Universidad del Istmo de Panam

Asignatura: Auditoria informtica

Profesor: Vasco Bellido

Tema de investigacin: COBIT (objetivo de control para la

informacin y la tecnologa relacionada)

Estudiantes:

Tercer cuatrimestre 2016

Introduccion
COBIT Objetivos de control para la informacion y la tecnologia relacionada
Investigar, desarrollar, publicar y promover un conjunto de objetivos de
control para tecnologia de informacion, que sea internacional y este
actualizado para uso cotidiano de gerentes y usuarios.
Ser el modelo de control para el TI.

COBIT (objetivo de control para la informacin y tecnologas

relacionadas)
Este fue lanzado en el ao 1996.
COBIT consolida y armoniza estandares globales prominentes en un recurso
critico para la gerencia, los profecionales de control y los auditores.
Se aplica a los sitemas de la informacion de toda la empresa, incluyendo
computadoras personales, mini computadoras y ambientes distribuidos.

Su mision es investigar, desarrollar, publicar y promover un conjunto

internacional que sea de uso cotidiano para gerentes y auditores.

Historia
COBIT ha tenido varias ediciones, siendo publicada la primera en 1996, la
segunda edicion en 1998 la tercera edicion en el ao 2000(la edicion online
estuvo disponible en 2003) y la cuarta edicion en 2005, y la version 4.1 esta
disponible desde 2007.

Qu es COBIT?
COBIT es el marco aceptado internacionalmente como una buena practica
para el control de la informacion, TI y los riesgos que conllevan.
COBIT se utiliza para implementar el gobierno de TI y mejorar los controles
de TI, contiene objetivos de control, directivas de aseguramiento, medidas de
desempeo y resultados, factores criticos de xito y modelo de madurez para
ayudar a las organizaciones a satisfacer con xito los desfios de los negocios.
COBIT es un framework (infraestructura digital) de gobierno TI y un conjunto
de herramientas de soporte para el gobierno de TI que le permite a los
gerentes cubri la brecha entre los requerimientos de control, los aspectos
tecnicos y riesgos de negocio.
COBIT hace posible el desarrollo de una politica claras y las buenas practicas
para los controles de TI atraves de las organizaciones.
COBIT enfatiza en la conformidad a regulacionnes, ayuda a las
organizaciones a incrementar el valor alcanzado desde la TI, permite el
alineamiento y simplifica la implementacion de la estructura COBIT.

Regla de oro de COBIT

para proveer la informacion se requiere la

organizacin para lograr sus objetivos, los recursos de TI deben ser
administrados por un conjunto de procesos, agrupados de forma adecuada y
ejecutados acorde a practicas normalmente aceptadas.

Usuarios COBIT.
LA GERENCIA apoyo a decisiones de inversin en TI y control sobre su
desempeo, balanceo del riesgo y el control de la inversin en un ambiente a
menudo impredecible.
LOS USUARIOS FINALES obtienen una garanta sobre el control y seguridad de
los productos que adquieren interna y externamente
LOS AUDITORES soportar sus opiniones sobre los controles de los proyectos
de TI en la organizacin y determinar el control mnimo requerido.

Como satisface COBIT las necesidades:

Orientado al negocio
Procesos orientados
Basado en controles
Generador de mediciones.

Caracteristicas:
orientado al negocio
aliniado con estandares y regulaciones de facto
basado en un arevicion critica y analista de las tareas y actividades en TI
alineado con estandares de control y auditoria: COSO, IFAC, IIA, ISACA, AICPA.

COBIT se divide en 3 niveles:

Dominio: agrupacion natural de procesos, normalmente corresponden a un
dominio o a una responsabilidad organizacional.
Procesos:conjunto o series de actividades unidas con delimitacion o cortes de
control.
Actividades: acciones requeridas para lograr un resultado medible.

Existen 4 dominios:
Planificacion y organizacin
Adquisicion e implementacion
Prestacion y soporte
Monitoreo

Recursos de TI
Datos: todos los objetos de informacion, considera informacion interna y

externa, estructurada o no, graficas, sonidos.

Aplicaciones: entendido como los sistemas de informacion, que integran
procedimientos manuales y sistematizados
Tecnologia: incluye hardware y software basico, sistemas operativos,
sistemas de administracion de bases de datos, de redes, telecomunicaciones,
multimedia.
Instalaciones: incluye los recursos necesarios para alojar y dar soporte a los
sistemas de informacion.
Recurso humano: por la habilidad, conciencia y productividad del personal
para planear, adquirir, prestar servicios, dar soporte y monitorear los
sistemas de informacion.

