Prácticas y controles de Tecnologías de Información

Fuente: Metodología de Auditoría de Informática / Administración y Seguridad de Proyectos de TI

MATRIZ DE OBJETIVOS DE CONTROL POR COMPONENTE DE TECNOLOGÍA DE INFORMACIÓN

COBIT COMPONENTES DEL AREA DE ADMINISTRACION DE
INFORMATICA

Proceso Nombre Misión y Visión Organización Servicios

Ambiente de
PO6.1 Políticas y de
Control.

PO6.2 Riesgo Corporativo

y Marco de
Referencia de
Control Interno de
TI
Política
Administración de PO6AFIO-3
PO6.3 Políticas para TI

Implantación de
PO6.4 Políticas de TI

Comunicación de Política Política Política

PO6.5 los Objetivos y la PO6AFIMV-5 PO6AFIO-5 PO6AFIS-5
Dirección de TI

Derechos Reservados 1993, 2004, 2011 Enrique Hernández, CISM, CGEIT

 Prácticas y controles de Tecnologías de Información
Fuente: Metodología de Auditoría de Informática / Administración y Seguridad de Proyectos de TI

PO6.1 Ambiente de Políticas y de Control

Definir los elementos de un ambiente de control para TI, alineados con la
filosofía administrativa y el estilo operativo de la empresa. Estos elementos
incluyen las expectativas / requerimientos respecto a la entrega de valor
proveniente de las inversiones en TI, el apetito de riesgo, la integridad, los
valores éticos, la competencia del personal, la rendición de cuentas y la
responsabilidad. El ambiente de control se basa en una cultura que apoya la
entrega de valor, mientras administra riesgos significativos, fomenta la
colaboración entre divisiones y el trabajo en equipo, promueve el cumplimiento
y la mejora continua de procesos, y maneja las desviaciones (incluyendo las
fallas) de forma adecuada.

PO6.2 Riesgo Corporativo y Marco de Referencia de Control Interno de TI

Elaborar y dar mantenimiento a un marco de trabajo que establezca el enfoque
empresarial general hacia los riesgos y el control que se alinee con la política
de TI, el ambiente de control y el marco de trabajo de riesgo y control de la
empresa.

PO6.3 Administración de Políticas para TI

Elaborar y dar mantenimiento a un conjunto de políticas que apoyen la
estrategia de TI. Estas políticas deben incluir su intención, roles y
responsabilidades, procesos de excepción, enfoque de cumplimiento y
referencias a procedimientos, estándares y directrices. Su relevancia se debe
confirmar y aprobar en forma regular.

PO6.4 Implantación de Políticas de TI

Asegurarse de que las políticas de TI se implantan y se comunican a todo el
personal relevante, y se refuerzan, de tal forma que estén incluidas y sean
parte integral de las operaciones empresariales.

PO6.5 Comunicación de los Objetivos y la Dirección de TI

Asegurarse de que la conciencia y el entendimiento de los objetivos y la
dirección del negocio y de TI se comunican a los interesados apropiados y a
los usuarios de toda la organización.
.

Derechos Reservados 1993, 2004, 2011 Enrique Hernández, CISM, CGEIT

 Prácticas y controles de Tecnologías de Información
Fuente: Metodología de Auditoría de Informática / Administración y Seguridad de Proyectos de TI

POLÍTICA PO6AFIMV-5

Se deberá realizar un informe donde llevará la misión y visión de la organización de TI, la

cual se deberá comunicar a los interesados apropiados y a los usuarios de toda la
empresa.
Donde la misión es la razón de ser de la empresa, el motivo por el cual existe. Así mismo
es la determinación de la/las funciones básicas que la empresa va a desempeñar en un
entorno determinado para conseguir tal misión.
Y la visión es un elemento complementario de la misión que impulsa y dinamiza las
acciones que se lleven a cabo en la empresa. Ayudando a que el propósito estratégico
se cumpla.

PROCEDIMIENTO PO6AFIMV-5
POLÍTICAS
ASOCIADAS DEL
PROCESO
PO6: 1. El responsable de la Gerencia o Dirección de TI deberá de
comunicar el informe a todos los usuarios claves del negocio.

POLÍTICAS
ASOCIADAS DE
2. Se les hará llegar a los usuarios el informe por medio de alguna
OTROS revista, portal de internet y correo electrónico de la empresa.
PROCESOS:

3. El responsable de la Gerencia deberá capacitar a todo usuario

que se le comunicó la misión y visión.

4. Todos los usuarios de cada área deberán de conocer y

comprender la misión y visión.

