alto nivel que cubren 210
objetivos de control(específicos o detallados) clasificados en cuatro:
dominios: Planificacion y Organización, Adquisición e Implementación, Entrega y
Soporte, y Supervision y E valuación. En ingles: Plan and Organize, Acquire
and Implement, Deliver and Support, and Monitor and E valuate.
COBIT 5
Isaca
lanzo el 10 de abril del 2012 la nueva edicion de este marco de referencia.
COBIT 5 es la última edicion del framework mundialmente aceptado, el cual
proporciona una visión empresarial de del Gobierno de TI que tiene a tecnología
y a la informacion como protagonista en la creación de valor para las empresas.
COBIT
5 se basa en COBIT 4,1 y a su vez lo amplia mediante la integración de otros
importantes marcos y normas como VALT IT, Information Technology Infrastructure
Library
( ITIL ) y las normas ISO relacionadas.
MISION
Investigar,
desarrollar, publicar y promover un conjunto de objetivos de control de TI
rectores, actualizados, internacional, y generalmente aceptados para ser
utilizadas diariamente por gerentes de negocio y Auditores.
VISION
Consolidar
como líder mundialmente conocido en materia de gobierno, control y
aseguramiento de la gestión de TI
.
VAL IT
Recientemente,
ISACA ha publicado VAL IT, que relaciona los procesos de COBIT con los procesos
de la gerencia mayor requerimiento en tecnologías de la informacion.
Como satisface las
necesidades:
¿Para
quienes?
- Gerentes de negocio
- · Gerentes de TI
- · Gerentes de riesgos
- · Usuarios de TI
- · Auditores
Para que?
- Alineación de objetivos de TI y del negocio.
- · Establecer una orientación a procesos.
- · Ser consistente con las mejores practicas y estándares control (COSO) y de TI, independiente de tecnologías especificas.
- · Proporcionar un lenguaje común para todos los interesados.
- Orientado al negocio2. Procesos orientados3. Basados en controles4. Generador de mediciones
Orientado al negocio
Es
el tema principal de COBIT. Esta diseñado para ser utilizados no solo por
proveedores de servicios, usuarios y auditoriores de TI, sino también y
principalmente, como guía integral para la gerencia y para los propietarios de los procesos de
negocio.
- Principio básico
Proporcionar
la informacion que la empresa necesita para logro de sus objetivos, requiere
administrar y controlar los recursos de TI usando un conjunto estructurado de
procesos que ofrezcan los servicios requeridos de informacion.
- CRITERIOS DE INFORMACION
- METAS DE NEGOCIOS Y DE TI.
PROCESOS
ORIENTADOS
Cobit define las actividades de TI en un
modelo genérico de procesos en cuarto dominios. Estos dominios son:
- Planear y Organizar.
- Adquirir e Implementar
- Entregar y Dar Soporte
- Monitorear y Evaluar
- Planear y Organizar
- Monitorear y Evaluar
BASADOS EN CONTROLES
Control: Politicas, Procedimientos, practicas
diseñadas para brindar seguridad razonable que los objetivos serán alcanzados.
OBJETIVOS
DE CONTROL DE
- Procesos COBIT
1. Dueño
del proceso
2. Reiterativo
3. Metas
y objetivos
4. Roles
y Responsabilidades
5. Desempeño
del proceso
6. Políticas,
Planes, y Procedimientos. - CONTROLES DEL NEGOCIO Y CONTROLES DE TI
- AL NIVEL DE DIRECCION JECUTIVA: fijar objetivos políticas, tomar decisiones de como administrar los recursos.
- AL NIVEL DE PROCESO DE NEGOCIO: Aplicar controles para actividades específicas del negocio.
- PARA SOPORTAR DEL NEGOCIO: TI provee un servicio común (redes, bases de datos, sistemas operativos, almacenamiento).
GENERADORES
DE MEDICION
- Una necesida básica de toda empresa es entender el estado de sus propios sistemas de TI y decidir que nivel de administración y control debe proporcionar la empresa. ¿Qué se debe medir y cómo?
- Modelo de Madurez: por medio del Benchamarking identificación de las mejores prácticas en la capacidad.
- Metas y Mediciones de desempeño para procesos TI: demuestran como los procesos satisfacen las necesidades del negocio y de TI y como se usan para medir el desempeño de los procesos interno.
Indicadores
de desempeño
Los indicadores clave de
desempeño (KPI) definen mediciones que determinan que tan bien se está
desempeñando el proceso de TI para
alcanzar la meta. Son los indicadores principales que indican si será factible
lograr una meta o no, y son buenos indicadores de las capacidades, prácticas y
habilidades. Miden las metas de las actividades, las cuales son las acciones que
el propietario del proceso debe seguir para logar un efectivo desempeño del
proceso.
Mediciones
de desempeño
- COBIT utiliza dos tipos de métrica : indicadores de metas e indicadores de desempeño.
- Los indicadores clave de metas( KGI) definen mediciones para onformar a la gerencia- después del hecho. Si un proceso TI alcanzo sus requerimientos del negocio, y se expresan por lo general en términos de criterios de información:
- Disponibilidad de información necesaria para dar soporte a las necesidades del negocio. Ausencia de riesgos de integridad y de confidencialidad.
- Rentabilidad de procesos y operaciones
- Confirmación de confiabilidad, efectividad y cumplimiento.
Las
métricas efectivas dben de tener las siguientes características:
- Una alta proporción entendimiento esfuerzo (esto es, el entendimiento del desempeño y del logro de las metas en contraste con el esfuerzo de logralos).
