• Author / Uploaded
• Cecilia Banegas

• Categories
• Cobit
• Contralor, auditor
• Software
• Archivo de computadora
• Hardware de la computadora

Citation preview

CUESTIONARIO DE REPASO 1. ¿Explique cómo pueden mejorar los controles internos del cliente mediante la instalación adecuada de la TI. ? R// Debido a que la IT reemplaza las tareas manuales que son ejecutadas por el ser humano se reduce el error humano ya que los sistemas procesan información de manera consistente siempre y cuando estos estén bien programados y uno de los problemas que enfrentan las empresas es de poseer información confiable y de alta calidad y el tiempo oportuno esto facilita la toma de decisiones en la empresa. 2. ¿Identifique los riesgos de los sistemas contables que dependen en gran medida de las funciones de la TI?  Confianza en las capacidades de funcionamiento del hardware y software.  Visibilidad del registro de la auditoría.  Reducción de la participación humana.  Errores sistemáticos contra errores al azar.  Acceso no autorizado.  Perdida de información.  Separación de tareas menor.  Falta de autorización tradicional  Necesidad de experiencia en TI. 3. ¿Distinga entre controles generales y controles de aplicación y de dos ejemplos de cada uno? R// Los controles generales se relacionan con todos los aspectos de la función de TI como la administración, adquisición del software y mantenimiento, seguridad en línea y física sobre el acceso al hardware, software e información relacionada, respaldo de la planeación y controles del hardware. Ejemplos: ** En muchas empresas se restringe el acceso al hardware, las contraseñas y usuarios limitan los accesos al software.

*** Existe un departamento de tecnología de información donde hay una sección de programación, operaciones y control de información. Los controles de aplicación se emplean en el procesamiento de operaciones individuales, cómo controles sobre el procesamiento de ventas o recibos de caja son específicos a ciertas aplicaciones del software y normalmente no afectan a todas las funciones de TI. Ejemplos;* El total de todas las facturas pendientes de pago a los proveedores en un mes determinado. * Las pantallas muestran una ventana donde se requieren ingresar todos los productos requeridos por el cliente para procesar la factura. 4. ¿Explique cómo afecta la fuerza de los controles generales a las pruebas del auditor para controles de aplicación?

R//Las pruebas del auditor dependen en gran medida de la efectividad de los controles tanto generales como de aplicación, porque si los controles generales son ineficientes existe una potencial para los errores materiales en cada aplicación contable basada en cómputo, sin importar la calidad de los controles de aplicación y hacer muchos más pruebas, por el contrario si estos son eficientes entonces existe una probabilidad de que los controles de aplicación sean más efectivos y probar controles específicos de sobre la efectividad de la operación y confiar en los resultados para reducir las pruebas sustantivas.

5. ¿Identifique las tareas tradicionalmente separadas en ambientes no complejos de TI y explique cómo incrementar la complejidad de la función de TI afecta dicha separación? R// Tradicionalmente están separadas las tareas de custodia, autorizaciones y control de Registros. Incrementar la complejidad de la función de TI lleva a minimizar el riesgo sobre la perdida de activos e información. 6. ¿Distinga entre controles generales y controles de aplicación y dé dos ejemplos de cada uno? R// Los controles generales se relacionan con todos los aspectos de la función de TI, como la administración, adquisición de software y mantenimiento; seguridad en línea y física sobre el acceso al hardware, software e información relacionada; respaldo de la planeación en el supuesto de emergencias inesperadas; y controles de hardware. Ej Riesgo de Procesamiento no autorizado y Riesgo de caída de sistema. Los controles de aplicación se emplean en el procesamiento de operaciones individuales, Así, los controles de aplicación son específicos para ciertas aplicaciones de software y normalmente no afectan a todas las funciones TI. Ej controles sobre el procesamiento de ventas o recibos de caja. 7 ¿Identifique las tareas típicas dentro de la función de TI y describa cómo deben separarse aquellas tareas entre el personal de TI?  Administración de TI. Generalmente, la supervisión de la función de TI es responsabilidad del jefe de servicios de información o del director de TI (CIO)  Sistemas de desarrollo. Por lo común, los desarrollos y cambios a los sistemas de TI son coordinados por un analista de sistemas, cuya responsabilidad es el diseño general de cada sistema de aplicación además de servir como enlace entre el personal de TI responsable de la programación de la aplicación y el personal externo a la función de TI, quien será el principal usuario del sistema (por ejemplo, el personal de cuentas por cobrar)  Operaciones. Las operaciones cotidianas de cómputo son responsabilidad de los operadores de computadoras, responsables de los trabajos de ejecución conforme con el calendario de trabajo establecido por el CIO y de vigilar las consolas de las computadoras en caso de recibir mensajes acerca de la eficiencia de las computadoras y falla en sus funciones.