5. Todos los usuarios de cada área deberán de trabajar en conjunto

para llevar a cabo lo que se propone.

Derechos Reservados 1993, 2004, 2011 Enrique Hernández, CISM, CGEIT

 Prácticas y controles de Tecnologías de Información
Fuente: Metodología de Auditoría de Informática / Administración y Seguridad de Proyectos de TI

POLÍTICA PO6AFIO-3

Se deberá elaborar un manual que contenga un organigrama para delegar los roles y
responsabilidades a cada usuario de la empresa dependiendo del departamento,
procesos de administración.

PROCEDIMIENTO PO6AFIO-3
POLÍTICAS
ASOCIADAS DEL
1. El responsable de la Gerencia o el Director debe definir lo que es
PROCESO un organigrama.
PO6:
2. Es responsable la Gerencia o Dirección de verificar a los
usuarios de la empresa qué papel juega cada uno y cuáles son
POLÍTICAS
las responsabilidades para realizar su organigrama.
ASOCIADAS DE
OTROS 3. Se dará a conocer la difusión de los puestos para cada usuario
PROCESOS:
dependiendo de sus habilidades, y los usuarios tendrán que
asimilar su puesto.

4. Es responsabilidad de la Gerencia o Dirección llenar el

documento del proceso de administración, conforme este el
organigrama.

5. Todos los documentos del organigrama y los procesos de

administración deben estar autorizados por el responsable de la
Dirección o Gerencia.

6. Todos los organigramas y procesos de administración deberán

ser actualizados cuando exista un nuevo usuario en la empresa.

Derechos Reservados 1993, 2004, 2011 Enrique Hernández, CISM, CGEIT

 Prácticas y controles de Tecnologías de Información
Fuente: Metodología de Auditoría de Informática / Administración y Seguridad de Proyectos de TI

POLÍTICA PO6AFIO-5

Se deberá informar a los usuarios de la empresa el organigrama y el desempeño de cada

uno.

PROCEDIMIENTO PO6AFIO-5
POLÍTICAS
ASOCIADAS DEL 1. El responsable de la Gerencia o Dirección tendrá que
PROCESO informar a los usuarios de la empresa sobre el organigrama
PO6: que se realizó.

2. Se informará a los usuarios dicho documento mediante

POLÍTICAS revistas, portal de internet y correo electrónico de la
ASOCIADAS DE
empresa.
OTROS
PROCESOS:
3. El Jefe de cada departamento deberá ser el responsable de
que sus usuarios comprendan y entiendan el organigrama
de la empresa y el de cada departamento.

4. Se llevará a cabo una pequeña capacitación a los usuarios

para que sea mejor entendible el organigrama.

Derechos Reservados 1993, 2004, 2011 Enrique Hernández, CISM, CGEIT

 Prácticas y controles de Tecnologías de Información
Fuente: Metodología de Auditoría de Informática / Administración y Seguridad de Proyectos de TI

POLÍTICA PO6AFIS-5

Se deberá tener un catálogo de servicios de informática para el personal interno de la

empresa.

PROCEDIMIENTO PO6AFIS-5
POLÍTICAS
ASOCIADAS DEL 1. El responsable de TI deberá conocer los servicios que
PROCESO necesita cada departamento.
PO6:
2. Se deberá comunicar los objetivos y alcances de los
servicios de informática.
POLÍTICAS
ASOCIADAS DE
3. Se comunicará que servicios están disponibles para cada
OTROS
PROCESOS: área de departamento.

4. Cada jefe del departamento será el responsable de solicitar

el servicio de informática que requiera.

5. La Dirección será la encargada de autorizar el servicio que

se solicite por el encargado de cada departamento.

6. El encargado del departamento les notificará a sus usuarios

como trabajar con el servicio que se solicitó.

7. Se les brindará un curso de cómo manejar el servicio.

Derechos Reservados 1993, 2004, 2011 Enrique Hernández, CISM, CGEIT

 Prácticas y controles de Tecnologías de Información
Fuente: Metodología de Auditoría de Informática / Administración y Seguridad de Proyectos de TI

MATRIZ DE OBJETIVOS DE CONTROL POR COMPONENTE DE TECNOLOGÍA DE INFORMACIÓN

COBIT COMPONENTES DEL AREA DE DIRECCION Y
NIVELES EJECUTIVOS

Proceso Nombre Comunicación e

Integración

Ambiente de
PO6.1 Políticas y de
Control.

