1. www.monografias.com
Trabajo de Auditoria: Normas COBIT
Índice
1. Introducción
2. COBIT
3. Planificación y Organización
4. Adquisición e implementación
5. Prestación y Soporte
6. Monitoreo
7. Aplicación de las Normas COBIT
8. Apéndice I
9. Apéndice II
1. Introducción
El siguiente trabajo tiene la finalidad de exponer las Normas COBIT de manera simple y comprensible.
Para ello, además de realizar un desarrollo teórico de las mismas, incluimos un análisis de la situación
actual del Departamento de Recursos Humanos de la organización INEXEI SCHOOL, explicamos si sus
procedimientos respetan o no la norma, e indicamos qué debería hacerse para que aplique y cumpla
con un determinado proceso de la norma.
El cuerpo del trabajo esta dividido en dos partes principales las cuales reflejan las Características y
Estructura de COBIT y el Relevamiento y Aplicación de las Normas COBIT en la Escuela. Además,
incluimos dos Apéndices: en el apéndice I indicamos los componentes de COBIT como Producto y en el
apéndice II incorporamos la lista completa de Dominios, Procesos y Objetivos de Control.
Para Finalizar, adjuntamos con esta monografía un disquette que contiene el Resumen Ejecutivo (2ª
Edición) de la norma y las Guías de Auditoría de la misma, las cuales pueden ser utilizadas por nuestros
compañeros si desean profundizar más en el estudio de COBIT, y que en este trabajo son desarrolladas
brevemente para no hacer tediosa la explicación de la norma y por razones de espacio obvias.
2. COBIT (Objetivos de Control para Tecnología de Información y Tecnologías relacionadas)
COBIT, lanzado en 1996, es una herramienta de gobierno de TI que ha cambiado la forma en que
trabajan los profesionales de TI. Vinculando tecnología informática y prácticas de control, COBIT
consolida y armoniza estándares de fuentes globales prominentes en un recurso crítico para la gerencia,
los profesionales de control y los auditores.
COBIT se aplica a los sistemas de información de toda la empresa, incluyendo las computadoras
personales, mini computadoras y ambientes distribuidos. Esta basado en la filosofía de que los recursos
de TI necesitan ser administrados por un conjunto de procesos naturalmente agrupados para proveer la
información pertinente y confiable que requiere una organización para lograr sus objetivos.
Misión: Investigar, desarrollar, publicar y promover un conjunto internacional y actualizado de objetivos
de control para tecnología de información que sea de uso cotidiano para gerentes y auditores
Usuarios:
 La Gerencia: para apoyar sus decisiones de inversión en TI y control sobre el rendimiento de las
mismas, analizar el costo beneficio del control.
 Los Usuarios Finales: quienes obtienen una garantía sobre la seguridad y el control de los
productos que adquieren interna y externamente.
 Los Auditores: para soportar sus opiniones sobre los controles de los proyectos de TI, su
impacto en la organización y determinar el control mínimo requerido.
 Los Responsables de TI: para identificar los controles que requieren en sus áreas.
También puede ser utilizado dentro de las empresas por el responsable de un proceso de negocio en su
responsabilidad de controlar los aspectos de información del proceso, y por todos aquellos con
responsabilidades en el campo de la TI en las empresas.
Características:
 Orientado al negocio
 Alineado con estándares y regulaciones “de facto”
 Basado en una revisión crítica y analítica de las tareas y actividades en TI
 Alineado con estándares de control y auditoria (COSO, IFAC, IIA, ISACA, AICPA)

2. Seguimiento
Procesos M1 al M4 Recursos de TI ?
Adquisiciones?e Implementaci?n
Requerimientos de Informaci?n Planeaci n y Po1 a Po11 n
Procesos Organizaci
Objetivos del Negocio
Datos, aplicaciones, tecnolog?as, Recursos Humanos
Principios:
El enfoque del control en TI se lleva a cabo visualizando la información necesaria para dar soporte a los
procesos de negocio y considerando a la información como el resultado de la aplicación combinada de
recursos relacionados con las TI que deben ser administrados por procesos de TI.
o Requerimientos de la información del negocio
Para alcanzar los requerimientos de negocio, la información necesita satisfacer ciertos criterios:
Requerimientos de Calidad: Calidad, Costo y Entrega.
Requerimientos Fiduciarios: Efectividad y Eficiencia operacional, Confiabilidad de los reportes
financieros y Cumplimiento le leyes y regulaciones.
 Efectividad: La información debe ser relevante y pertinente para los procesos del negocio y debe
ser proporcionada en forma oportuna, correcta, consistente y utilizable.
 Eficiencia: Se debe proveer información mediante el empleo óptimo de los recursos (la forma
más productiva y económica).
 Confiabilidad: proveer la información apropiada para que la administración tome las decisiones
adecuadas para manejar la empresa y cumplir con sus responsabilidades.
 Cumplimiento: de las leyes, regulaciones y compromisos contractuales con los cuales está
comprometida la empresa.
Requerimientos de Seguridad: Confidencialidad, Integridad y Disponibilidad
 Confidencialidad: Protección de la información sensible contra divulgación no autorizada
 Integridad: Refiere a lo exacto y completo de la información así como a su validez de acuerdo
con las expectativas de la empresa.
 Disponibilidad: accesibilidad a la información cuando sea requerida por los procesos del negocio
y la salvaguarda de los recursos y capacidades asociadas a la misma.

3. Servicios y Soporte Procesos de A11 a A16
Procesos de Ds1 a Ds13
o Recursos de TI
En COBIT se establecen los siguientes recursos en TI necesarios para alcanzar los objetivos de
negocio:
 Datos: Todos los objetos de información. Considera información interna y externa, estructurada
o no, gráficas, sonidos, etc.
 Aplicaciones: entendido como los sistemas de información, que integran procedimientos
manuales y sistematizados.
 Tecnología: incluye hardware y software básico, sistemas operativos, sistemas de
administración de bases de datos, de redes, telecomunicaciones, multimedia, etc.
 Instalaciones: Incluye los recursos necesarios para alojar y dar soporte a los sistemas de
información.
 Recurso Humano: Por la habilidad, conciencia y productividad del personal para planear,
adquirir, prestar servicios, dar soporte y monitorear los sistemas de Información.
• Procesos de TI
La estructura de COBIT se define a partir de una premisa simple y pragmática: “Los recursos de las
Tecnologías de la Información (TI) se han de gestionar mediante un conjunto de procesos agrupados de
forma natural para que proporcionen la información que la empresa necesita para alcanzar sus
objetivos”.
COBIT se divide en tres niveles:
Dominios
Procesos
Actividades
Dominios: Agrupación natural de procesos, normalmente corresponden a un dominio o una
responsabilidad organizacional.
Procesos: Conjuntos o series de actividades unidas con delimitación o cortes de control.
Actividades: Acciones requeridas para lograr un resultado medible.
Se definen 34 objetivos de control generales, uno para cada uno de los procesos de las TI. Estos
procesos están agrupados en cuatro grandes dominios que se detallan a continuación junto con sus
procesos y una descripción general de las actividades de cada uno:
3. Dominio: Planificación y organización
Este dominio cubre la estrategia y las tácticas y se refiere a la identificación de la forma en que la
tecnología de información puede contribuir de la mejor manera al logro de los objetivos de negocio.
Además, la consecución de la visión estratégica necesita ser planeada, comunicada y administrada
desde diferentes perspectivas. Finalmente, deberán establecerse una organización y una infraestructura
tecnológica apropiadas.
Procesos:
• PO1 Definición de un plan Estratégico
Objetivo: Lograr un balance óptimo entre las oportunidades de tecnología de información y los

