Cobit Un est - PowerPoint PPT Presentation

About This Presentation
Title:

Cobit Un est

Description:

Title: No Slide Title Author: Lucio A. Molina Last modified by: Pablo G Paez Created Date: 2/3/1996 7:57:26 AM Document presentation format: Carta (216 x 279 mm) – PowerPoint PPT presentation

Number of Views:201
Avg rating:3.0/5.0
Slides: 67
Provided by: LucioA1
Category:

less

Transcript and Presenter's Notes

Title: Cobit Un est


1
Cobit Un estándar Global en Tecnología de
Información (TI)
Lucio Augusto Molina Focazzio Certified
Information Systems Auditor, CISA
2
Agenda
  • Introducción
  • Problemática
  • Cómo reducir el problema
  • Cobit introducción
  • Objetivos de Control en los procesos de TI
  • Directrices Gerenciales
  • Cómo utilizar Cobit
  • Estrategias para la implementación de Cobit
  • Conclusiones

3
Agenda
  • Introducción
  • Problemática ?

4
Nuevo ambiente de negocios
  • Competencia global sin proteccionismo
  • Mayor poder de negociación de clientes y
    proveedores
  • Encarecimiento de recursos
  • Demanda de valor agregado
  • Exigencia de mayor velocidad en servicios
  • Adelgazamiento de márgenes de utilidad
  • Nuevas oportunidades de negocios internacionales

5
Que hay en la mente de los directores......
  • Utilidades
  • Competencia
  • Tipos de cambio
  • Productividad
  • Clientes
  • Proveedores
  • Costos
  • Protección del patrimonio
  • Impuestos
  • Crecimiento
  • Acreedores
  • Accionistas
  • Nuevos mercados

6
Respuesta de la administración
  • Aseguramiento de Calidad
  • Reingeniería (orientación a procesos)
  • Mejoramiento enfocado
  • Rediseño procesos
  • Innovación
  • Administración del cambio cultural
  • Medición del desempeño
  • Costeo basado en actividades (ABC)

7
Espectativas de la Gerencia
  • Right Sizing (Organizaciónes altamente
    competitivas)
  • Procesamiento Distribuido
  • Organizaciones aplanadas
  • Outsourcing

8
El rol de la tecnología de información
  • Como habilitador de las mejoras derivadas de
    reingeniería
  • Por el valor de la información para las empresas
  • Por el empleo competitivo de la tecnología de
    información
  • Como piedra angular en iniciativas de
  • Incremento de velocidad en operaciones
  • Incremento de la calidad del servicio
  • Reducción de los costos de operación

9
Responsabilidades del área de TI
  • Salvaguarda de los activos
  • La información es el activo más valioso

10
Una relación de dependencia
RIESGOS
A mayor utilización mayor dependencia en TI y
mayores riesgos..
Nivel de dependencia
Nivel de utilización de TI
11
Cual es la realidad
Expectativas de las Empresas
BRECHA
Nivel
Capacidad de TI (resultados)
Tiempo
12
Los proyectos de TI
  • Proyectos que no terminan a tiempo
  • Proyectos que exceden su presupuesto
  • Proyectos que nunca se concluyen
  • Proyectos que se concluyen y nunca son utilizados
  • Proyectos que no satisfacen las expectativas de
    los usuarios
  • Proyectos que son un prodigio tecnológico pero
    nada que ver con las necesidades de negocio

13
Origen del Problema
100
80
60
40
20
0
Planeación
Diseño
Mantenimiento
Análisis
Programación
14
La efectividad de TI
Entonces, me dijo que la pantalla la quería con
o sin la ventanita de Windows?
YO
Competencia
15
Insatisfacción con los Sistemas de Inf.
71 77 84
65 66 84
67 73 82
36 52 71
90
80
70
60
1998

50
1999
40
2000
30
20
10
0
A
B
C
D
A
B
C
D
A. Falta de acceso a información gerencial B.
Dificultad para modificarse C. Falta de respuesta
a nuevas necesidades de negocio D. Inconsistentes
con nuevas tecnologías
Fuente Encuesta anual 500 empresas.
16
Agenda
  • Introducción
  • Problemática
  • Cómo reducir el problema ?

