Cobit

1
Cobit
Presentado por Mauricio Casillas Ochoa 30 de
Sept., 1999
2
Control Interno
Políticas, procedimientos, prácticas y
estructuras organizacionales diseñadas para
proporcionar una certeza razonable de que los
objetivos de negocio serán alcanzados y que
eventos indeseables serán prevenidos o detectados
y corregidos. ISACA -Control Objectives for
Information and Related Technology (CobiT)
3
Control interno

• Es un conjunto de elementos de administración
• Incluye estructuras, procedimientos, políticas,
  gente, etc.
• Apoya el logro de metas y objetivos de negocio
• Evita la ocurrencia de eventos negativos

4
COBIT
Un estándar global
5
COBIT

• Sus antecedentes
• Su definición
• Su misión
• Sus usuarios
• Sus características generales
• Sus componentes
• Su estructura
• Sus alcances

6
COBIT sus antecedentes

• La comunidad de profesionistas relacionados con
  TI mostró preocupación por la falta de una guía
  estándar sobre control en TI, que sirviera para
  diferentes grupos de interés
• La ISACF, como órgano que agrupa a profesionistas
  de distintas áreas de actuación interesadas en el
  control de TI se dió a la tarea de desarrollar un
  cuerpo común de conocimientos sobre la materia

7
COBIT sus antecedentes

• Integra y concilia normas y reglamentaciones
  existentes
• ISO
• Códigos de conducta del consejo europeo
• COSO, IFAC, IIA, ISACA, AICPA, Etc.
• Incluye los anteriores Objetivos de Control
  emitidos por la ISACA
• Se publica en septiembre de 1996

8
COBIT su definición

• COBIT es en realidad un acrónimo formado por las
  siglas derivadas de Control Objectives for
  Information and Related Technology (objetivos de
  control para tecnología de información y
  tecnologías relacionadas).

9
COBIT su misión

• Investigar, desarrollar, publicar y promover un
  conjunto internacional, autorizado y actual de
  objetivos de control en tecnología de información
  generalmente aceptados para el uso cotidiano de
  gerentes de empresa y auditores.

10
COBIT su usuarios

• La alta gerencia puede fundamentar decisiones
  sobre inversiones en TI y el rendimiento de las
  mismas
• Los usuarios de TI pueden obtener un
  aseguramiento sobre la seguridad y el control de
  productos adquiridos en forma externa
• Los auditores pueden fundamentar sus opiniones
  sobre el control en TI y su impacto en la empresa
• Los responsables de TI pueden identificar los
  controles que requieren establecer en su área

11
COBIT sus características

• Orientación al negocio
• Alineación con estándares y regulaciones de
  jure y de facto
• Basado en una revisión crítica de tareas y
  actividades en tecnología de información.
• Alineamiento con estándares de control y
  auditoría COSO, IFAC, IIA, ISACA, AICPA

12
COBIT los productos

• Resumen ejecutivo
• Marco referencial (framework)
• Objetivos de control
• Guías de auditoría
• Herramientas de Implementación
• CD - ROM
• COBIT en Español

13
COBIT Resumen ejecutivo

• El resumen ejecutivo es un documento dirigido a
  la alta gerencia, que presenta los antecedentes y
  la estructura básica de COBIT. Hace una
  descripción general de los procesos, los recursos
  y los criterios de información que determinan la
  columna vertebral de COBIT.

14
COBIT Marco referencial

• El marco referencial incluye la introducción
  contenida en el resumen ejecutivo, presentando
  las guías de navegación que orientan al lector
  en la exploración del material de COBIT.
• El Marco Referencial hace una presentación más
  detallada de los 34 objetivos de control de alto
  nivel (34 procesos) para los cuatro dominios.

15
COBIT Objetivos de Control

• Los objetivos de control integran en su contenido
  el material del resumen ejecutivo y del marco
  referencial. Adicionalmente, presenta objetivos
  de control detallados para cada objetivo de alto
  nivel.
• Se incluyen de 3 a 30 objetivos detallados por
  cada objetivo de control de alto nivel,
  totalizando 302.

16
COBIT Guías de Auditoría

• Las guías de auditóría también incorporan el
  resumen ejecutivo y el marco referencial.
• Hacen una presentación del proceso generalmente
  aceptado de auditoría (obtener entendimiento,
  evaluar los controles, evaluar el cumplimiento y
  substanciar los riesgos). Este documento incluye
  guías detalladas para auditar cada uno de los 34
  objetivos de alto nivel.

17
COBIT Herramientas de Implemetación

• Proporciona las lecciones aprendidas por aquellas
  organizaciones que se hicieron a la tarea de
  aplicar COBIT en sus ambientes de trabajo.
• Incluye una guía de implementación con dos
  herramientas útiles Diagnóstico de Conciencia
  Administrativa y Diagnóstico de Control de
  Tecnología de Información, así como Casos de
  Estudio detallados.
• Además cuenta con las respuestas a las 25 más
  frecuentes preguntas sobre COBIT.