PO6.2 Riesgo Corporativo

y Marco de
Referencia de
Control Interno de
TI

Administración de Política
PO6.3 Políticas para TI
PO6DNECI-3

Implantación de
PO6.4 Políticas de TI

Comunicación de
PO6.5 los Objetivos y la
Dirección de TI

Derechos Reservados 1993, 2004, 2011 Enrique Hernández, CISM, CGEIT

 Prácticas y controles de Tecnologías de Información
Fuente: Metodología de Auditoría de Informática / Administración y Seguridad de Proyectos de TI

POLÍTICA PO6DNECI-3

Los ejecutivos deberán involucrarse más en los procesos y funciones de la informática.

PROCEDIMIENTO PO6DNECI-3
POLÍTICAS
ASOCIADAS DEL 1. Deberán conocer la misión de informática.
PROCESO
PO6: 2. La Dirección de Informática deberá de redactar los procesos
de la informática.

POLÍTICAS 3. El área de Recursos Humanos nos apoyará en conjunto con

ASOCIADAS DE
la Dirección de TI en difundir las funciones de la informática.
OTROS
PROCESOS:
4. Deberá existir un compromiso por parte de la Dirección para
brindar el apoyo a los usuarios en las funciones de la
informática.

5. Se deberá realizar un comité de informática con un líder,

quien tendrá la autoridad necesaria para tomar las
decisiones.

6. La Dirección de TI será la encargada de revisar y aprobar

los proyectos, como el contenido, tiempo y al responsable.

Derechos Reservados 1993, 2004, 2011 Enrique Hernández, CISM, CGEIT

 Prácticas y controles de Tecnologías de Información
Fuente: Metodología de Auditoría de Informática / Administración y Seguridad de Proyectos de TI

MATRIZ DE OBJETIVOS DE CONTROL POR COMPONENTE DE TECNOLOGÍA DE INFORMACIÓN

COBIT COMPONENTES DEL AREA USUARIOS DE
INFORMATICA

Proceso Nombre Comunicación e Proyectos Grado de

Integración Conjuntos Satisfacción

Ambiente de
PO6.1 Políticas y de
Control.

PO6.2 Riesgo Corporativo

y Marco de
Referencia de
Control Interno de
TI
Política Política
Administración de PO6UIPC-3 PO6UIGS-3
PO6.3 Políticas para TI

Implantación de
PO6.4 Políticas de TI

Comunicación de Política
PO6.5 los Objetivos y la PO6UIGS-5
Dirección de TI

Derechos Reservados 1993, 2004, 2011 Enrique Hernández, CISM, CGEIT

 Prácticas y controles de Tecnologías de Información
Fuente: Metodología de Auditoría de Informática / Administración y Seguridad de Proyectos de TI

POLÍTICA PO6UIPC-3

Cada departamento deberá trabajar en conjunto para realizar proyectos, para el buen
funcionamiento de la empresa.

PROCEDIMIENTO PO6UIPC-3
POLÍTICAS
ASOCIADAS DEL 1. Los usuarios deberá de informar al líder que tipo de
PROCESO proyecto quieren desarrollar.
PO6:
2. El equipo deberá tener un plan de trabajo para sacar el
proyecto adelante.
POLÍTICAS
ASOCIADAS DE
3. El líder del proyecto deberá delegar las actividades y
OTROS
PROCESOS: responsabilidades de cada miembro del equipo del
proyecto.

4. El Jefe del departamento será el que apruebe el proyecto

que se está realizando.

5. Después de ser aprobado se envía a la administración para

que este a su vez le comunique a la Dirección de TI.

6. Una vez aprobado el proyecto por la Dirección se le da

seguimiento para ponerlo en práctica.

7. El líder será el responsable de que el proyecto se lleve de

forma correcta y que no exista ninguna modificación.

Derechos Reservados 1993, 2004, 2011 Enrique Hernández, CISM, CGEIT

 Prácticas y controles de Tecnologías de Información
Fuente: Metodología de Auditoría de Informática / Administración y Seguridad de Proyectos de TI

POLÍTICA PO6UIGS-3

La organización deberá hacer un documento para evaluar los servicios que se brinden
a todo el personal interno.

PROCEDIMIENTO PO6UIGS-3
POLÍTICAS
ASOCIADAS DEL 1. La administración deberá estar al tanto de los servicios y
PROCESO PO6: productos que se les brinden a los usuarios.

2. Se deberá hacer un formato para la evaluación de los

POLÍTICAS servicios de informática.
ASOCIADAS DE
OTROS
3. La administración será la encargada de difundir el formato
PROCESOS:
de la evaluación para que los usuarios nos comuniquen las
necesidades que se presenten.