4. requerimientos de TI de negocio, para asegurar sus logros futuros.
Su realización se concreta a través un proceso de planeación estratégica emprendido en intervalos
regulares dando lugar a planes a largo plazo, los que deberán ser traducidos periódicamente en planes
operacionales estableciendo metas claras y concretas a corto plazo, teniendo en cuenta:
 La definición de objetivos de negocio y necesidades de TI, la alta gerencia será la responsable
de desarrollar e implementar planes a largo y corto plazo que satisfagan la misión y las metas
generales de la organización.
 El inventario de soluciones tecnológicas e infraestructura actual, se deberá evaluar los sistemas
existentes en términos de: nivel de automatización de negocio, funcionalidad, estabilidad,
complejidad, costo y fortalezas y debilidades, con el propósito de determinar el nivel de soporte
que reciben los requerimientos del negocio de los sistemas existentes.
 Los cambios organizacionales, se deberá asegurar que se establezca un proceso para modificar
oportunamente y con precisión el plan a largo plazo de tecnología de información con el fin de
adaptar los cambios al plan a largo plazo de la organización y los cambios en las condiciones de
la TI
 Estudios de factibilidad oportunos, para que se puedan obtener resultados efectivos
• PO2 Definición de la Arquitectura de Información
Objetivo: Satisfacer los requerimientos de negocio, organizando de la mejor manera posible los sistemas
de información, a través de la creación y mantenimiento de un modelo de información de negocio,
asegurándose que se definan los sistemas apropiados para optimizar la utilización de esta información,
tomando en consideración:
 La documentación deberá conservar consistencia con las necesidades permitiendo a los
responsables llevar a cabo sus tareas eficiente y oportunamente.
 El diccionario de datos, el cual incorporara las reglas de sintaxis de datos de la organización y
deberá ser continuamente actualizado.
 La propiedad de la información y la clasificación de severidad con el que se establecerá un
marco de referencia de clasificación general relativo a la ubicación de datos en clases de
información.
• PO3 Determinación de la dirección tecnológica
Objetivo: Aprovechar al máximo de la tecnología disponible o tecnología emergente, satisfaciendo los
requerimientos de negocio, a través de la creación y mantenimiento de un plan de infraestructura
tecnológica, tomando en consideración:
 La capacidad de adecuación y evolución de la infraestructura actual, que deberá concordar con
los planes a largo y corto plazo de tecnología de información y debiendo abarcar aspectos tales
como arquitectura de sistemas, dirección tecnológica y estrategias de migración.
 El monitoreo de desarrollos tecnológicos que serán tomados en consideración durante el
desarrollo y mantenimiento del plan de infraestructura tecnológica.
 Las contingencias (por ejemplo, redundancia, resistencia, capacidad de adecuación y evolución
de la infraestructura), con lo que se evaluará sistemáticamente el plan de infraestructura
tecnológica.
 Planes de adquisición, los cuales deberán reflejar las necesidades identificadas en el plan de
infraestructura tecnológica.
• PO4 Definición de la organización y de las relaciones de TI
Objetivo: Prestación de servicios de TI
Esto se realiza por medio de una organización conveniente en número y habilidades, con tareas y
responsabilidades definidas y comunicadas, teniendo en cuenta:
 El comité de dirección el cual se encargara de vigilar la función de servicios de información y sus
actividades.
 Propiedad, custodia, la Gerencia deberá crear una estructura para designar formalmente a los
propietarios y custodios de los datos. Sus funciones y responsabilidades deberán estar
claramente definidas.
 Supervisión, para asegurar que las funciones y responsabilidades sean llevadas a cabo
apropiadamente
 Segregación de funciones, con la que se evitará la posibilidad de que un solo individuo resuelva
un proceso crítico.
 Los roles y responsabilidades, la gerencia deberá asegurarse de que todo el personal deberá
conocer y contar con la autoridad suficiente para llevar a cabo las funciones y responsabilidades
que le hayan sido asignadas
 La descripción de puestos, deberá delinear claramente tanto la responsabilidad como la

5. autoridad, incluyendo las definiciones de las habilidades y la experiencia necesarias para el
puesto, y ser adecuadas para su utilización en evaluaciones de desempeño.
 Los niveles de asignación de personal, deberán hacerse evaluaciones de requerimientos
regularmente para asegurar para asegurar una asignación de personal adecuada en el presente
y en el futuro.
 El personal clave, la gerencia deberá definir e identificar al personal clave de tecnología de
información.
• PO5 Manejo de la inversión
Objetivo: tiene como finalidad la satisfacción de los requerimientos de negocio, asegurando el
financiamiento y el control de desembolsos de recursos financieros.
Su realización se concreta a través presupuestos periódicos sobre inversiones y operaciones
establecidas y aprobados por el negocio, teniendo en cuenta:
 Las alternativas de financiamiento, se deberán investigar diferentes alternativas de
financiamiento.
 El control del gasto real, se deberá tomar como base el sistema de contabilidad de la
organización, mismo que deberá registrar, procesar y reportar rutinariamente los costos
asociados con las actividades de la función de servicios de información
 La justificación de costos y beneficios, deberá establecerse un control gerencial que garantice
que la prestación de servicios por parte de la función de servicios de información se justifique en
cuanto a costos. Los beneficios derivados de las actividades de TI deberán ser analizados en
forma similar.
• PO6 Comunicación de la dirección y aspiraciones de la gerencia
Objetivo: Asegura el conocimiento y comprensión de los usuarios sobre las aspiraciones del alto nivel
(gerencia), se concreta a través de políticas establecidas y transmitidas a la comunidad de usuarios,
necesitándose para esto estándares para traducir las opciones estratégicas en reglas de usuario
prácticas y utilizables. Toma en cuenta:
 Los código de ética / conducta, el cumplimiento de las reglas de ética, conducta, seguridad y
estándares de control interno deberá ser establecido por la Alta Gerencia y promoverse a través
del ejemplo.
 Las directrices tecnológicas
 El cumplimiento, la Gerencia deberá también asegurar y monitorear la duración de la
implementación de sus políticas.
 El compromiso con la calidad, la Gerencia de la función de servicios de información deberá
definir, documentar y mantener una filosofía de calidad, debiendo ser comprendidos,
implementados y mantenidos por todos los niveles de la función de servicios de información.
 Las políticas de seguridad y control interno, la alta gerencia deberá asegurar que esta política de
seguridad y de control interno especifique el propósito y los objetivos, la estructura gerencial, el
alcance dentro de la organización, la definición y asignación de responsabilidades para su
implementación a todos los niveles y la definición de multas y de acciones disciplinarias
asociadas con la falta de cumplimiento de estas políticas.
• PO7 Administración de recursos humanos
Objetivo: Maximizar las contribuciones del personal a los procesos de TI, satisfaciendo así los
requerimientos de negocio, a través de técnicas sólidas para administración de personal, tomando en
consideración:
 El reclutamiento y promoción, deberá tener como base criterios objetivos, considerando factores
como la educación, la experiencia y la responsabilidad.
 Los requerimientos de calificaciones, el personal deberá estar calificado, tomando como base
una educación, entrenamiento y o experiencia apropiados, según se requiera
 La capacitación, los programas de educación y entrenamiento estarán dirigidos a incrementar
los niveles de habilidad técnica y administrativa del personal.
 La evaluación objetiva y medible del desempeño, se deberá asegurar que dichas evaluaciones
sean llevada a cabo regularmente según los estándares establecidos y las responsabilidades
específicas del puesto. Los empleados deberán recibir asesoría sobre su desempeño o su
conducta cuando esto sea apropiado.
• PO8 Asegurar el cumplimiento con los requerimientos Externos
Objetivo: Cumplir con obligaciones legales, regulatorias y contractuales
Para ello se realiza una identificación y análisis de los requerimientos externos en cuanto a su impacto
en TI, llevando a cabo las medidas apropiadas para cumplir con ellos y se toma en consideración:
 Definición y mantenimiento de procedimientos para la revisión de requerimientos externos, para

6. la coordinación de estas actividades y para el cumplimiento continuo de los mismos.
 Leyes, regulaciones y contratos
 Revisiones regulares en cuanto a cambios
 Búsqueda de asistencia legal y modificaciones
 Seguridad y ergonomía con respecto al ambiente de trabajo de los usuarios y el personal de la
función de servicios de información.
 Privacidad
 Propiedad intelectual
 Flujo de datos externos y criptografía
 PO9 Evaluación de riesgos
Objetivo: Asegurar el logro de los objetivos de TI y responder a las amenazas hacia la provisión de
servicios de TI
Para ello se logra la participación de la propia organización en la identificación de riesgos de TI y en el
análisis de impacto, tomando medidas económicas para mitigar los riesgos y se toma en consideración:
 Identificación, definición y actualización regular de los diferentes tipos de riesgos de TI (por ej.:
tecnológicos, de seguridad, etc.) de manera de que se pueda determinar la manera en la que los
riesgos deben ser manejados a un nivel aceptable.
 Definición de alcances, limites de los riesgos y la metodología para las evaluaciones de los
riesgos.
 Actualización de evaluación de riesgos
 Metodología de evaluación de riesgos
 Medición de riesgos cualitativos y/o cuantitativos
 Definición de un plan de acción contra los riesgos para asegurar que existan controles y
medidas de seguridad económicas que mitiguen los riesgos en forma continua.
 Aceptación de riesgos dependiendo de la identificación y la medición del riesgo, de la política
organizacional, de la incertidumbre incorporada al enfoque de evaluación de riesgos y de que
tan económico resulte implementar protecciones y controles.
 PO10 Administración de proyectos
Objetivo: Establecer prioridades y entregar servicios oportunamente y de acuerdo al presupuesto de
inversión
Para ello se realiza una identificación y priorización de los proyectos en línea con el plan operacional por
parte de la misma organización. Además, la organización deberá adoptar y aplicar sólidas técnicas de
administración de proyectos para cada proyecto emprendido y se toma en consideración:
 Definición de un marco de referencia general para la administración de proyectos que defina el
alcance y los límites del mismo, así como la metodología de administración de proyectos a ser
adoptada y aplicada para cada proyecto emprendido. La metodología deberá cubrir, como
mínimo, la asignación de responsabilidades, la determinación de tareas, la realización de
presupuestos de tiempo y recursos, los avances, los puntos de revisión y las aprobaciones.
 El involucramiento de los usuarios en el desarrollo, implementación o modificación de los
proyectos.
 Asignación de responsabilidades y autoridades a los miembros del personal asignados al
proyecto.
 Aprobación de fases de proyecto por parte de los usuarios antes de pasar a la siguiente fase.
 Presupuestos de costos y horas hombre
 Planes y metodologías de aseguramiento de calidad que sean revisados y acordados por las
partes interesadas.
 Plan de administración de riesgos para eliminar o minimizar los riesgos.
 Planes de prueba, entrenamiento, revisión post-implementación.
 PO11 Administración de calidad
Objetivo: Satisfacer los requerimientos del cliente
Para ello se realiza una planeación, implementación y mantenimiento de estándares y sistemas de
administración de calidad por parte de la organización y se toma en consideración:
 Definición y mantenimiento regular del plan de calidad, el cual deberá promover la filosofía de
mejora continua y contestar a las preguntas básicas de qué, quién y cómo.
 Responsabilidades de aseguramiento de calidad que determine los tipos de actividades de
aseguramiento de calidad tales como revisiones, auditorias, inspecciones, etc. que deben
realizarse para alcanzar los objetivos del plan general de calidad.
 Metodologías del ciclo de vida de desarrollo de sistemas que rija el proceso de desarrollo,
adquisición, implementación y mantenimiento de sistemas de información.