Requerimientos de informacion
Efectividad: se refiere a la informacion que es relevante para el negocio y que
debe ser entregada de manera correcta, oportuna, consistente, usable.
Eficiencia: se refiere a la provicion de informacion a traves del optimo uso de
los recursos.
Confidencialidad: relativa a la proteccion de la informacion sensitiva de su
revelacion no autorizada.
Integridad: se refiere a la exactitud y completitud de la informacion, asi como
su validez, en concordancia con los valores y expectativas del negocio.

Cobit planificacin y organizacin

Es una herramienta que permite a los gerentes comunicarse y salvar la

brecha existente entre los requerimientos de control, aspectos y riesgos de
negocio.
Cubre las estrategias y tcticas y se refiere a la identificacin de la forma en
que TI puede contribuir al logro de los objetivos del negocio.
Entre ellos estn:
PO1- Definir un plan estratgico.
*En este podemos lograr un balance optimo entre las oportunidades de
tecnologa.
*Implementar planes a largo y corto plazo que satisfagan la misin, metas de
la organizacin.
*Notificar oportunamente con precisin el plan a largo y corto plazo.
*Estudio de factibilidad oportunos para obtener resultados efectivos.

PO2- Definir la arquitectura de la informacin.

*Satisfacer los requerimientos de negocio.
*Incorporarlas reglas de sintaxis de datos de la organizacin que debern ser
continuamente actualizado.
*la documentacin deber conservar consistencia.

PO3- Determinar la direccin tecnolgica

*aprovechar al mximo la tecnologa disponible.
*capacidad de adecuacin y evolucin de la infraestructura actual.

PO4- Definir los procesos, organizacin y relaciones de TI

*La direccin se encargar de vigilar las funciones de servicios de
informacin y sus actividades; Gerencia deber crear una estructura para
designar custodios de los datos.
*presentacin
comunicadas.

de

servicios

de

TI

Responsabilidades

definidas

*definir e identificar al personal clave de tecnologa de informacin y asignar

personal adecuado en el presente y el futuro.

PO5- Administrar la inversin en TI

*Satisfacer los requerimientos de negocio asegurando el financiamiento y
control de recursos financieros.
*Realizar presupuestos peridicos sobre inversiones y operaciones aprobados
por el negocio.
*Justificar costos y beneficios los cuales debern establecerse un control
gerencial.

PO6- Comunicar las aspiraciones y direccin de la gerencia.

*Asegurar el conocimiento y comprensin de los usuarios sobre las
aspiraciones de alto nivel.
*La gerencia deber tambin asegurar y monitorear la duracin de la
implementacin de sus polticas.
*Las polticas de seguridad y control interno debern especificar el propsito
y los objetivos de la estructura gerencial.

PO7- Administrar recursos humanos de TI

*Maximizar las contribuciones del personal a los procesos de TI
*La evaluacin objetiva y medible del desempeo.
*Personal deber estar calificad, tomando como base una educacin.
*Incrementar los niveles de habilidad y tcnica administrativa del personal.

PO8- Administrar la calidad.

*Satisfacer los requerimientos de los clientes.

*responsabilizarse del cumplimiento de la calidad.

*Promover la filosofa de mejorar continua y contestar a las preguntas bsicas
de qu, quin, y cmo.
*Tener una documentacin de prueba de sistemas y programas.

PO9- Evaluar y administrar los riesgos de TI.

* Medir los riesgos cualitativos y cuantitativos.
*asegurar el logro de los objetivos y responder a las amenazas.
*Definir el alcance de los lmites del riesgo.
PO10- Administrar Proyectos.
*Se debe establecer prioridades y entregar servicios oportunamente.
*Aprobar fases de proyecto por parte de los usuarios antes de pasar a la
siguiente fase.
*Asignacin de responsabilidades y autoridades.

Monitorear y evaluar

Todos los procesos de TI deben evaluarse de forma regular en el tiempo en

cuanto a su calidad y cumplimiento de los requerimientos de control. Este
dominio abarca la administracin del desempeo, el monitoreo del control
interno, el cumplimiento regulatorio y la aplicacin del gobierno.

ME1: Monitorear y Evaluar el Desempeo

de TI
Brinda transparencia y entendimiento de los costos, beneficios, estrategia,
polticas y niveles de servicio de TI de acuerdo con los requisitos de gobierno
enfocndose en monitorear y reportar las mtricas del proceso e identificar e
implantar acciones de mejoramiento del desempeo.
Establece un marco de trabajo de monitoreo general y un enfoque que
definan el alcance, la metodologa y el proceso a seguir para medir la
solucin y la entrega de servicios de TI, y Monitorear la contribucin de TI al
negocio. Integra el marco de trabajo con el sistema de administracin del
desempeo corporativo.
Comparar de forma peridica el desempeo contra las metas, realizar anlisis
de la causa raz e iniciar medidas correctivas para resolver las causas
subyacentes.