18
COBIT CD ROM

• El CD ROM de COBIT contiene toda la información
  relacionada con los Objetivos de Control y Guías
  de Auditoría, de tal forma que su búsqueda y
  acceso sea directo. Esto permite contar con las
  guías por objetivo de control, de una forma
  oportuna para la realización de las labores de
  Auditoría.

19
Principios de la Infraestructura
I N F O R M A C I O N
E VENTOS
Datos
Sistemas de Aplicación
TECNOLOGIA
mensaje entrada
servicio salida
INSTALACIONES
GENTE

• GENTE
• OBJETOS

20
Marco referencial
PROCESOS DE NEGOCIO
Criterios

• efectividad
• eficiencia
• confidencialidad
• integridad
• disponibilidad
• cumplimiento
• confiabilidad

INFORMACION
RECURSOS DE TI

• datos
• sistemas de aplicación
• tecnología
• instalaciones
• gente

Concuerdan ?
?
21
En resumen ..
PROCESOS DE NEGOCIO
Criterios

• efectividad
• eficiencia
• confidencialidad
• integridad
• disponibilidad
• cumplimiento
• confiabilidad

COBIT
INFORMACION
RECURSOS DE TI

• datos
• sistemas de aplicación
• tecnología
• instalaciones
• gente

PLANEACON Y ORGANIZACION
MONITOREO
ADQUISICION E IMPLEMENTACION
ENTREGA Y SOPORTE
22
Procesos de TI y sus dominios
Definición de un Plan Estratégico de Tecnología
de Información Definición de la Arquitectura de
Información Determinación de la dirección
tecnológica Definición de la Organización y de
las Relaciones de TI Manejo de la Inversión en
Tecnología de Información Comunicación de la
dirección y aspiraciones de la gerencia Administra
ción de Recursos Humanos Aseguramiento del
Cumplimiento de Requerimientos Externos Evaluación
de Riesgos Administración de proyectos Administra
ción de Calidad
Monitoreo de los procesos Evaluar lo adecuado del
Control Interno Obtención de aseguramiento
independiente Proveer una auditoría independiente
RECURSOS DE TI

• datos
• sistemas de aplicación
• tecnología
• instalaciones
• gente

PLANEACON Y ORGANIZACION
MONITOREO
ADQUISICION E IMPLEMENTACION
Definición de Niveles de Servicio Administración
de Servicios prestados por Terceros Administración
de Desempeño y Capacidad Aseguramiento de
Servicio Continuo Garantizar la Seguridad de
Sistemas Identificación y Asignación de
Costos Educación y Entrenamiento de
Usuarios Apoyo y Asistencia a los Clientes de
Tecnología de Información Administración de la
Configuración Administración de Problemas e
Incidentes Administración de Datos Administración
de Instalaciones Administración de Operaciones
ENTREGA Y SOPORTE
Identificación de Soluciones Adquisición y
Mantenimiento de Software de Aplicación Adquisició
n y Mantenimiento de Arquitectura de
Tecnología Desarrollo y Mantenimiento de
Procedimientos relacionados con Tecnología de
Información Instalación y Acreditación de
Sistemas Administración de Cambios
23
El Cubo de COBIT
24
Estructura de COBIT
25
Ayudas de Navegación
26
Cómo se relacionan
Recursos de TI
Procesos de trabajo
Requerimientos de negocio

• Datos
• Sistemas de Información
• Tecnología
• Instalaciones
• Recursos humanos

• Planeación y organización
• Adquisición e implementación
• Prestación de servicios y soporte
• Monitoreo

• Efectividad
• Eficiencia
• Confidencialidad
• Integridad
• Disponibilidad
• Cumplimiento
• Confiabilidad de la información

27
(No Transcript)
28
Recursos de TI

• Datos Incluye a los objetos de información en su
  sentido más amplio, considerando información
  interna y externa, estructurada y no
  estructurada, gráfica, sonidos, etc.
• Sistemas Este concepto se entiende como los
  sistemas de información (aplicaciones) que
  integran tanto procedimientos manuales como
  procedimientos programados (basados en
  tecnología)
• Tecnología Incluye hardware (equipo), sistemas
  operativos, sistemas de administración de bases
  de datos, de redes y de telecomunicaciones,
  multimedia, etc.
• Instalaciones Incluye los recursos necesarios
  para alojar y dar soporte a los sistemas de
  información.
• Recursos humanos Este concepto incluye
  habilidades, conciencia y productividad del
  personal para planear, adquirir, prestar
  servicios, proporcionar soporte y monitorear los
  sistemas y servicios de información.