7.  Documentación de pruebas de sistemas y programas
 Revisiones y reportes de aseguramiento de calidad
4. Dominio: Adquisición e implementación
Para llevar a cabo la estrategia de TI, las soluciones de Ti deben ser identificadas, desarrolladas o
adquiridas, asi como implementadas e integradas dentro del proceso del negocio. Además, este dominio
cubre los cambios y el mantenimiento realizados a sistemas existentes.
Procesos:
• AI1 Identificación de Soluciones Automatizadas
Objetivo: Asegurar el mejor enfoque para cumplir con los requerimientos del usuario
Para ello se realiza un análisis claro de las oportunidades alternativas comparadas contra los
requerimientos de los usuarios y toma en consideración:
 Definición de requerimientos de información para poder aprobar un proyecto de desarrollo.
 Estudios de factibilidad con la finalidad de satisfacer los requerimientos del negocio
establecidos para el desarrollo de un proyecto.
 Arquitectura de información para tener en consideración el modelo de datos al definir soluciones
y analizar la factibilidad de las mismas.
 Seguridad con relación de costo-beneficio favorable para controlar que los costos no excedan
los beneficios.
 Pistas de auditoria para ello deben existir mecanismos adecuados. Dichos mecanismos deben
proporcionar la capacidad de proteger datos sensitivos (ej. Identificación de usuarios contra
divulgación o mal uso)
 Contratación de terceros con el objeto de adquirir productos con buena calidad y excelente
estado.
 Aceptación de instalaciones y tecnología a través del contrato con el Proveedor donde se
acuerda un plan de aceptación para las instalaciones y tecnología especifica a ser
proporcionada.
• AI2 Adquisición y mantenimiento del software aplicativo
Objetivo: Proporciona funciones automatizadas que soporten efectivamente al negocio.
Para ello se definen declaraciones específicas sobre requerimientos funcionales y operacionales y una
implementación estructurada con entregables claros y se toma en consideración:
 Requerimientos de usuarios, para realizar un correcto análisis y obtener un software claro y fácil
de usar.
 Requerimientos de archivo, entrada, proceso y salida.
 Interfase usuario-maquina asegurando que el software sea fácil de utilizar y que sea capaz de
auto documentarse.
 Personalización de paquetes
 Realizar pruebas funcionales (unitarias, de aplicación, de integración y de carga y estrés), de
acuerdo con el plan de prueba del proyecto y con los estándares establecidos antes de ser
aprobado por los usuarios.
 Controles de aplicación y requerimientos funcionales
 Documentación (materiales de consulta y soporte para usuarios) con el objeto de que los
usuarios puedan aprender a utilizar el sistema o puedan sacarse todas aquellas inquietudes que
se les puedan presentar.
• AI3 Adquisición y mantenimiento de la infraestructura tecnológica
Objetivo: Proporcionar las plataformas apropiadas para soportar aplicaciones de negocios
Para ello se realizara una evaluación del desempeño del hardware y software, la provisión de
mantenimiento preventivo de hardware y la instalación, seguridad y control del software del sistema y
toma en consideración:
 Evaluación de tecnología para identificar el impacto del nuevo hardware o software sobre el
rendimiento del sistema general.
 Mantenimiento preventivo del hardware con el objeto de reducir la frecuencia y el impacto de
fallas de rendimiento.
 Seguridad del software de sistema, instalación y mantenimiento para no arriesgar la seguridad
de los datos y programas ya almacenados en el mismo.
 AI4 Desarrollo y mantenimiento de procedimientos
Objetivo: Asegurar el uso apropiado de las aplicaciones y de las soluciones tecnológicas establecidas.
Para ello se realiza un enfoque estructurado del desarrollo de manuales de procedimientos de

8. operaciones para usuarios, requerimientos de servicio y material de entrenamiento y toma en
consideración:
 Manuales de procedimientos de usuarios y controles, de manera que los mismos permanezcan
en permanente actualización para el mejor desempeño y control de los usuarios.
 Manuales de Operaciones y controles, de manera que estén en permanente actualización.
 Materiales de entrenamiento enfocados al uso del sistema en la práctica diaria.
 AI5 Instalación y aceptación de los sistemas
Objetivo: Verificar y confirmar que la solución sea adecuada para el propósito deseado
Para ello se realiza una migración de instalación, conversión y plan de aceptaciones adecuadamente
formalizadas y toma en consideración:
 Capacitación del personal de acuerdo al plan de entrenamiento definido y los materiales
relacionados.
 Conversión / carga de datos, de manera que los elementos necesarios del sistema anterior sean
convertidos al sistema nuevo.
 Pruebas específicas (cambios, desempeño, aceptación final, operacional) con el objeto de
obtener un producto satisfactorio.
 Acreditación de manera que la Gerencia de operaciones y usuaria acepten los resultados de las
pruebas y el nivel de seguridad para los sistemas, junto con el riesgo residual existente.
 Revisiones post implementación con el objeto de reportar si el sistema proporciono los
beneficios esperados de la manera mas económica.
 AI6 Administración de los cambios
Objetivo: Minimizar la probabilidad de interrupciones, alteraciones no autorizadas y errores.
Esto se hace posible a través de un sistema de administración que permita el análisis, implementación y
seguimiento de todos los cambios requeridos y llevados a cabo a la infraestructura de TI actual y toma
en consideración:
 Identificación de cambios tanto internos como por parte de proveedores
 Procedimientos de categorización, priorización y emergencia de solicitudes de cambios.
 Evaluación del impacto que provocaran los cambios.
 Autorización de cambios
 Manejo de liberación de manera que la liberación de software este regida por procedimientos
formales asegurando aprobación, empaque, pruebas de regresión, entrega, etc.
 Distribución de software, estableciendo medidas de control especificas para asegurar la
distribución de software correcto al lugar correcto, con integridad y de manera oportuna.
5. Dominio: Prestación y soporte
En este dominio se hace referencia a la entrega de los servicios requeridos, que abarca desde las
operaciones tradicionales hasta el entrenamiento, pasando por seguridad y aspectos de continuidad.
Con el fin de proveer servicios, deberán establecerse los procesos de soporte necesarios. Este dominio
incluye el procesamiento de los datos por sistemas de aplicación, frecuentemente clasificados como
controles de aplicación.
Procesos
• Ds1 Definición de niveles de servicio
Objetivo: Establecer una comprensión común del nivel de servicio requerido
Para ello se establecen convenios de niveles de servicio que formalicen los criterios de desempeño
contra los cuales se medirá la cantidad y la calidad del servicio y se toma en consideración:
 Convenios formales que determinen la disponibilidad, confiabilidad, desempeño, capacidad de
crecimiento, niveles de soporte proporcionados al usuario, plan de contingencia / recuperación,
nivel mínimo aceptable de funcionalidad del sistema satisfactoriamente liberado, restricciones
(límites en la cantidad de trabajo), cargos por servicio, instalaciones de impresión central
(disponibilidad), distribución de impresión central y procedimientos de cambio.
 Definición de las responsabilidades de los usuarios y de la función de servicios de información
 Procedimientos de desempeño que aseguren que la manera y las responsabilidades sobre las
relaciones que rigen el desempeño entre todas las partes involucradas sean establecidas,
coordinadas, mantenidas y comunicadas a todos los departamentos afectados.
 Definición de dependencias asignando un Gerente de nivel de Servicio que sea responsable de
monitorear y reportar los alcances de los criterios de desempeño del servicio especificado y
todos los problemas encontrados durante el procesamiento.
 Provisiones para elementos sujetos a cargos en los acuerdos de niveles de servicio para hacer