 Control de datos. El personal de control de información de entrada y de salida verifica de forma independiente la calidad de la entrada y la racionabilidad de la salida.

8. ¿Explique cómo afecta la fuerza de los controles generales a las pruebas del auditor para los controles de aplicación? R// La mayoría de los auditores evalúan la efectividad de los controles generales antes de evaluar los controles de aplicación. Si los controles generales son ineficaces, existe un potencial para los errores materiales en cada aplicación contable basada en cómputo, sin importar la calidad de los controles de aplicación. Por otro lado, si los buenos controles generales se encuentran bien ubicados, existe una gran probabilidad de que los controles de aplicación sean más confiables. 9. ¿Explique la relación entre controles de aplicación y los objetivos de auditoria relacionados con las operaciones? R// Los controles generales afectan los objetivos de auditoría relacionados con la operación en varios ciclos. Si los controles generales no son efectivos, entonces se reduce la capacidad del auditor para depender de los controles de aplicación para reducir el riesgo de control. Por el contrario, si los controles generales son efectivos, se incrementa la capacidad del auditor para depender de los controles de aplicación con el fin de reducir el riesgo de control 10. ¿Explique qué se entiende por auditoria en torno a la computadora y describa que debe presentarse para que esta estrategia sea efectiva cuando se realice la auditoria a clientes que utilicen TI para procesar información contable? R// La auditoría en torno a la computadora: es la verificación sin depender y sin contar con los controles de prueba integrados a los programas de aplicación de cómputo; la cual es aceptable siempre y cuando el auditor tenga acceso a los documentos de origen en una forma legible de manera que puedan ser cotejados contra los listados de la información de salida o cuando existan suficientes controles no automatizados. Existen tres categorías para probar estrategias cuando se audita en torno a la computadora: el enfoque de datos de las pruebas, simulación paralela y el método del módulo de auditoría integrado. 11¿Explique qué significa el método de datos de las pruebas ¿Cuáles son las principales dificultades cuando se utiliza este método? Defina la simulación paralela con software de auditoria y proporcione un ejemplo de como pudiera ser utilizada para probar el sistema de nómina del cliente. R// Es la intervención del Auditor mediante el sistema de cómputo y sistema de aplicación del cliente para determinar si se procesaron de forma correcta por los

controles ejecutados por computadora y el cual presenta algunas consideraciones a tomar en cuenta: Los datos de la prueba deben incluir todas las condiciones relevantes que el auditor quiere probar: El auditor debe diseñar los datos de las pruebas para probar los controles fundamentales basados en computadoras. Los programas de aplicación probados mediante los datos de prueba del auditor deben ser los mismos que los que el cliente uso durante el año: Un método es correr los datos de las pruebas en forma sorpresiva. Los datos de la prueba deben ser eliminados de los registros del cliente: No es conveniente permitir operaciones ficticias y dejarlas por siempre en los archivos del cliente. La simulación paralela: Es la utilización de software controlado por el auditor para desarrollar operaciones paralelas al software del cliente utilizando los mismos archivos de información. Ya sea esto mediante pruebas a los controles o a los saldos Finales. Una forma de utilización en el caso de las nóminas de clientes seria conectar a la base de datos de recursos humanos de manera que puede tener una información actualizada que le permita tener un punto de partida. 12¿Describa los riesgos asociados con el software comprado para instalarse en los discos duros de las microcomputadoras. ¿Qué precauciones pueden los clientes tomar para reducir dichos riesgos? Uno de los riesgos es que los cambios no autorizados en el software son bajos. Un usuario podría subir límites de crédito de un cliente lo suficiente como para evitar un rechazo. La pérdida de datos y programas causada por virus en las computadoras, que pueden afectar otros programas y al sistema completo (red de computadoras). Consideraciones:  La revisión por parte de la administración y usuarios habituales de las operaciones de salida, aumenta el control interno.  Una separación adecuada de tareas entre personal de acceso a los archivos maestros y las tareas para procesamiento.  La protección con antivirus actualizados continuamente, ayuda contra la infección de virus y mejora los controles internos.  13. ¿Compare los riesgos asociados con los ambientes de redes de aquellos asociados con las funciones centralizadas de TI? R//Los riesgos que enfrenta una compañía cuando compromete sus actividades esto debido a que la información puede ser intersectada o saboteada pero todo esto depende en parte de que tan bien se identifican sus asociados electrónicos y manejan los riesgos en su propio sistema de TI.