4. Cada usuario deberá de evaluar el grado de satisfacción del

servicio que se le brindó.

5. El Jefe de cada departamento deberá recolectar el formato

de la evaluación y el será el responsable de enviarlo a la
administración.

6. La administración será la encargada de verificar la

evaluación y las necesidades de los usuarios.

7. Después se enviara el grado de satisfacción de los servicios

así como las necesidades de cada departamento.

8. La Dirección en base a los resultados obtenidos podrá hacer

cambios si existe una inconformidad ante algún servicio.

Derechos Reservados 1993, 2004, 2011 Enrique Hernández, CISM, CGEIT

 Prácticas y controles de Tecnologías de Información
Fuente: Metodología de Auditoría de Informática / Administración y Seguridad de Proyectos de TI

POLÍTICA PO6UIGS-5

La Dirección de TI comunicará el grado de satisfacción de los servicios que brinda la

organización.

PROCEDIMIENTO PO6UIGS-5
POLÍTICAS
ASOCIADAS DEL 1. Se deberá comunicar a cada uno de los jefes del
PROCESO departamento la información que se recabo.
PO6:
2. Se les hará llegar la decisión que se tomó en base a la
evaluación de los servicios.
POLÍTICAS
ASOCIADAS DE
3. La Dirección de TI tendrá que comunicar a todos los
OTROS
PROCESOS: miembros de la organización si habrá alguna modificación
con respecto a los servicios.

Derechos Reservados 1993, 2004, 2011 Enrique Hernández, CISM, CGEIT

 Prácticas y controles de Tecnologías de Información
Fuente: Metodología de Auditoría de Informática / Administración y Seguridad de Proyectos de TI

MATRIZ DE OBJETIVOS DE CONTROL POR COMPONENTE DE TECNOLOGÍA DE INFORMACIÓN

COBIT COMPONENTES DEL AREA DE PLANEACION DE
INFORMATICA

Proceso Nombre Capacitación/Actualización

Ambiente de
PO6.1 Políticas y de
Control.

PO6.2 Riesgo
Corporativo y
Marco de
Referencia de
Control Interno de
TI

Administración de Política
PO6.3 Políticas para TI
PO6PICA-3

Implantación de
PO6.4 Políticas de TI

Comunicación de
PO6.5 los Objetivos y la Política
Dirección de TI
PO6PICA-5

Derechos Reservados 1993, 2004, 2011 Enrique Hernández, CISM, CGEIT

 Prácticas y controles de Tecnologías de Información
Fuente: Metodología de Auditoría de Informática / Administración y Seguridad de Proyectos de TI

POLÍTICA PO6PICA-3

La organización tendrá que tener un procedimiento para capacitar a los usuarios.

PROCEDIMIENTO PO6PICA-3
POLÍTICAS
ASOCIADAS DEL 1. La administración será la encargada de elaborar la
PROCESO metodología para la capacitación de los usuarios.
PO6:
2. El departamento de Recursos Humanos tendrá que
documentar la metodología.
POLÍTICAS
ASOCIADAS DE
3. El departamento de Recursos Humanos pondrá en práctica
OTROS
PROCESOS: la metodología.

4. Se deberá de programar el calendario con las fechas,

costos y el responsable que lo va a impartir.

5. La administración debe registrar que usuarios van a tomar

los cursos.

Derechos Reservados 1993, 2004, 2011 Enrique Hernández, CISM, CGEIT

 Prácticas y controles de Tecnologías de Información
Fuente: Metodología de Auditoría de Informática / Administración y Seguridad de Proyectos de TI

POLÍTICA PO6PICA-5

La Dirección deberá comunicar la metodología de la capacitación.

PROCEDIMIENTO PO6PICA-5
POLÍTICAS
ASOCIADAS DEL 1. El responsable de TI será el encargado de comunicar los
PROCESO cursos de capacitación que habrá en la empresa por medio
PO6: de portal de internet y correo electrónico.

2. La Dirección de TI obliga a los usuarios a tomar los cursos

POLÍTICAS relacionados con su ambiente de trabajo.
ASOCIADAS DE
OTROS
PROCESOS: 3. La Organización deberá informar los beneficios que pueden
obtener tomando los cursos.

4. La Dirección será la encargada de comunicar los resultados

obtenidos de las personas que participaron en el curso.

Derechos Reservados 1993, 2004, 2011 Enrique Hernández, CISM, CGEIT