9. posibles comparaciones y decisiones de niveles de servicios contra su costo.
 Garantías de integridad
 Convenios de confidencialidad
 Implementación de un programa de mejoramiento del servicio.
 Ds2 Administración de servicios prestados por terceros
Objetivo: Asegurar que las tareas y responsabilidades de las terceras partes estén claramente definidas,
que cumplan y continúen satisfaciendo los requerimientos
Para ello se establecen medidas de control dirigidas a la revisión y monitoreo de contratos y
procedimientos existentes, en cuanto a su efectividad y suficiencia, con respecto a las políticas de la
organización y toma en consideración:
 Acuerdos de servicios con terceras partes a través de contratos entre la organización y el
proveedor de la administración de instalaciones este basado en niveles de procesamiento
requeridos, seguridad, monitoreo y requerimientos de contingencia, así como en otras
estipulaciones según sea apropiado.
 Acuerdos de confidencialidad. Además, se deberá calificar a los terceros y el contrato deberá
definirse y acordarse para cada relación de servicio con un proveedor.
 Requerimientos legales regulatorios de manera de asegurar que estos concuerde con los
acuerdos de seguridad identificados, declarados y acordados.
 Monitoreo de la entrega de servicio con el fin de asegurar el cumplimiento de los acuerdos del
contrato.
• Ds3 Administración de desempeño y capacidad
Objetivo: Asegurar que la capacidad adecuada está disponible y que se esté haciendo el mejor uso de
ella para alcanzar el desempeño deseado.
Para ello se realizan controles de manejo de capacidad y desempeño que recopilen datos y reporten
acerca del manejo de cargas de trabajo, tamaño de aplicaciones, manejo y demanda de recursos y toma
en consideración:
 Requerimientos de disponibilidad y desempeño de los servicios de sistemas de información
 Monitoreo y reporte de los recursos de tecnología de información
 Utilizar herramientas de modelado apropiadas para producir un modelo del sistema actual para
apoyar el pronóstico de los requerimientos de capacidad, confiabilidad de configuración,
desempeño y disponibilidad.
 Administración de capacidad estableciendo un proceso de planeación para la revisión del
desempeño y capacidad de hardware con el fin de asegurar que siempre exista una capacidad
justificable económicamente para procesar cargas de trabajo con cantidad y calidad de
desempeño
 Prevenir que se pierda la disponibilidad de recursos mediante la implementación de
mecanismos de tolerancia de fallas, de asignación equitativos de recursos y de prioridad de
tareas.
Monitoreo
• Ds4 Asegurar el Servicio Continuo
Objetivo: mantener el servicio disponible de acuerdo con los requerimientos y continuar su provisión en
caso de interrupciones
Para ello se tiene un plan de continuidad probado y funcional, que esté alineado con el plan de
continuidad del negocio y relacionado con los requerimientos de negocio y toma en consideración:
 Planificación de Severidad
 Plan Documentado
 Procedimientos Alternativos
 Respaldo y Recuperación
 Pruebas y entrenamiento sistemático y singulares
• Ds5 Garantizar la seguridad de sistemas
Objetivo: salvaguardar la información contra uso no autorizados, divulgación, modificación, daño o
pérdida
Para ello se realizan controles de acceso lógico que aseguren que el acceso a sistemas, datos y
programas está restringido a usuarios autorizados y toma en consideración:
 Autorización,autenticación y el acceso lógico junto con el uso de los recursos de TI deberá

restringirse a través de la instrumentación de mecanismos de autenticación de usuarios
identificados y recursos asociados con las reglas de acceso
 Perfiles e identificación de usuarios estableciendo procedimientos para asegurar acciones

10. oportunas relacionadas con la requisición, establecimiento, emisión, suspensión y suspensión
de cuentas de usuario
 Administración de llaves criptográficas definiendo implementando procedimientos y protocolos a
ser utilizados en la generación, distribución, certificación, almacenamiento, entrada, utilización y
archivo de llaves criptográficas con el fin de asegurar la protección de las mismas
 Manejo, reporte y seguimiento de incidentes implementado capacidad para la atención de los
mismos
 Prevención y detección de virus tales como Caballos de Troya, estableciendo adecuadas
medidas de control preventivas, detectivas y correctivas.
 Utilizaciónde Firewalls si existe una conexión con Internet u otras redes públicas en la
organización
Monitoreo
• Ds6 Educación y entrenamiento de usuarios
Objetivo: Asegurar que los usuarios estén haciendo un uso efectivo de la tecnología y estén conscientes
de los riesgos y responsabilidades involucrados
Para ello se realiza un plan completo de entrenamiento y desarrollo y se toma en consideración:
 Curriculum de entrenamiento estableciendo y manteniendo procedimientos para identificar y
documentar las necesidades de entrenamiento de todo el personal que haga uso de los
servicios de información
 Campañas de concientización, definiendo los grupos objetivos, identificar y asignar
entrenadores y organizar oportunamente las sesiones de entrenamiento
 Técnicas de concientización proporcionando un programa de educación y entrenamiento que
incluya conducta ética de la función de servicios de información
• Ds7 Identificación y asignación de costos
Objetivo: Asegurar un conocimiento correcto de los costos atribuibles a los servicios de TI
Para ello se realiza un sistema de contabilidad de costos que asegure que éstos sean registrados,
calculados y asignados a los niveles de detalle requeridos y toma en consideración:
 Los elementos sujetos a cargo deben ser recursos identificables, medibles y predecibles para
los usuarios
 Procedimientos y políticas de cargo que fomenten el uso apropiado de los recursos de computo
y aseguren el trato justo de los departamentos usuarios y sus necesidades
 Tarifas definiendo e implementando procedimientos de costeo de prestar servicios, para ser
analizados, monitoreados, evaluados asegurando al mismo tiempo la economía
Monitoreo
• Ds8 Apoyo y asistencia a los clientes de TI
Objetivo: asegurar que cualquier problema experimentado por los usuarios sea atendido
apropiadamente
Para ello se realiza un Buró de ayuda que proporcione soporte y asesoría de primera línea y toma en
consideración:
 Consultas de usuarios y respuesta a problemas estableciendo un soporte de una función de
buró de ayuda
 Monitoreo de consultas y despacho estableciendo procedimientos que aseguren que las
preguntas de los clientes que pueden ser resueltas sean reasignadas al nivel adecuado para
atenderlas
 Análisis y reporte de tendencias adecuado de las preguntas de los clientes y su solución, de los
tiempos de respuesta y la identificación de tendencias
 Ds9 Administración de la configuración
Objetivo: Dar cuenta de todos los componentes de TI, prevenir alteraciones no autorizadas, verificar la
existencia física y proporcionar una base para el sano manejo de cambios
Para ello se realizan controles que identifiquen y registren todos los activos de TI así como su
localización física y un programa regular de verificación que confirme su existencia y toma en
consideración:
 Registro de activos estableciendo procedimientos para asegurar que sean registrados
únicamente elementos de configuración autorizados e identificables en el inventario, al momento
de adquisición
 Administración de cambios en la configuración asegurando que los registros de configuración
reflejen el status real de todos los elementos de la configuración

11.  Chequeo de software no autorizado revisando periódicamente las computadoras personales de
la organización
 Controles de almacenamiento de software definiendo un área de almacenamiento de archivos
para todos los elementos de software válidos en las fases del ciclo de vida de desarrollo de
sistemas
• Ds10 Administración de Problemas
Objetivo: Asegurar que los problemas e incidentes sean resueltos y que sus causas sean investigadas
para prevenir que vuelvan a suceder.
Para ello se necesita un sistema de manejo de problemas que registre y dé seguimiento a todos los
incidentes, además de un conjunto de procedimientos de escalamiento de problemas para resolver de la
manera más eficiente los problemas identificados. Este sistema de administración de problemas deberá
también realizar un seguimiento de las causas a partir de un incidente dado.
• Ds11 Administración de Datos
Objetivo: Asegurar que los datos permanezcan completos, precisos y válidos durante su entrada,
actualización, salida y almacenamiento.
Lo cual se logra a través de una combinación efectiva de controles generales y de aplicación sobre las
operaciones de TI. Para tal fin, la gerencia deberá diseñar formatos de entrada de datos para los
usuarios de manera que se minimicen lo errores y las omisiones durante la creación de los datos.
Este proceso deberá controlar los documentos fuentes (de donde se extraen los datos), de manera que
estén completos, sean precisos y se registren apropiadamente. Se deberán crear también
procedimientos que validen los datos de entrada y corrijan o detecten los datos erróneos, como así
también procedimientos de validación para transacciones erróneas, de manera que éstas no sean
procesadas. Cabe destacar la importancia de crear procedimientos para el almacenamiento, respaldo y
recuperación de datos, teniendo un registro físico (discos, disquetes, CDs y cintas magnéticas) de todas
las transacciones y datos manejados por la organización, albergados tanto dentro como fuera de la
empresa.
La gerencia deberá asegurar también la integridad, autenticidad y confidencialidad de los datos
almacenados, definiendo e implementando procedimientos para tal fin.
• Ds12 Administración de las instalaciones
Objetivo: Proporcionar un ambiente físico conveniente que proteja al equipo y al personal de TI contra
peligros naturales (fuego, polvo, calor excesivos) o fallas humanas lo cual se hace posible con la
instalación de controles físicos y ambientales adecuados que sean revisados regularmente para su
funcionamiento apropiado definiendo procedimientos que provean control de acceso del personal a las
instalaciones y contemplen su seguridad física.
• Ds13 Administración de la operación
Objetivo: Asegurar que las funciones importantes de soporte de TI estén siendo llevadas a cabo
regularmente y de una manera ordenada
Esto se logra a través de una calendarización de actividades de soporte que sea registrada y
completada en cuanto al logro de todas las actividades. Para ello, la gerencia deberá establecer y
documentar procedimientos para las operaciones de tecnología de información (incluyendo operaciones
de red), los cuales deberán ser revisados periódicamente para garantizar su eficiencia y cumplimiento.
6. Dominio: Monitoreo
Todos los procesos de una organización necesitan ser evaluados regularmente a través del tiempo para
verificar su calidad y suficiencia en cuanto a los requerimientos de control, integridad y confidencialidad.
Este es, precisamente, el ámbito de este dominio.
Procesos
• M1 Monitoreo del Proceso
Objetivo: Asegurar el logro de los objetivos establecidos para los procesos de TI. Lo cual se logra
definiendo por parte de la gerencia reportes e indicadores de desempeño gerenciales y la
implementación de sistemas de soporte así como la atención regular a los reportes emitidos.
Para ello la gerencia podrá definir indicadores claves de desempeño y/o factores críticos de éxito y
compararlos con los niveles objetivos propuestos para evaluar el desempeño de los procesos de la
organización. La gerencia deberá también medir el grado de satisfacción del los clientes con respecto a
los servicios de información proporcionados para identificar deficiencias en los niveles de servicio y
establecer objetivos de mejoramiento, confeccionando informes que indiquen el avance de la
organización hacia los objetivos propuestos.