29
Procesos de TI
30
Dominios

• Planeación y organización - Planning and
  organization -
• Adquisición e implementación - Acquisition and
  implementation -
• Prestación de servicios y soporte - Delivery and
  support -
• Monitoreo - Monitoring -

31
Procesos

• Planeación y organización
• Definir un Plan Estratégico de Tecnología de
  Información
• Definir la Arquitectura de Información
• Determinar la dirección tecnológica
• Definir la Organización y las Relaciones de TI
• Manejar la Inversión en Tecnología de Información
• Comunicar la dirección y aspiraciones de la
  gerencia
• Administrar Recursos Humanos
• Asegurar el Cumplimiento de Requerimientos
  Externos
• Evaluar Riesgos
• Administrar proyectos
• Administrar Calidad

32
Procesos

• Adquisición e implementación
• Identificar Soluciones
• Adquirir y Mantener Software de Aplicación
• Adquirir y Mantener la Arquitectura de Tecnología
• Desarrollar y Mantener Procedimientos
  relacionados con Tecnología de Información
• Instalar y Acreditar Sistemas
• Administrar Cambios

33
Procesos

• Prestación de servicio y soporte
• Definir Niveles de Servicio
• Administrar Servicios prestados por Terceros
• Administrar Desempeño y Capacidad
• Asegurar un Servicio Continuo
• Garantizar la Seguridad de Sistemas
• Identificar y Asignar Costos
• Educar y Entrenar a Usuarios
• Apoyar y Asesorar a los Clientes de Tecnología de
  Información
• Administrar la Configuración
• Administrar Problemas e Incidentes
• Administrar Datos
• Administrar Instalaciones
• Administrar Operaciones

34
Procesos

• Monitoreo
• Monitoreo de los procesos
• Evaluar qué tan adecuado es el Control Interno
• Obtener aseguramiento independiente
• Proporcionar Auditoría Independiente.

35
Objetivos de control

• 3. Prestación de servicio y soporte (dominio)
• DS.2 Administrar servicios de terceros
  (proceso)
• 2.3 Contratos con terceros (actividad o
  tarea).

Objetivo de control La gerencia debe definir
procedimientos específicos para asegurar que un
contrato formal es definido y acordado para cada
relación de servicio con un proveedor.
36
Requerimientos de negocio 1/2

• Efectividad Se refiere a que la información debe
  ser relevante y pertinente para los procesos de
  negocio así como ser proporcionada en forma
  oportuna, correcta, consistente y utilizable.
• Eficiencia Se refiere a proveer información
  mediante el empleo óptimo (la forma más
  productiva y económica) de recursos.
• Confidencialidad Se refiere a la protección de
  información sensitiva contra divulgación no
  autorizada.
• Integridad Se refiere a lo exacto y completo de
  la información así como a su validez de acuerdo
  con los valores y expectativas de la empresa

37
Requerimientos de negocio 2/2

• Disponibilidad Se refiere a la accesibilidad a
  la información cuando sea requerida por los
  procesos de negocio ahora y en el futuro. También
  se relaciona con la salvaguarda de los recursos
  necesarios y las capacidades asociadas a los
  mismos.
• Cumplimiento Se refiere al cumplimiento de
  leyes, regulaciones y compromisos contractuales
  con los cuales está comprometida la empresa ej.
  criterios de negocio impuestos en forma externa
• Confiabilidad de la información Se refiere a
  proveer la información apropiada para que la
  administración opere la empresa y cumpla con sus
  responsabilidades de reportes financieros y de
  cumplimiento normativo.

38
Cómo se relacionan los elementos
Recursos de TI
Procesos de trabajo
Requerimientos de negocio
Incluyen controles que permiten satisfacer los
objetivos de negocio. En caso de que dichos
controles no sean efectivos los requerimientos de
negocio se verán afectados
39
Guías de auditoría

• Una guía genérica identifica varias tareas a ser
  desarrolladas para evaluar cualquier objetivo de
  control dentro de un proceso.
• Esta guía genérica extrajo todas las tareas
  repetitivas en una guía a ser aplicada para todos
  los objetivos de control.
• Otras 34 son sugerencias específicas orientadas a
  cada proceso para proporcionar a la gerencia
  certeza de que los controles existen y trabajan
  adecuadamente.

40
El proceso genérico de auditoría
41
Un proceso de TI es por lo tanto auditado
mediante La obtención de un entendimiento de
los requerimientos de negocio, riesgos
relacionados y medidas relevantes de control.
Evaluación de lo apropiado de los controles
establecidos Evaluando el cumplimiento
mediante pruebas que determinen si los controles
trabajan tal como están prescritos,
consistentemente y en forma contínua.
Substanciando el riesgo del objetivo de
control no alcanzado mediante el empleo de
técnicas analíticas y/o consultando fuentes
alternativas.
42
Por qué adoptar COBIT ?

• Atención al Control Corporativo
• Reconocimiento de la Dirección de la necesidad de
  recursos
• Necesidad específica de Recursos de Control de
  Tecnología de Información
• Soluciones orientadas al Negocio
• Bases para la administración del Riesgo
• Mejora la comunicación entre la Dirección,
  usuarios y auditores.

43
Preguntas ?

Cobit
Elia Fernández Torres Grupo Cynthus Varsovia 57
piso 9 México, D.F. (5 25)514-4154 y 57