14. ¿Cómo afecta el uso del sistema de administración de base de datos a los riesgos? R//.El uso del sistema de datos de administración de base de datos afecta porque el personal de IT puede autorizar o registrar operaciones para encubrir robos de activos, es por esa razón que los sistemas de desarrollo, de operaciones y controles deben separarse. 15. ¿Un cliente de auditoria está en el proceso de crear un sistema de órdenes de venta en línea para los clientes y comprar sus productos por medio de sus tarjetas de crédito personales para el pago. Identificar los riesgos relacionados con un sistema de ventas en línea que la administración debe considerar. Para cada riesgo, identificar el control interno que pudiera llevarse a cabo para reducir el riesgo?           

     

    

Clonación de clave Duplicar la información Información incompleta o falta de información Incongruencia en los datos Pagos dobles de los clientes Cargos indebidos a los clientes Compras inexistentes Incrementos de los gastos Clonación de tarjetas Doble facturación Tarjeta gemela Posibles controles Uso de un sistema de protección de claves Uso de programas protegidos para la información Tener aparte de la información del sistema un registro manual de toda la información necesaria los clientes de tarjetas de crédito. Verificar los datos del sistema versus información manual Controles físicos de sobre el efectivo versus sistema Que exista un informe a diario que resume los cargos, avances, intereses y comisiones ganados; y que estos sean revisados por alguien diferente a quien los elabore. Verificar las actividades principales como compras por otra persona ajena al departamento. Comparar los gastos del sistema versus factura de gastos. Que exista un programa que verifique el cumplimiento de requisitos mínimos para la asignación de cupos de tarjetas. Verificar números de factura Tener un control de tarjetas por alguien más al encargado de las tarjetas.

16. ¿Explique porque es inaceptable para un auditor asumir que un centro de servicio de cómputo independiente proporcione información contable confiable a

un cliente de auditoria. Que puede hacer el auditor para probar el control interno del cliente de servicio? R// Es inaceptable porque en los servicios de computo hay frecuencia de errores en hardware y software, inflexibilidad y dificultad de mantener datos actualizados en cuanto a los estándares y procedimientos. Por lo tanto el auditor debe aplicar los controles de aplicación.

PREGUNTAS DE OPCIÓN MÚLTIPLE 12-17 Las siguientes preguntas corresponden a las características de los sistemas de TI. Elija la mejor opción.

a. Un sistema de TI está diseñado para asegurar que la administración cuente con la información necesaria para llevar a cabo sus funciones a través de acciones integradas de: (1) Recopilación de datos, análisis y funciones de informes. (2) Un sistema de recuperación de la información basada en la computadora y de toma de decisiones. (3) Funciones de procedimientos estadísticos y analíticos. (4) Presupuesto de producción y actividades de proyección de ventas. b. ¿Cuál de las siguientes condiciones no obligaría al auditor a preguntarse si existen errores importantes? (1) Los errores de contabilidad se incluyen en un listado generado por TI. (2) Diferencias existentes entre cuentas de control y archivos maestro de apoyo. (3) Operaciones que no son respaldadas por la documentación adecuada. (4) Las diferencias son reveladas por confirmaciones. c. A medida que la fuerza de los controles generales de TI se debiliten, el auditor tiene más probabilidad de: (1) Reducir las pruebas de los controles de aplicación realizados por la computadora. (2) Incrementar las pruebas de los controles generales de TI para concluir si operan de forma eficiente. (3) Ampliar las pruebas de controles de aplicación para reducir el riesgo de control para abarcar periodos largos del año fiscal que se encuentra en auditoría.