ME2: Monitorear y Evaluar el Control

Interno
Establece un programa de control interno efectivo para TI requiere un
proceso bien definido de monitoreo. Este proceso incluye el monitoreo y el
reporte de las excepciones de control, resultados de las auto-evaluaciones y
revisiones por parte de terceros. Un beneficio clave del monitoreo del control
interno es proporcionar seguridad respecto a las operaciones eficientes y
efectivas y el cumplimiento de las leyes y regulaciones aplicables.
Monitorea de forma continua, comparar y mejorar el ambiente de control de
TI y el marco de trabajo de control de TI para satisfacer los objetivos
organizacionales.
Identificar las excepciones de control, y analizar e identificar sus causas raz
subyacentes. Escalar las excepciones de control y reportar a los interesados
apropiadamente. Establecer acciones correctivas necesarias.

ME3: Garantizar el cumplimiento con

requerimientos externos
Cumple las leyes y regulaciones enfocndose en la identificacin de todas las
leyes y regulaciones aplicables y el nivel correspondiente de cumplimiento de
TI y la optimizacin de los procesos de TI para reducir el riesgo de no
cumplimiento.
Identifica, sobre una base continua, leyes locales e internacionales,
regulaciones, y otros requerimientos externos que se deben de cumplir para
incorporar en las polticas, estndares, procedimientos y metodologas de TI
de la organizacin.
Revisa y ajusta las polticas, estndares, procedimientos y metodologas de TI
para garantizar que los requisitos legales, regulatorios y contractuales son
direccionados y comunicados.
Integra los reportes de TI sobre requerimientos legales, regulatorios y
contractuales con las salidas similares provenientes de otras funciones del
negocio.

ME4: Proporcionar Gobierno de TI

El establecimiento de un marco de trabajo de gobierno efectivo, incluye la
definicin de estructuras, procesos, liderazgo, roles y responsabilidades
organizacionales para garantizar as que las inversiones empresariales en TI
estn alineadas y de acuerdo con las estrategias y objetivos empresariales.
Define, establece y alinea el marco de gobierno de TI con la visin completa
del entorno de control y Gobierno Corporativo. Basar el marco de trabajo en
un adecuado proceso de TI y modelo de control y proporcionar la rendicin de
cuentas y prcticas inequvocas para evitar una rotura en el control interno y
la revisin. Confirmar que el marco de gobierno de TI asegura el
cumplimiento con las leyes y regulaciones y que est alineado, y confirma la
entrega de, la estrategia y objetivos empresariales. Informa del estado y
cuestiones de gobierno de TI.
Revisa inversin, uso y asignacin de los activos de TI por medio de
evaluaciones peridicas de las iniciativas y operaciones de TI para asegurar
recursos y alineamiento apropiados con los objetivos estratgicos y los
imperativos de negocio actuales y futuros.

Procesos de COBIT

Control: polticas, procedimientos, prcticas y estructuras organizacionales

diseadas para brindar una seguridad razonable que los objetivos de negocio
se alcanzarn, y los eventos no deseados sern prevenidos o detectados y
corregidos.
Objetivos de Control: requerimientos mnimos para un control efectivo de
cada proceso de IT.
Gerencia usa los procesos para organizar y administrar las actividades de TI
en curso.
Cada proceso de TI de COBIT tiene un objetivo de control de alto nivel y un
nmero de objetivos de control detallados
Cada proceso COBIT tiene requerimientos de control genricos que se
identifican con PCn, que significa nmero de control de proceso:
*PC1 Dueo del proceso: Asignar un dueo para cada proceso COBIT de tal
manera que la responsabilidad sea clara.
*PC2 Reiterativo: Definir cada proceso COBIT de tal forma que sea repetitivo.
*PC3 Metas y objetivos: Establecer metas y objetivos claros para cada
proceso COBIT para una ejecucin efectiva.
*PC4 Roles y responsabilidades: Definir roles, actividades y responsabilidades
claros en cada proceso COBIT para una ejecucin eficiente.
*PC5 Desempeo del proceso: Medir el desempeo de cada proceso COBIT en
comparacin con sus metas.
*PC6 Polticas, planes y procedimientos: Documentar, revisar, actualizar,
formalizar y comunicar a todas las partes involucradas cualquier poltica, plan
procedimiento que impulse un proceso COBIT.

Conclusin

Es un marco de referencia para profesionalizar el rea informtica de un

compaa, que cuenta con capacidades propias o de terceros para la
implementacin de proyectos tpicamente soportados con ERP de clase
mundial, que tiene un rea de operacin con varias decenas de servidores
que dan servicios a ms de una locacin, y que cuenta con reas de
mantenimiento y soporte. Y, ms importante los Sistemas Informticos son
reconocidos por el directorio como un componente clave en el xito comercial
de la compaa y, por lo mismos que implican riesgos para el negocio.