12. • M2 Evaluar lo adecuado del Control Interno
Objetivo: Asegurar el logro de los objetivos de control interno establecidos para los procesos de TI.
Para ello la gerencia es la encargada de monitorear la efectividad de los controles internos a través de
actividades administrativas y de supervisión, comparaciones, reconciliaciones y otras acciones
rutinarias., evaluar su efectividad y emitir reportes sobre ellos en forma regular. Estas actividades de
monitoreo continuo por parte de la Gerencia deberán revisar la existencia de puntos vulnerables y
problemas de seguridad.
• M3 Obtención de Aseguramiento Independiente
Objetivo: Incrementar los niveles de confianza entre la organización, clientes y proveedores externos.
Este proceso se lleva a cabo a intervalos regulares de tiempo.
Para ello la gerencia deberá obtener una certificación o acreditación independiente de seguridad y
control interno antes de implementar nuevos servicios de tecnología de información que resulten críticos,
como así también para trabajar con nuevos proveedores de servicios de tecnología de información.
Luego la gerencia deberá adoptar como trabajo rutinario tanto hacer evaluaciones periódicas sobre la
efectividad de los servicios de tecnología de información y de los proveedores de estos servicios como
así también asegurarse el cumplimiento de los compromisos contractuales de los servicios de tecnología
de información y de los proveedores de estos servicios.
• M4 Proveer Auditoria Independiente
Objetivo: Incrementar los niveles de confianza y beneficiarse de recomendaciones basadas en mejores
prácticas de su implementación, lo que se logra con el uso de auditorias independientes desarrolladas a
intervalos regulares de tiempo. Para ello la gerencia deberá establecer los estatutos para la función de
auditoria, destacando en este documento la responsabilidad, autoridad y obligaciones de la auditoria. El
auditor deberá ser independiente del auditado, esto significa que los auditores no deberán estar
relacionados con la sección o departamento que esté siendo auditado y en lo posible deberá ser
independiente de la propia empresa. Esta auditoria deberá respetar la ética y los estándares
profesionales, seleccionando para ello auditores que sean técnicamente competentes, es decir que
cuenten con habilidades y conocimientos que aseguren tareas efectivas y eficientes de auditoria.
La función de auditoria deberá proporcionar un reporte que muestre los objetivos de la auditoria, período
de cobertura, naturaleza y trabajo de auditoria realizado, como así también la organización, conclusión y
recomendaciones relacionadas con el trabajo de auditoria llevado a cabo.
Los 34 procesos propuestos se concretan en 32 objetivos de control detallados anteriormente.
Un Control se define como “las normas, estándares, procedimientos, usos y costumbres y las
estructuras organizativas, diseñadas para proporcionar garantía razonable de que los objetivos
empresariales se alcanzaran y que los eventos no deseados se preverán o se detectaran, y corregirán”
Un Objetivo de Control se define como “la declaración del resultado deseado o propuesto que se ha de
alcanzar mediante la aplicación de procedimientos de control en cualquier actividad de TI”
En resumen, la estructura conceptual se puede enfocar desde tres puntos de vista:
-Los recursos de las TI
-Los criterios empresariales que deben satisfacer la información
-Los procesos de TI
Las tres dimensiones condeptuales de COBIT

13. 7. Aplicación de las Normas COBIT
A continuación, analizaremos como se deberían aplicar las Normas COBIT en una Organización,
utilizando para ello la Guía de Auditoria presentada en la pagina Web www.isaca.org, la misma indica
los pasos a seguir para auditar cada uno de los procesos de TI de la norma. Este reporte lo
confeccionamos dándole el formato de un informe de auditoría:
Informe de Auditoria
• Entidad Auditada: ARCO IRIS SCHOOL
• Alcance de la auditoría: Esta auditoría comprende solamente al área de Recursos
Humanos de la Arco Iris School, con respecto al cumplimiento del proceso
“Administración de Recursos Humanos” de la norma COBIT.
• Norma Aplicada: COBIT, específicamente el proceso de TI Po7 “Administración de
Recursos Humanos”
• Relevamiento:
Organización: Colegio Privado que brinda un servicio de educación a niños de nivel inicial y
primario.
Objetivos de la Organización:
• Ofrecer el servicio de una excelente educación con orientación bilingüe (Español -
Ingles), artística, deportiva y ecológica en forma personalizada a los niños de nivel inicial
y primario, y obtener por el servicio un beneficio monetario acorde a las ofertas
educativa que brinda la Institución (según si el inscripto participa de escolaridad simple o
doble)
• Incrementar cada año el número de inscriptos para obtener mayor rentabilidad y ampliar
la comunidad educativa.
• Transmitir a la comunidad en general el perfil institucional y los beneficios que los
alumnos obtienen por una educación personalizada.
Departamento de administración de personal: Comprende todo lo relacionado con el desarrollo y
administración de políticas y programas que provean una estructura organizativa eficiente,
empleados calificados, tratamiento equitativo, oportunidades de progreso, satisfacción en el
trabajo y adecuada seguridad de empleo.
Depende de la Gerencia de Administración.
Políticas y estrategias del Departamento de Administración de personal
Políticas
Estrategias
Para con el
Personal
Objetivo: perfeccionar al personal con el perfil Institucional
Seleccionar docentes que respondan a los requerimientos del proyecto educativo institucional
Realizar durante la selección de personal talleres de capacitación y evaluación de inteligencia
emocional y desarrollo de la persona.
Seleccionar docentes con muy buenas referencias
Los docentes de asignaturas especiales (plástica, música, deportes, etc.) deben tener
experiencias mínimas en mas de una escuela y estar abalados con referencias por escrito
Respetar las decisiones personales de los docentes y no docentes.
Antes de que un personal forme parte de la institución debe conocer y firmar las Normativas
Institucionales donde se especifican todas las medidas, deberes y derechos de todo el personal
docente y no docente
La dirección general realiza periódicamente evaluaciones del rendimiento de trabajo individual y
grupal mediante entrevistas. (grupales y personales)
Educativas
Objetivo: Lograr una excelencia educativa
Brindar una educación excelente y personalizada
Confeccionar un PEI (Proy. Educ. Inst.) con los objetivos que cubran las orientaciones Bilingüe,
deportiva, ecológica y artística.
Realizar periódicamente talleres de capacitación docente a nivel institucional donde se
promueve la inteligencia emocional y el desarrollo personal.
La Dirección académica debe evaluar constantemente el trabajo de los docentes y elevar los