17
Control interno
  • Es un conjunto de elementos de administración
  • Incluye estructuras, procedimientos, políticas,
    personas, etc.
  • Apoya el logro de metas y objetivos de negocio
  • Evita la ocurrencia de eventos negativos

18
Control Interno
Conjunto de procesos, funciones, actividades,
subsistemas y personas que se encuentran
agrupados o segregados conscientemente para
asegurar el logro efectivo de metas y
objetivos. Instituto
Norteamericano de Auditores Internos
19
Control Interno
Proceso establecido por el Consejo de Dirección,
la Administración y otro personal de una empresa,
designado para proporcionar certeza razonable
sobre el cumplimiento de objetivos en las
siguientes categorías Efectividad y eficiencia
de las operaciones Confiabilidad de información
financiera y Cumplimiento con leyes y
regulaciones aplicables Committee of Sponsoring
Organizations of the Treadway Comission (COSO)
20
Control Interno
Políticas, procedimientos, prácticas y
estructuras organizacionales diseñadas para
proporcionar una certeza razonable de que los
objetivos de negocio serán alcanzados y que
eventos indeseables serán prevenidos o detectados
y corregidos. ISACA Governance, Control
Objectives for Information and Related Technology
(CobiT)
ISACA Information Systems Audit and Control
Association
21
Objetivo de Control
Es una sentencia de los resultados esperados o
propósitos que se desea alcanzar mediante la
implementación de controles y procedimientos en
una actividad en particular. ISACA -Control
Objectives for Information and Related Technology
(CobiT)
22
Apoyo a los objetivos de negocio
Crecimiento Institucional
Calidad
Productos o Servicios
Rentabilidad
Productividad
Imagen
Clientes
Posicionamiento Competitivo
RH
Impacto en la comunidad
23
Agenda
  • Introducción
  • Problemática
  • Cómo reducir el problema
  • Cobit introducción ?

24
COBIT
Un estándar global
25
COBIT sus antecedentes
  • La comunidad de profesionales relacionados con TI
    mostró preocupación por la falta de una guía
    estándar sobre control en TI, que sirviera para
    diferentes grupos de interés
  • La ISACF, como órgano que agrupa a profesionales
    de distintas áreas de actuación interesadas en el
    control de TI se dió a la tarea de desarrollar un
    cuerpo comun de conocimientos sobre la materia
  • ISACF Information Systems Audit and Control
    Foundation

26
COBIT sus antecedentes
  • Integra y concilia normas y reglamentaciones
    existentes
  • Estándares técnicos de
  • ISO, EDIFACT
  • Códigos de conducta
  • Consejo Europeo, OECD
  • Criterios de calificación para sistemas y
    procesos
  • ITSEC, ISO 9000-3, TCSEC
  • Estándares profesionales
  • COSO, GAO, IFAC, IIA, ISACA, AICPA, etc

27
COBIT sus antecedentes
  • Integra y concilia normas y reglamentaciones
    existentes
  • Prácticas y requerimientos de la Industria
  • ESF-4
  • Requerimientos gubernamentales
  • IBAG, NIST, DTI
  • Requerimientos específicos de nuevas tendencias
  • E-banking, EDI, Comercio Electrónico

28
COBIT su definición
C Control OB OBjectives I
for Information T and Related Technology
29
COBIT su definición
  • COBIT es en realidad un acrónimo formado por las
    siglas derivadas de Control Objectives for
    Information and Related Technology (objetivos de
    control para la información y las tecnologías
    relacionadas).

30
COBIT su definición
  • Ahora COBIT es
  • Governance indica que el Cobit también incluye
    directrices gerenciales
  • Control and
  • Audit for
  • Information and
  • Related Technology

31
COBIT su misión
  • Investigar, desarrollar, publicar y promover un
    conjunto internacional, autorizado y actual de
    objetivos de control en tecnología de información
    generalmente aceptados para el uso cotidiano de
    gerentes de empresa y auditores.