- Deben ser comparables internamente (esto es, un porcentaje en contraste con una base o números en el tiempo).
- Deben ser comparables externamente sin tomar en cuenta el tamaño de la empresa o la industria.
- Se ingresan los procesos de negocio que son de interés. Menu: centro de Analisis.
- Se identifica cuales son los requerimientos de la información necesarios que debe disponer TI y las áreas de negocio, para cumplir con los procesos del negocio.
- Mediante el boton "Comenzar con la Auditoria" iniciara las etapas para auditar los Procesos de COBIT (Objetivos de alto nivel) seleccionados. A partir de aqui COBIT asiste al auditor en el procesos de arribar a una conclisión sobre el Objetivo de Control de alto nivel (en este caso).
ETAPAS
- Etapa 1: Entrevista
Las entrevistas permiten tener una primera visión
del objeto de la auditoria. En este caso son con los usuarios del sistema para
entender su visión en en cuanto al funcionamiento.
Asimismo se entrevistara a la
gerencia de Sistemas y a la persona encargada del mantenimiento del aplicativo.
- Etapa 2: Documentación
En este caso se obtienen los manuales técnicos y de usuarios de la aplicación.
- Etapa 3: Emisión de una primera opinion
A partir
de las etapas anteriores y de algunos trabajos de campo puede
determinarse si existen controles suficientes para los riesgos
involucrados en la aplicación.
- Etapa 4: Verificar el cumplimiento de los control
Aquí se revisa que esos
controles estén funcionando.
- Etapa 6: Emisión de una conclusion final
La conclusión se respalda en
todos los pasos anteriores del proceso de auditoría. Además debe tener en
cuenta los hallazgos. Es bueno usar escalas uniformes para las evaluaciones de
modo de poder comparar los juicios.
EJEMPLOS
03 de diciembre del 2013
Gobierno Corporativo
corporación, tales como la Junta, los gerentes, los accionistas y otras
partes interesadas,
y explica las reglas y procedimientos para tomar decisiones
sobre los asuntos
corporativos”
Organización para la Cooperación y el
Desarrollo Económico (OECD)
Gobierno Corporativo
- Conjunto de responsabilidades y prácticas ejercidas por el personal y la dirección ejecutiva con el objetivo de:
- Proveer dirección estratégica.
- Asegurar que los objetivos son alcanzados.
- Controlar que los riesgos son manejados de
manera apropiada.
- Verificar que los recursos de la empresa son
usados con responsabilidad.
Gobierno Corporativo
- Estructura a través de la cual se fijan los objetivos de la compañía y los medios para lograr dichos objetivos y monitorear el desempeño
- Requiere de un sistema de control interno para monitorear los riesgos
- Provee una plataforma para la protección de las partes interesadas definiendo las responsabilidades de la Junta Directiva, en un marco de transparencia
Gobierno Corporativo
- Objetivos principales:
- Velar por la transparencia
- Permitir el conocimiento de cómo los
directivos gestionan los recursos
- Proveer de instrumentos de resolución de
conflictos de interés entre los distintos grupos que conforman el gobierno
Prácticas
de Monitoreo y Aseguramiento para la Junta y
la Gerencia Ejecutiva
- Las empresas están regidas por las mejores prácticas generalmente aceptadas, cuyo aseguramiento está garantizado por ciertos controles
- La TI es también gobernada por las mejores prácticas, que aseguran que la información y la tecnología relacionada de la organización soportan los objetivos del negocio, que sus recursos sean utilizados de manera responsable, y sus riesgos sean administrados de manera apropiada
- ¿Qué espera el negocio de TI?
- Mantener los sistemas ejecutándose
- Administrar complejidad
- Alinear la TI con el negocio
- Cumplimiento de regulaciones
- Seguridad
- Las organizaciones requieren de un enfoque estructurado para administrar estas y otras demandas.
la Gerencia Ejecutiva
• El Gobierno de TI:
- Es una parte integral del gobierno
corporativo y consiste en la dirección, estructura y los procesos
organizacionales que aseguran que la TI corporativa soporta la consecución de
la estrategia de la organización y sus objetivos
- La responsabilidad del Gobierno de TI es de
los ejecutivos y el directorio de la organización
Prácticas de Monitoreo y Aseguramiento para la Junta y
la Gerencia Ejecutiva
* Mejores prácticas de ITGI para el Gobierno de TI
- Áreas de enfoque del Gobierno de TI
Prácticas
de Monitoreo y Aseguramiento para la Junta y la Gerencia Ejecutiva
* Mejores prácticas de ITGI para el Gobierno de TI
• Alineación
Estratégic
-
Se enfoca en garantizar el vínculo entre los planes del negocio y de TI,
alinear las operaciones de TI con las operaciones de la empresa
•Dar
Valor
- Se enfoca en asegurar que TI genere los
beneficios prometidos en la estrategia
•Gestión
de Riesgos
-
Requiere conciencia de los riesgos por parte de los altos ejecutivos,
un claro entendimiento del apetito al
riesgo
- Se trata de la inversión óptima, así como la administración adecuada de los recursos críticos de TI, aplicaciones, información, infraestructura y personas
- Rastrea y monitorea la estrategia de implementación, la terminación del proyecto, el
uso de los recursos, el desempeño de los procesos y la entrega del servicio
“Los
recursos de TI deben usarse responsablemente, y los
riesgos relacionados con TI
deben ser administrados de
manera apropiada”
No hay comentarios:
Publicar un comentario