14. informes a la dirección general.
Funciones – Subfunsiones - Tareas:
1-Realizar el reclutamiento: lograr que todos los puestos estén cubiertos por personal
competente que cubran el perfil institucional por un costo razonable.
a) Buscar los postulantes (docentes y no docentes)
 Análisis de las necesidades del cargo
 Desarrollo de especificaciones de trabajo
 Análisis de las fuentes de empleados potenciales
 Atracción de los posibles postulantes
b) Realizar el proceso de selección: Análisis de la capacidad de los aspirantes para decidir
cual tiene mayores posibilidades.
 Entrevistar los postulantes
 Realizar talleres de Pruebas de inteligencia emocional.
 Evaluación de los postulantes en base a los resultados de los talleres.
 Confección y entrega de los diferentes tipos de contratos de trabajo
(contratos temporales, a plazo fijo, contratos de prueba, pasantías, etc.)
c) Instrucción y entrega de materiales: Entrenamiento, información y entrega de materiales
necesarios a los empleados contratados (o nuevos) para que cumplan sus obligaciones
eficientemente.
 Orientación de los nuevos empleados mediante talleres de capacitación y
entrega de documentación con las normativas (reglas con las que se rige la
institución)
 Seguimiento de la actuación de los empleados (y empleados nuevos
también).
 Compra de materiales didácticos u otros servicios para entregar a los
docentes y así los mismos puedan dictar sus clases eficientemente.
d) Despidos: Terminación legal de las relaciones con los empleados en la forma mas
beneficiosa para ellos y el colegio.
 Realización de la entrevista de egreso
 Análisis de las bajas
e) Determinar los servicios sociales para los empleados.
 Determinación de servicio médicos y otros para los empleados (y alumnos)
que cubran la seguridad e integridad física del personal dentro de la
organización.
 Prepara la documentación para la gestión de obras sociales del personal.
2-Administrar sueldos y jornales: lograr que todos los empleados estén remunerados adecuada,
equitativamente y en tiempo.
a) Clasificar la posición, responsabilidades y requerimientos de los empleados
 Preparación de las normativas institucionales donde están las
especificaciones de trabajo
 Revisión periódica y corrección de las normativas.
 Fijar los valores monetarios de los puestos en forma justa y equitativa,
respecto a otros puestos en el colegio y a puestos similares en el mercado de
trabajo.
 Efectuar los pagos correspondientes a los sueldos mensuales (el pago y
entrega de recibos de sueldo se efectúa en la propia institución)
b) Control de Horarios: Fijación de horas de trabajo y periodos de inasistencia con goce de
haberes o sin el, que sean justos tanto para el empleado como para el colegio.
 Planificación y administración de políticas sobre horarios de trabajos o
inasistencias.
 Planificación y administración de planes de vacaciones.
3- Promocionar las Relaciones institucionales: Asegurar que las relaciones de trabajo entre la
dirección general y los empleados al igual que la satisfacción en el trabajo y oportunidad de
progreso del personal, sean desarrollados y mantenidos siguiendo los mejores intereses del
colegio y de los empleados. También su función es la de desarrollar proyectos de Relaciones
Institucionales con el medio externo (otras instituciones escolares, clubes, etc.)
a) Realizar negociaciones colectivas: Lograr concordancia con las organizaciones de
empleados reconocidas oficialmente y establecidas legalmente, de la manera que mejor

15. contemple los intereses de la escuela y los docentes.
 Negociación de convenios
 Interpretación y administración de estos
b) Controlar la disciplina del personal
 Fijar reglas de conducta y disposiciones mediante las normativas
institucionales
 Establecer y administrar las medidas disciplinarias con respecto a
inasistencias injustificadas.
c) Investigación de Personal:
 Investigación de referencias de trabajos anteriores.
 Confirmar las referencias y otras documentaciones a la administración
general.
 Investigar y verificar la documentación presentada por los empleados que
luego conformaran el legajo de los mismos (DNI, títulos oficiales,
registración en la Junta de clasificaciones, etc.)
5-Generar Informes
 Confeccionar todos los informes mensuales, semestrales y anuales con las
estadísticas, resúmenes, etc. de las gestiones administrativas del personal.
• Diagnóstico:
De acuerdo con el Dominio “Planificación y Organización” y el Proceso “Administración de
Recursos Humanos”, nosotros hemos desarrollado un análisis, donde identificamos con que
normas esta cumpliendo la organización y con cuales no, a partir de allí definiremos que es lo
que la escuela debería hacer para cumplir con las normas COBIT.
La organización ARCO IRIS SCHOOL, según nuestro parecer y de acuerdo a lo relevado,
creemos que se ajusta bastante bien a las normas COBIT en cuanto al proceso en cuestión,
puesto que la misma cumple con las siguientes actividades o tareas del mismo:
Reclutamiento y Promoción personal, ya que la Dirección evalúa regularmente los procesos
necesarios para asegurar que las practicas de reclutamiento y promoción de personal tengan
excelentes resultados, considerando factores como la educación del personal, la experiencia y la
responsabilidad.
Personal Calificado, puesto que se verifica que el personal que lleva tareas especificas este
capacitado y para ello se realizan Talleres Docentes.
Entrenamiento de Personal, ya que en cuanto ingresa el personal y durante su permanencia en
el establecimiento tiene a su disposición toda la información que necesite, así como también la
permanente capacitación. Aunque es importante destacar que no hay un manual de Funciones,
ni de Procedimientos, por lo cual los empleados pueden tener dudas con respecto a sus
funciones.
Evaluación de Desempeño de los Empleados, ya que el establecimiento implementa un proceso
de evaluación de desempeño de los empleados y asesora a los mismos sobre su desempeño o
conducta de manera apropiada. Aunque las evaluaciones de rendimiento no están definidas
formalmente y por ende se puede llegar a tener problemas por la subjetividad de la persona que
esta evaluando el desempeño.
Cambios de puestos y Despidos, puesto que cuando se toman tales acciones se trata de que
sean oportunas y apropiadas, de tal manera que los controles internos y la seguridad no se vean
perjudicados por estos eventos.
s importante destacar que ARCO IRIS SCHOOL tienes dificultados en cuanto a:
Respaldo de Personal, puesto que no cuenta con suficiente personal de respaldo para
solucionar posibles ausencias. Tampoco el personal encargado de puestos delicados como ser
el Tesorero toma vacaciones interrumpidas con duración suficiente como para probar la
habilidad de la organización para manejar casos de ausencia y detectar actividades
fraudulentas.
Procedimientos de Acreditación de Personal, puesto que las investigaciones de seguridad
asociada a la contratación no son llevadas a cabo.
• Conclusiones:
Por lo tanto, podemos especificar que para que la escuela cumpla con las normas COBIT en
cuanto al proceso “Administración de Recursos Humanos” deberá:
• Realizar manuales de funciones, de manera que estén definidos todos los puestos de
trabajo y sus correspondientes funciones.

16. • Realizar manuales de Procedimientos, de manera que los empleados puedan identificar
cuales son las tareas que deben realizar de acuerdo a su puesto y funciones.
• Establecer Procedimientos de Acreditación, ya que de lo contrario se pueden tener
serios problemas por no haber realizado correctamente las investigaciones de
seguridad.
• Proporcionar un entrenamiento “cruzado” de manera de tener personal de respaldo con
la finalidad de solucionar posibles ausencias, ya que la escuela no puede contar con
suficiente personal por su economía actual.
• Definir y publicar formalmente las evaluaciones de rendimiento, de manera de aplicarlas
a la hora de hacer la evaluación de desempeño para evitar problemas con el personal
docente y no docente.
8. Apéndice I
COBIT como Producto, incluye:
 Resumen Ejecutivo: es un documento dirigido a la alta gerencia presentando los antecedentes y
la estructura básica de COBIT Además, describe de manera general los procesos, los recursos y
los criterios de información, los cuales conforman la “Columna Vertebral” de COBIT.
 Marco de Referencia (Framework): Incluye la introducción contenida en el resumen ejecutivo y
presenta las guías de navegación para que los lectores se orienten en la exploración del
material de COBIT haciendo una presentación detallada de los 34 procesos contenidos en los
cuatro dominios.
 Objetivos de Control: Integran en su contenido lo expuesto tanto en el resumen ejecutivo como
en el marco de referencia y presenta los objetivos de control detallados para cada uno de los 34
procesos.
En total se describen 302 objetivos de control detallados (de 3 a 30 objetivos por cada uno de los
procesos)
 Guías de Auditoria: Se hace una presentación del proceso de auditoria generalmente aceptado
(relevamiento de información, evaluación de control, evaluación de cumplimiento y evidenciación
de los riesgos).
Este documento incluye guías detalladas para auditar cada uno de los 34 procesos teniendo en cuenta
los 302 objetivos de control detallados.
 Guías de Administración: Se enfoca de manera similar a los otros productos e integra los
principios del Balance Business Scorecard.
Para ayudar a determinar cuales son los adecuados niveles de seguridad y control integra los conceptos
de:
–Modelo de madurez CMM (prácticas de Control)
–Indicadores claves de Desempeño de los procesos de TI
–Factores Críticos de Éxito a tener en cuenta para mantener bajo control los procesos de TI.
 Guías Gerenciales: Incluidas en la Tercera Edición, las mismas proveen modelos de madurez,
factores críticos de éxito, indicadores claves de objetivos e indicadores claves de desempeño
para los 34 procesos de TI de COBIT. Estas guías proveen a la gerencia herramientas que
permiten la auto evaluación y poder seleccionar opciones para implementación de controles y
mejoras sobre la información y la tecnología relacionada. Las guías fueron desarrolladas por un
panel de 40 expertos en seguridad y control, profesionales de administración de TI y de
administración de desempeño, analistas de la industria y académicos de todo el mundo.
 Herramientas de implementación: Muestra algunas de las lecciones aprendidas por aquellas
organizaciones que han aplicado COBIT e incluye una guía de implementación con dos
herramientas: Diagnóstico de conciencia Administrativa y Diagnóstico de Control en TI
Como con cualquier investigación amplia e innovadora, COBIT será actualizado cada tres años. Esto
asegurara que el modelo y la estructura permanezcan vigentes. La validación también permite asegurar
que los 41 materiales de referencia primarios no hayan cambiado, y, si hubieran cambiado, reflejas eso
en el documento
9. Apéndice II
Relaciones de Objetivo de Control, Dominios, Procesos y Objetivos de Control
PLANEACIÓN Y ORGANIZACIÓN 4.15 Relaciones