(4) Hacer caso omiso de la adquisición de conocimiento referente al diseño de los controles generales de TI y si éstos se han puesto en operación. d. ¿Cuál a continuación es un ejemplo de control de aplicación? (1) El cliente usa un software de seguridad para limitar el acceso a cada una de las aplicaciones de contabilidad. (2) A los empleados se les ha asignado una identificación de usuario y una contraseña que deberá cambiarse cada trimestre. (3) El sistema de ventas automáticamente calcula la suma total de la venta y asienta el total al archivo maestro del diario de ventas. (4) Los programadores de los sistemas están restringidos para efectuar funciones de programación en las aplicaciones. 12-18 Las siguientes preguntas tienen que ver con auditar complejos sistemas de TI. Elija la mejor respuesta. a. ¿Cuál de los siguientes sistemas de TI del cliente, por lo general, se puede auditar sin examinar o probar directamente a los programas de cómputo del sistema? (1) Un sistema que realiza procesos relativamente no complicados y produce un informe de salida detallado. (2) Un sistema que afecta un número de archivos maestros esenciales y produce un informe limitado de salida. (3) Un sistema que actualiza unos cuantos archivos maestros esenciales y no produce un informe impreso de salida fuera de los saldos finales. (4) Un sistema que ejecuta un procesamiento relativamente complicado y produce un breve informe de salida detallado. b. ¿Cuál de las siguientes opciones es verdad en los programas de software generales de auditoría? (1) Pueden usarse únicamente al auditar sistemas de cómputo en línea. (2) Pueden usarse en cualquier computadora sin modificación alguna. (3) Cada uno tiene sus propias características que el auditor puede considerar con cuidado antes de usarlo en una determinada situación de auditoría. (4) Permiten al auditor realizar todas las pruebas manuales de los procedimientos de control de manera menos onerosa. c. Suponga que el auditor estima que 10,000 cheques fueron expedidos durante el periodo contable. Si un control de aplicación de TI que realice una verificación en el límite para cada solicitud de cheque estuviera sujeto al enfoque de los datos de las pruebas del auditor, la muestra debería incluir: (1) Aproximadamente 1,000 partidas de prueba. (2) Un número de partidas de prueba determinadas por el auditor será suficiente considerando las circunstancias. (3) Un número de partidas de prueba determinadas por la referencia del auditor a las tablas apropiadas de muestreo. (4) Una operación. d. Un auditor usará el enfoque de los datos de las pruebas para obtener cierta certeza con respecto a: (1) Datos de entrada.

(2) Capacidad de la máquina. (3) Procedimientos contenidos dentro del programa. (4) Grado de precisión de la captura de datos.