32
COBIT sus usuarios
  • La alta gerencia puede fundamentar decisiones
    sobre inversiones en TI y el rendimiento de las
    mismas
  • Los usuarios de TI pueden obtener una garantía
    sobre la seguridad y el control de productos
    adquiridos en forma externa
  • Los auditores pueden fundamentar sus opiniones
    sobre el control en TI y su impacto en la empresa
  • Los responsables de TI pueden identificar los
    controles que requieren establecer en su área

33
COBIT sus características
  • Orientación al negocio
  • Alineación con estándares y regulaciones de
    jure y de facto
  • Basado en una revisión critica de tareas y
    actividades en tecnología de información.
  • Alineamiento con estándares de control y
    auditoría COSO, IFAC, IIA, ISACA, AICPA

34
COBIT Marco referencial
  • Orientado a los controles
  • Alineando objetivos de control específicos con
    estándares, regulaciones y prácticas existentes
    en la Organización
  • Utilizado por la Administración, los Auditores y
    los usuarios

35
COBIT los productos
  • Resumen ejecutivo ? Para la Alta Gerencia
  • Marco referencial (framework) ? Para los gerentes
    de Sistemas y Auditores de Sistemas
  • Objetivos de control ? Para la Gerencia media
  • Guías de auditoría ? Para los Auditores de
    Sistemas
  • Directrices Gereciales ? Para la alta Dirección

36
COBIT
Estructura
37
COBIT Resumen ejecutivo
  • El resumen ejecutivo es un documento dirigido a
    la alta gerencia, que presenta los antecedentes y
    la estructura básica de COBIT. Hace un
    descripción general de los procesos, los recursos
    y los criterios de información que determinan la
    columna vertebral de COBIT.

38
COBIT Marco referencial
  • El marco referencial incluye la introducción
    presentada en el resumen ejecutivo, presentando
    las guías de navegación que orientan al lector
    en la exploración del material de COBIT.
  • El Marco Referencial hace una presentación más
    detallada de los objetivos de control de alto
    nivel para los cuatro dominios.

39
COBIT Objetivos de Control
  • Los objetivos de control integran en su contenido
    el material del resumen ejecutivo y del marco
    referencial. Adicionalmente, presenta objetivos
    de control detallados para cada objetivo de alto
    nivel.

40
COBIT Guías de Auditoría
  • Las guías de auditóría también incorporan el
    resumen ejecutivo y el marco referencial.
  • Hacen una presentación del proceso generalmente
    aceptado de auditoría (obtener entendimiento,
    evaluar los controles, evaluar el cumplimiento y
    comprobar los riesgos).
  • Algunas son Guías genéricas que identifican
    varias tareas que se realizan en el análisis de
    cualquier proceso dentro de un objetivo de
    control
  • Otras son tareas orientadas a procesos
    específicos para proveer a la Gerencia la
    seguridad que los controles funcionan

41
COBIT Directrices Gerenciales
  • Dirigidas a la Alta gerencia
  • Genéricas y orientadas a la acción con el
    propósito de responder las siguientes preguntas
  • Qué tan lejos debemos ir y el costo estará
    justificado por el beneficio?
  • Cuáles son los indicadores de mejor
    rendimiento?
  • Cuáles son los factores Críticos de Éxito?
  • Cuales son los riesgos de no lograr nuestros
    objetivos?
  • Qué hacen otros?
  • Cómo nos podemos medir y comparar?

42
La Gerencia necesita COBIT
  • Tomar decisiones relacionadas con la inversión en
    TI
  • Balancear los riesgos y los controles de las
    inversiones en TI
  • Llevar a cabo un benchmark para establecer el
    adecuado ambiente de tecnología vipersonas y
    futuro

43
Los usuarios necesitan COBIT
  • Obtener garantía del retorno de inversión sobre
    la seguridad, los controles y los productos y
    servicios que ellos adquieren interna y
    externamente.

44
Los Auditores necesitan COBIT
  • Soportar ante la Gerencia la opinión sobre los
    controles internos.
  • Preguntarse y responder cuáles son los
    controles mínimos necesarios?

45
Principios de la Infraestructura
I N F O R M A C I O N
E VENTOS
Datos
Sistemas de Aplicación
TECNOLOGIA
mensaje entrada
servicio salida
INSTALACIONES
PERSONAS
  • PERSONAS
  • OBJETOS

46
Marco referencial
PROCESOS DE NEGOCIO
Criterios
  • efectividad
  • eficiencia
  • confidencialidad
  • integridad
  • disponibilidad
  • cumplimiento
  • confiabilidad

INFORMACION
RECURSOS DE TI
Concuerdan ?
  • datos
  • sistemas de aplicación
  • tecnología
  • instalaciones
  • personas

?
47
En resumen ..
PROCESOS DE NEGOCIO
Criterios
  • efectividad
  • eficiencia
  • confidencialidad
  • integridad
  • disponibilidad
  • cumplimiento
  • confiabilidad