17. 1.0 Definición de un Plan Estratégico de 5.0 Manejo de la Inversión en Tecnología de
Tecnología de Información Información
1.1 Tecnología de Información como parte del 5.1 Presupuesto Operativo Anual para la
Plan de la Organización a corto y largo plazo Función de Servicio de información
1.2 Plan a largo plazo de Tecnología de 5.2 Monitoreo de Costo - Beneficio
Información 5.3 Justificación de Costo - Beneficio
1.3 Plan a largo plazo de Tecnología de 6.0 Comunicación de la dirección y
Información - Enfoque y Estructura aspiraciones de la gerencia
1.4 Cambios al Plan a largo plazo de 6.1 Ambiente positivo de control de la
Tecnología de Información información
1.5 Planeación a corto plazo para la función 6.2 Responsabilidad de la Gerencia en cuanto
de Servicios de Información a Políticas
1.6 Evaluación de sistemas existentes 6.3 Comunicación de las Políticas de la
2.0 Definición de la Arquitectura de Organización
Información 6.4 Recursos para la implementación de
2.1 Modelo de la Arquitectura de Información Políticas
2.2 Diccionario de Datos y Reglas de cinta de 6.5 Mantenimiento de Políticas
datos de la corporación 6.6 Cumplimiento de Políticas,
2.3 Esquema de Clasificación de Datos Procedimientos y Estándares
2.4 Niveles de Seguridad 6.7 Compromiso con la Calidad
3.0 Determinación de la dirección tecnológica 6.8 Política sobre el Marco de Referencia para
3.1 Planeación de la Infraestructura la Seguridad y el Control Interno
Tecnológica 6.9 Derechos de propiedad intelectual
3.2 Monitoreo de Tendencias y Regulaciones 6.10 Políticas Específicas
Futuras 6.11 Comunicación de Conciencia de
3.3 Contingencias en la Infraestructura Seguridad en TI
Tecnológica 7.0 Administración de Recursos Humanos
3.4 Planes de Adquisición de Hardware y 7.1 Reclutamiento y Promoción de Personal
Software 7.2 Personal Calificado
3.5 Estándares de Tecnología 7.3 Entrenamiento de Personal
4.0 Definición de la Organización y de las 7.4 Entrenamiento Cruzado o Respaldo de
Relaciones de TI Personal
4.1 Comité de planeación o dirección de la 7.5 Procedimientos de Acreditación de
función de servicios de información Personal
4.2 Ubicación de los servicios de información 7.6 Evaluación de Desempeño de los
en la organización Empleados
4.3 Revisión de Logros Organizacionales 7.7 Cambios de Puesto y Despidos
4.4 Funciones y Responsabilidades 8.0 Aseguramiento del Cumplimiento de
4.5 Responsabilidad del aseguramiento de Requerimientos Externos
calidad 8.1 Revisión de Requerimientos Externos
4.6 Responsabilidad de la seguridad lógica y 8.2 Prácticas y Procedimientos para el
física Cumplimiento de Requerimientos Externos
4.7 Propiedad y Custodia 8.3 Cumplimiento de los Estándares de
4.8 Propiedad de Datos y Sistemas Seguridad y Ergonomía
4.9 Supervisión 8.4 Privacidad, Propiedad Intelectual y Flujo
4.10 Segregación de Funciones de Datos
4.11 Asignación de Personal para Tecnología 8.5 Comercio Electrónico
de Información 8.6 Cumplimiento con Contratos de Seguros
4.12 Descripción de Puestos para el Personal 9.0 Evaluación de Riesgos
de la Función de TI 9.1 Evaluación de Riesgos del Negocio
4.13 Personal clave de TI 9.2 Enfoque de Evaluación de Riesgos
4.14 Procedimientos para personal por 9.3 Identificación de Riesgos
contrato 9.4 Medición de Riesgos
9.5 Plan de Acción contra Riesgos
9.6 Aceptación de Riesgos ADQUISICIÓN E IMPLEMENTACIÓN
10.0 Administración de proyectos 1.0 Identificación de Soluciones
10.1 Marco de Referencia para la 1.1 Definición de Requerimientos de
Administración de Proyectos Información

18. 10.2 Participación del Departamento Usuario 1.2 Formulación de Acciones Alternativas
en la Iniciación de Proyectos 1.3 Formulación de Estrategias de Adquisición.
10.3 Miembros y Responsabilidades del 1.4 Requerimientos de Servicios de Terceros
Equipo del Proyecto 1.5 Estudio de Factibilidad Tecnológica
10.4 Definición del Proyecto 1.6 Estudio de Factibilidad Económica
10.5 Aprobación del Proyecto 1.7 Arquitectura de Información
10.6 Aprobación de las Fases del Proyecto 1.8 Reporte de Análisis de Riesgos
10.7 Plan Maestro del Proyecto 1.9 Controles de Seguridad Económicos
10.8 Plan de Aseguramiento de la Calidad de 1.10 Diseño de Pistas de Auditoría
Sistemas 1.11 Ergonomía
10.9 Planeación de Métodos de 1.12 Selección de Software de Sistema
Aseguramiento 1.13 Control de Abastecimiento
10.10 Administración Formal de Riesgos de 1.14 Adquisición de Productos de Software
Proyectos 1.15 Mantenimiento de Software de Terceras
10.11 Plan de Prueba Partes
10.12 Plan de Entrenamiento 1.16 Contratos de Programación de
10.13 Plan de Revisión Post Implementación Aplicaciones
11.0 Administración de Calidad 1.17 Aceptación de Instalaciones
11.1 Plan General de Calidad 1.18 Aceptación de Tecnología
11.2 Enfoque de Aseguramiento de Calidad 2.0 Adquisición y Mantenimiento de Software
11.3 Planeación del Aseguramiento de Calidad de Aplicación
11.4 Revisión de Aseguramiento de Calidad 2.1 Métodos de Diseño
sobre el Cumplimiento de Estándares y 2.2 Cambios Significativos a Sistemas
Procedimientos de la Función de Servicios de Actuales
Información 2.3 Aprobación del Diseño
11.5 Metodología del Ciclo de Vida de 2.4 Definición y Documentación de
Desarrollo de Sistemas Requerimientos de Archivos
11.6 Metodología del Ciclo de Vida de 2.5 Especificaciones de Programas
Desarrollo de Sistemas para Cambios 2.6 Diseño para la Recopilación de Datos
Mayores a la Tecnología Actual Fuente
11.7 Actualización de la Metodología del Ciclo 2.7 Definición y Documentación de
de Vida de Desarrollo de Sistemas Requerimientos de Entrada de Datos
11.8 Coordinación y Comunicación 2.8 Definición de Interfases
11.9 Marco de Referencia de Adquisición y 2.9 Interfases Usuario-Máquina
Mantenimiento para la Infraestructura de 2.10 Definición y Documentación de
Tecnología Requerimientos de Procesamiento
11.10 Relaciones con Terceras Partes como 2.11 Definición y Documentación de
Implementadores Requerimientos de Salida de Datos
11.11 Estándares para la Documentación de 2.12 Controlabilidad
Programas 2.13 Disponibilidad como Factor Clave de
11.12 Estándares para Pruebas de Programas Diseño
11.13 Estándares para Pruebas de Sistemas 2.14 Estipulación de Integridad de TI en
11.14 Pruebas Piloto/En Paralelo programas de software de aplicaciones
11.15 Documentación de las Pruebas del 2.15 Pruebas de Software de Aplicación
Sistema 2.16 Materiales de Consulta y Soporte para
11.16 Evaluación del Aseguramiento de la Usuario
Calidad sobre el Cumplimiento de Estándar de 2.17 Reevaluación del Diseño del Sistema
Desarrollo 3.0 Adquisición y Mantenimiento de
11.17 Revisión del Aseguramiento de Calidad Arquitectura de Tecnología
sobre el Logro de los Objetivos de la Función 3.1 Evaluación de Nuevo Hardware y Software
de Servicios de Información 3.2 Mantenimiento Preventivo para Hardware
11.18 Métricas de Calidad 3.3 Seguridad del Software del Sistema
11.19 Reportes de Revisiones de 3.4 Instalación del Software del Sistema
Aseguramiento de la Calidad 3.5 Mantenimiento del Software del Sistema
3.6 Controles para Cambios del Sofware del
Sistema
4.0 Desarrollo y Mantenimiento de 3.2 Plan de Disponibilidad
Procedimientos relacionados con Tecnología 3.3 Monitoreo y Reporte