12-19 ¿A continuación se muestran declaraciones erróneas que pueden ocurrir en el ciclo de ventas y cobranza: 1. Una orden del cliente se llenó y envió a un cliente anterior que ya se había declarado en bancarrota. 2. El gerente de ventas aprobó el precio de los productos ordenados por un cliente, sin embargo anotó el precio equivocado. 3. Varias notas de remisión fueron integradas al programa de carga masiva de datos. El funcionario a cargo de los recibos de caja se detuvo por una taza de café, los puso en una caja y no los entregó al personal de captura de datos. 4. Se aplicó erróneamente un número de cliente en una factura de ventas y como resultado el importe se cargó al cliente equivocado. Para cuando se detectó el error, el cliente original ya no estaba en el negocio. 5. Un operador antiguo de cómputo, quien ahora es programador, introdujo información para una devolución ficticia de ventas y la ejecutó a través del sistema por la noche. Cuando el dinero llegó, lo tomó y lo depositó en su propia cuenta. 6. Un operador de cómputo recogió un archivo de datos computarizados para ventas de una semana equivocada y lo procesó en el sistema en una segunda ocasión. 7. Para una venta, un operador de captura de datos se equivocó al capturar la información para el departamento del vendedor. Como resultado, el vendedor no recibió su comisión por la venta. 8. Un número de parte inexistente se incluyó en la descripción de bienes en un documento de embarque. Por lo tanto, no se aplicó ningún cargo por dichos bienes. b. Identifique un control computarizado que hubiera impedido cada una de las declaraciones erróneas. 1. Control para detectar los clientes con problemas de morosidad de manera que el sistema posea un límite de crédito y de cuentas incobrable para deshabilitar cualquier operación nueva. 2. Cuando el gerente de ventas apruebe una orden de venta automáticamente aparezcan las descripciones de los productos con sus respectivos precios actualizados. 3. Crear un control computarizado capaz de registrar salidas de documentos entre diferentes áreas. 4. El control debe tener el enlace de la orden de compra junto con la factura para que al momento de facturar se arrastre automáticamente el código del cliente. 5. El director de IT debe tener restricciones con las claves que autoriza a su personal y que solamente deben poseer las que se necesita para sus funciones. 6. Tener el sistema actualizado de manera que no permita que haya doble información con la misma secuencia de datos y que exista una persona que revise las operaciones en tiempo y forma. 7. Se debe crear un control que permita la revisión de parte del gerente de ventas las comisiones antes de su pago.

8. Una actualización de la información sobre las partes existentes en suministros eliminando los códigos de los productos sin existencia. 12-21 La empresa Meyers Pharmaceutical Company ha establecido el siguiente sistema de facturación registro de cuentas por cobrar: a. Identificar los controles importantes y los objetivos de auditoría relacionados con las operaciones de ventas. Se recibe una orden de compra de un cliente en el departamento de pedidos y un empleado prepara una orden prenumerada de venta de la compañía con la información pertinente como el nombre y dirección del cliente, su número de la cuenta, y los artículos y cantidades pedidas. Después de que la forma de la orden de venta ha sido preparada, ésta se engrapa junto con la orden de compra del cliente. Control interno: Se prepara la orden de venta con todos los datos del cliente y se adjunta la orden de compra correspondiente para enviarla al departamento de crédito. Objetivo: Que exista el cliente y que el haya autorizado la compra mediante la orden. 2. La orden de venta se turna al departamento de crédito para su aprobación. En el departamento de crédito se hacen burdas aproximaciones acerca de los valores de facturación en las órdenes para aquellas cuentas a las que deben imponerse límites de crédito. Después de investigar, la aprobación de crédito se anota en la forma. Control interno: La orden es aprobada en el departamento de crédito según los límites de crédito se revisa de manera cuidadosa. Objetivo: Las ventas al crédito son debidamente aprobadas por cobranzas.

3. Posteriormente la orden de venta se turna al departamento de facturación en donde un empleado captura la información en un archivo de datos, incluyendo el precio unitario de venta obtenido de una lista aprobada de precios. El archivo de datos se usa para preparar las facturas de ventas. La aplicación de facturación automáticamente acumula los totales diarios de los números de cuenta del cliente y las cantidades de las facturas para proporcionar los totales de control y los montos de control. Estos montos, que se insertan en el libro de registro diario, sirven como la suma de totales predeterminados para ser verificados en la captura masiva. La facturación se realiza en formatos prenumerados, continuos y con copias al carbón intercaladas. Tiene las siguientes designaciones: (a) Copia para el cliente. (b) Copia para el departamento de ventas, sólo para información. (c) Copia para el archivo. (d) Copia para el departamento de embarque, que servirá como orden de embarque. Los conocimientos de embarque se preparan también como subproductos de la copia al carbón del procedimiento de facturación.