19. de Información 3.4 Herramientas de Modelado
4.1 Futuros Requerimientos y Niveles de 3.5 Manejo de Desempeño Proactivo
Servicios Operacionales 3.6 Pronóstico de Carga de Trabajo
4.2 Manual de Procedimientos para Usuario 3.7 Administración de Capacidad de Recursos
4.3 Manual de Operación 3.8 Disponibilidad de Recursos
4.4 Material de Entrenamiento 3.9 Calendarización de recursos
5.0 Instalación y Acreditación de Sistemas 4.0 Aseguramiento de Servicio Continuo
5.1 Entrenamiento 4.1 Marco de Referencia de Continuidad de
5.2 Adecuación del Desempeño del Software Tecnología de Información
de Aplicación 4.2 Estrategia y Filosofía de Continuidad de
5.3 Conversión Tecnología de Información
5.4 Pruebas de Cambios 4.3 Contenido del Plan de Continuidad de
5.5 Criterios y Desempeño de Pruebas en Tecnología de Información
Paralelo/Piloto 4.4 Minimización de requerimientos de
5.6 Prueba de Aceptación Final Continuidad de Tecnología de Información
5.7 Pruebas y Acreditación de Seguridad 4.5 Mantenimiento del Plan de Continuidad de
5.8 Prueba Operacional Tecnología de Información
5.9 Promoción a Producción 5.10 Evaluación 4.6 Pruebas del Plan de Continuidad de
de la Satisfacción de los Requerimientos del Tecnología de Información
Usuario 4.7 Capacitación sobre el Plan de Continuidad
5.11Revisión Gerencial Post - Implementación de Tecnología de Información
6.0 Administración de Cambios 4.8 Distribución del Plan de Continuidad de
6.1 Inicio y Control de Requisiciones de Tecnología de Información
Cambio 4.9 Procedimientos de Respaldo de
6.2 Evaluación del Impacto Procesamiento para Departamentos Usuarios
6.3 Control de Cambios 4.10 Recursos críticos de Tecnología de
6.4 Documentación y Procedimientos Información
6.5 Mantenimiento Autorizado 4.11 Centro de Cómputo y Hardware de
6.6 Política de Liberación de Software respaldo
6.7 Distribución de Software 4.12 Procedimientos de Refinamiento del Plan
de Continuidad de TI
ENTREGA DE SERVICIOS Y SOPORTE 5.0 Garantizar la Seguridad de Sistemas
1.0 Definición de Niveles de Servicio 5.1 Administrar Medidas de Seguridad
1.1 Marco de Referencia para el Convenio de 5.2 Identificación, Autenticación y Acceso
Nivel de Servicio 5.3 Seguridad de Acceso a Datos en Línea
1.2 Aspectos sobre los Acuerdos de Nivel de 5.4 Administración de Cuentas de Usuario
Servicio 5.5 Revisión Gerencial de Cuentas de Usuario
1.3 Procedimientos de Ejecución 5.6 Control de Usuarios sobre Cuentas de
1.4 Monitoreo y Reporte Usuario
1.5 Revisión de Convenios y Contratos de 5.7 Vigilancia de Seguridad
Nivel de Servicio 5.8 Clasificación de Datos
1.6 Elementos sujetos a Cargo 5.9 Administración Centralizada de
1.7 Programa de Mejoramiento del Servicio Identificación y Derechos de Acceso
2.0 Administración de Servicios prestados por 5.10 Reportes de Violación y de Actividades de
Terceros Seguridad
2.1 Interfases con Proveedores 5.11 Manejo de Incidentes
2.2 Relaciones de Dueños 5.12 Re-acreditación
2.3 Contratos con Terceros 5.13 Confianza en Contrapartes
2.4 Calificaciones de terceros 5.14 Autorización de Transacciones
2.5 Contratos con Outsourcing 5.15 No Rechazo
2.6 Continuidad de Servicios 5.16 Sendero Seguro
2.7 Relaciones de Seguridad 5.17 Protección de funciones de seguridad
2.8 Monitoreo 5.18 Administración de Llave Criptográfica
3.0 Administración de Desempeño y 5.19 Prevención, Detección y Corrección de
Capacidad Software “Malicioso”
3.1 Requerimientos de Disponibilidad y 5.20 Arquitecturas de FireWalls y conexión a
Desempeño redes públicas
5.21 Protección de Valores Electrónicos

20. 6.0 Identificación y Asignación de Costos ser Desechada
6.1 Elementos Sujetos a Cargo 11.19 Administración de Almacenamiento
6.2 Procedimientos de Costeo 11.20 Períodos de Retención y Términos de
6.3 Procedimientos de Cargo y Facturación a Almacenamiento
Usuarios 11.21 Sistema de Administración de la Librería
7.0 Educación y Entrenamiento de Usuarios de Medios
7.1 Identificación de Necesidades de 11.22 Responsabilidades de la Administración
Entrenamiento de la Librería de Medios
7.2 Organización de Entrenamiento de proveedores externos de servicios
7.3 Entrenamiento sobre Principios y 11.23 Respaldo y Restauración
Conciencia de Seguridad 11.24 Funciones de Respaldo
8.0 Apoyo y Asistencia a los Clientes de 11.25 Almacenamiento de Respaldo
Tecnología de Información 11.26 Archivo
8.1 Buró de Ayuda 11.27 Protección de Mensajes Sensitivos
8.2 Registro de Preguntas del Usuario 11.28 Autenticación e Integridad
8.3 Escalamiento de Preguntas del Cliente 11.29 Integridad de Transacciones
8.4 Monitoreo de Atención a Clientes Electrónicas
8.5 Análisis y Reporte de Tendencias 11.30 Integridad Continua de Datos
9.0 Administración de la Configuración Almacenados
9.1 Registro de la Configuración 12.0 Administración de Instalaciones
9.2 Base de la Configuración 12.1 Seguridad Física
9.3 Registro de Estatus 12.2 Discreción de las Instalaciones de
9.4 Control de la Configuración Tecnología de Información
9.5 Software no Autorizado 12.3 Escolta de Visitantes
9.6 Almacenamiento de Software 12.4 Salud y Seguridad del Personal
10.0 Administración de Problemas e Incidentes 12.5 Protección contra Factores Ambientales
10.1 Sistema de Administración de Problemas 12.6 Suministro Ininterrumpido de Energía
10.2 Escalamiento de Problemas 13.0 Administración de Operaciones
10.3 Seguimiento de Problemas y Pistas de 13.1 Manual de procedimientos de Operación
Auditoría e Instrucciones
11.0 Administración de Datos 13.2 Documentación del Proceso de Inicio y de
11.1 Procedimientos de Preparación de Datos Otras Operaciones
11.2 Procedimientos de Autorización de 13.3 Calendarización de Trabajos
Documentos Fuente 13.4 Salidas de la Calendarización de
11.3 Recopilación de Datos de Documentos Trabajos Estándar
Fuente 13.5 Continuidad de Procesamiento
11.4 Manejo de Errores de Documentos 13.6 Bitácoras de Operación
Fuente 13.7 Operaciones Remotas
11.5 Retención de Documentos Fuente
11.6 Procedimientos de Autorización de MONITOREO
Entrada de Datos 1.0 Monitoreo del Proceso
11.7 Chequeos de Exactitud, Suficiencia y 1.1 Recolección de Datos de Monitoreo
Autorización 1.2 Evaluación de Desempeño
11.8 Manejo de Errores en la Entrada de 1.3 Evaluación de la Satisfacción de Clientes
Datos 1.4 Reportes Gerenciales
11.9 Integridad de Procesamiento de Datos 2.0 Evaluar lo adecuado del Control Interno
11.10 Validación y Edición de Procesamiento 2.1 Monitoreo de Control Interno
de Datos 2.2 Operación oportuna del Control Interno
11.11 Manejo de Error en el Procesamiento de 2.3 Reporte sobre el Nivel de Control Interno
Datos 2.4 Seguridad de operación y aseguramiento
11.12 Manejo y Retención de Salida de Datos de Control Interno
11.13 Distribución de Salida de Datos 3.0 Obtención de Aseguramiento
11.14 Balanceo y Conciliación de Datos de Independiente
Salida 3.1 Certificación / Acreditación Independiente
11.15 Revisión de Salida de Datos y Manejo de Control y Seguridad de los servicios de TI
de Errores 3.2 Certificación / Acreditación Independiente
11.16 Provisiones de Seguridad para Reportes de Control y Seguridad de proveedores
de Salida externos de servicios
11.17 Protección de Información Sensible

21. durante transmisión y transporte 3.3 Evaluación Independiente de la
11.18 Protección de Información Crítica a Efectividad
de los Servicios de TI
3.4 Evaluación Independiente de la
Efectividad de proveedores externos de
servicios
3.5 Aseguramiento Independiente del
Cumplimiento de leyes y requerimientos
regulatorios y compromisos contractuales
3.6 Aseguramiento Independiente del
Cumplimiento de leyes y requerimientos
regulatorios y compromisos contractuales
3.7 Competencia de la Función de
Aseguramiento Independiente
3.8 Participación Proactiva de Auditoría
4.0 Proveer Auditoría Independiente
4.1 Estatutos de Auditoría
4.2 Independencia
4.3 Ética y Estándares Profesionales
4.4 Competencia
4.5 Planeación
4.6 Desempeño del Trabajo de Auditoría
4.7 Reporte
4.8 Actividades de Seguimiento
Trabajo enviado por:
Ivana Soledad Rojas Córsico
ivanasrojas@hotmail.com
Estudiante del 5to. Año de la Carrera Ingeniería en Sistemas, Universidad Tecnológica Nacional
(Regional Córdoba)
Tema: Auditoría de Sistemas de Información