Controles internos:  Se captura los datos incluyendo los precios estos son debidamente aprobados con anterioridad para proceder a la facturación.  Automáticamente el sistema aplica el número de cliente y los totales de las facturas para aplicarla como pendientes en sus estados de cuenta.  Insertar los totales en el libro diario para verificarlos en la captura masiva.  La facturación Se hace en formatos prenumerados continuas y las copias necesarias para pasar al siguiente proceso o soporte de las partes interesadas. Objetivo:  Que el precio con el cual se factura es el manejado actualmente y aprobado por gerencia.  Que las facturas sean agregadas a la cuenta del cliente correcto y el total exacto.  Todos los valores en el libro diario se encuentren exactos y al momento de consultar cuentas por cobrar en contabilidad sea de igual valor.  Que existan todos los correlativos y exista documentación de soporte para requerimientos de información. 4. La copia del departamento de embarque de la factura y los conocimientos de embarque se envían al departamento de embarque. Después de enviarse el pedido, las copias del conocimiento de embarque se remiten al departamento de facturación. La copia del departamento de embarque de la factura se archiva en este departamento. Control interno: Enviar las facturas para la entrega del producto y guardar las copias. Objetivos: Verificar y documentar la entrega del producto al cliente. 5. En el departamento de facturación, una copia del conocimiento de embarque se adjunta a la copia del cliente de la factura y ambos son enviados al cliente. La otra copia del conocimiento de embarque, junto con la forma de la orden de venta, se engrapa a la copia de factura y se archiva por orden numérico de factura. Control interno:  Enviar al cliente los documentos como la copia de la factura y conocimiento de embarque.  Archivar una copia del conocimiento de embarque junto con la orden de venta y la factura. Objetivos:  Los documentos después de todo el proceso son enviados al cliente.  Todos los documentos en un proceso de venta son guardados para reclamos futuros. 6. El archivo de datos se actualiza para los embarques que son diferentes de los facturados anteriormente. Después de que impusieron estos cambios, el archivo se usa para preparar un diario de ventas en secuencia de facturas y para actualizar el archivo maestro de las cuentas por cobrar. Los totales diarios se Imprimen para coincidir con los totales de control preparados con anterioridad. Estos totales se comparan con la cifra de control total y los montos de control por una persona independiente.

Control Interno:  Se actualiza el archivo de datos para embarques diferentes a los facturados con anterioridad.  Se prepara un diario de ventas con secuencia de las facturas y actualizar el archivo maestro de las cuentas por cobrar.  Se imprimen los totales para compararlos con los totales de control y estos totales se comparan con la cifra de control total y los montos para que los revise una persona independiente.   

Objetivos: Mantener actualizados el archivo de datos. Que se encuentren todas las facturas del día en las cuentas por cobrar. Comparar que los montos estén correctos.

12-26 A continuación se encuentran 10 controles internos clave en el ciclo de nómina para Gilman Stores, Inc. Para cada control, a. Identifique si es un control de aplicación ejecutado por la computadora (AC) o es un control manual realizado por los empleados Gilman (MC). Controles clave 1. Para ingresar las horas trabajadas, el personal de contabilidad a cargo de la nómina ingresa el número de seguridad social del empleado. El sistema no permite ingresar horas trabajadas para empleados cuyo número no sea válido. (AC) 2. El sistema automáticamente calcula el pago de sueldo y medio una vez que las horas trabajadas exceden 80 horas en cada quincena. (AC) 3. El sistema acumula los totales en cada periodo de pago de todos los cheques procesados a su nombre y carga la suma total a la cuenta del libro de contabilidad general en gastos por nómina. (AC) 4. En cada periodo de pago, los funcionarios a cargo de la nómina cuentan el número de tarjetas de control de tiempo presentadas por cada jefe de departamento y comparan el total con el número de cheques impresos por el sistema para verificar que cada tarjeta tenga un cheque. (MC) 5. Para el personal de la fábrica, el sistema de nómina hace coincidir los números de identificación del empleado con los números en las listas de costos por trabajo como mano de obra directa de acuerdo con el sistema de contabilidad de costos. El propósito de esta conciliación es verificar que la cantidad pagada a cada empleado concuerde con la cantidad cargada a producción durante el periodo. (MC) 6. El sistema genera una lista por nombre de empleado de los cheques procesados. Los jefes de departamento revisan dichas listas para asegurar que cada empleado sea efectivamente el que trabajó durante el periodo. (MC). 7. La aplicación de nómina está programada a fin de que sólo el personal de recursos humanos pueda agregar los nombres de empleados a los archivos maestros de empleados. (AC) 8. A manera de prueba, el personal de contabilidad a cargo de nóminas obtiene un listado de las remuneraciones y retenciones como una muestra de los empleados de recursos humanos para recalcular el pago bruto y neto.(MC)

9. Los menús de entrada distinguen la nómina de los ejecutivos, la administrativa y de fábrica. (AC) 10. El sistema automáticamente rechaza el procesamiento de un pago de empleado si las horas ingresadas exceden 160 horas en una quincena. (AC)

PROBLEMA EN INTERNET 1. ¿Qué Significan las Siglas COBIT? Las siglas COBIT significan Objetivos de Control para Tecnología de Información y Tecnologías relacionadas (Control Objectives for Information Systems and related Technology). El modelo es el resultado de una investigación con expertos de varios países, desarrollado por ISACA (Information Systems Audit and Control Association). El COBIT es precisamente un modelo para auditar la gestión y control de los sistemas de información y tecnología, orientado a todos los sectores de una organización, es decir, administradores IT, usuarios y por supuesto, los auditores involucrados en el proceso. El COBIT es un modelo de evaluación y monitoreo que enfatiza en el control de negocios y la seguridad IT y que abarca controles específicos de IT desde una perspectiva de negocios. 2. COBIT se divide en seis partes (pistas: la primera parte es el “Resumen Ejecutivo” que da una explicación a la dirección acerca de la necesidad de controlar las actividades de IT y resalta un método que es útil sin importar la

configuración de IT, el tamaño, la Industria o la ubicación). Favor enunciar y describir las otras cinco partes. COMPONENTES COBIT 

Resumen Ejecutivo: Es un documento dirigido a la alta gerencia presentando los antecedentes y la estructura básica de COBIT Además, describe de manera general los procesos, los recursos y los criterios de información, los cuales conforman la "Columna Vertebral" de COBIT.



Marco de Referencia (Framework): Incluye la introducción contenida en el resumen ejecutivo y presenta las guías de navegación para que los lectores se orienten en la exploración del material de COBIT haciendo una presentación detallada de los 34 procesos contenidos en los cuatro dominios.



Objetivos de Control: Integran en su contenido lo expuesto tanto en el resumen ejecutivo como en el marco de referencia y presenta los objetivos de control detallados para cada uno de los 34 procesos.



Guías de Auditoria: Se hace una presentación del proceso de auditoria generalmente aceptado (relevamiento de información, evaluación de control, evaluación de cumplimiento y evidenciarían de los riesgos). Este documento incluye guías detalladas para auditar cada uno de los 34 procesos teniendo en cuenta los 302 objetivos de control detallados. Guías de Administración: Se enfoca de manera similar a los otros productos e integra los principios del Balance Business Scorecard. Para ayudar a determinar cuáles son los adecuados niveles de seguridad y control integra los conceptos de:  Modelo de madurez CMM (prácticas de Control)  Indicadores claves de Desempeño de los procesos de TI  Factores Críticos de Éxito a tener en cuenta para mantener bajo control los procesos de TI.





Guías Gerenciales: Incluidas en la Tercera Edición, las mismas proveen modelos de madurez, factores críticos de éxito, indicadores claves de objetivos e indicadores claves de desempeño para los 34 procesos de TI de COBIT. Estas guías proveen a la gerencia herramientas que permiten la auto evaluación y poder seleccionar opciones para implementación de controles y mejoras sobre la información y la tecnología relacionada. Las guías fueron desarrolladas por un panel de 40 expertos en seguridad y control, profesionales de administración de TI y de administración de desempeño, analistas de la industria y académicos de todo el mundo.



Herramientas de implementación: Muestra algunas de las lecciones aprendidas por aquellas organizaciones que han aplicado COBIT e incluye una guía de implementación con dos herramientas: Diagnóstico de conciencia Administrativa y Diagnóstico de Control en IT. Como con cualquier investigación amplia e innovadora, COBIT será actualizado cada tres años. Esto asegurara que el modelo y la estructura permanezcan vigentes. La validación también permite asegurar que los 41 materiales de referencia primarios no hayan cambiado, y, si hubieran cambiado, reflejas eso en el documento.