COBIT
INFORMACION
RECURSOS DE TI
  • datos
  • sistemas de aplicación
  • tecnología
  • instalaciones
  • personas

PLANEACON Y ORGANIZACION
MONITOREO
ADQUISICION E IMPLEMENTACION
PRESTACION DE SERVICIOS Y SOPORTE
48
Procesos de TI y sus dominios
Definición de un Plan Estratégico de Tecnología
de Información Definición de la Arquitectura de
Información Determinación de la dirección
tecnológica Definición de la Organización y de
las Relaciones de TI Manejo de la Inversión en
Tecnología de Información Comunicación de la
dirección y aspiraciones de la gerencia Administra
ción de Recursos Humanos Aseguramiento del
Cumplimiento de Requerimientos Externos Evaluación
de Riesgos Administración de proyectos Administra
ción de Calidad
Monitoreo del procesos Obtención de aseguramiento
independiente
RECURSOS DE TI
  • datos
  • sistemas de aplicación
  • tecnología
  • instalaciones
  • personas

PLANEACON Y ORGANIZACION
MONITOREO
ADQUISICION E IMPLEMENTACION
Definición de Niveles de Servicio Administración
de Servicios prestados por Terceros Administración
de Desempeño y Capacidad Aseguramiento de
Servicio Continuo Garantizar la Seguridad de
Sistemas Identificación y Asignación de
Costos Educación y Entrenamiento de
Usuarios Apoyo y Asistencia a los Clientes de
Tecnología de Información Administración de la
Configuración Administración de Problemas e
Incidentes Administración de Datos Administración
de Instalaciones Administración de Operaciones
PRESTACION DE SERVICIOS Y SOPORTE
Identificación de Soluciones Adquisición y
Mantenimiento de Software de Aplicación Adquisició
n y Mantenimiento de Arquitectura de
Tecnología Desarrollo y Mantenimiento de
Procedimientos relacionados con Tecnología de
Información Instalación y Acreditación de
Sistemas Administración de Cambios
49
El Cubo de COBIT
Relaciones vs componentes
50
Estructura de COBIT
51
Ayudas de Navegación
52
Como se relacionan
Recursos de TI
Procesos de trabajo
Requerimientos de negocio
  • Datos
  • Sistemas de Información
  • Tecnología
  • Instalaciones
  • Recursos humanos
  • Planeación y organización
  • Adquisición e implementación
  • Prestación de servicios y soporte
  • Monitoreo
  • Efectividad
  • Eficiencia
  • Confidencialidad
  • Integridad
  • Disponibilidad
  • Cumplimiento
  • Confiabilidad de la información

53
(No Transcript)
54
Recursos de TI
  • Datos Incluye a los objetos de información en su
    sentido más amplio, considerando información
    interna y externa, estructurada y no
    estructurada, gráficas, sonidos, etc.
  • Sistemas Este concepto se entiende como los
    sistemas de información (aplicaciones) que
    integran tanto procedimientos manuales como
    procedimientos programados (basados en
    tecnología)
  • Tecnología Incluye hardware (equipos), sistemas
    operativos, sistemas de administración de bases
    de datos, de redes y de telecomunicaciones,
    multimedia, etc.
  • Instalaciones Incluye los recursos necesarios
    para alojar y dar soporte a los sistemas de
    información.
  • Recursos humanos Este concepto incluye
    habilidades, conciencia y productividad del
    personal para planear, adquirir, prestar
    servicios, proporcionar soporte y monitorear los
    sistemas y servicios de información.

55
Procesos de TI
56
Dominios
  • Planeación y Organización - Planning and
    organization -
  • Adquisición e Implementación - Acquisition and
    implementation -
  • Prestación de Servicios y Soporte - Delivery and
    support -
  • Monitoreo - Monitoring -

57
Procesos
  • Planeación y Organización
  • Definir un Plan Estratégico de Tecnología de
    Información
  • Definir la Arquitectura de Información
  • Determinar la Dirección tecnológica
  • Definir la Organización y las Relaciones con TI
  • Administrar la Inversión en Tecnología de
    Información
  • Comunicar la Dirección y aspiraciones de la
    gerencia
  • Administrar Recursos Humanos
  • Asegurar el Cumplimiento de Requerimientos
    Externos
  • Evaluar Riesgos
  • Administrar Proyectos
  • Administrar Calidad

58
Procesos
  • Adquisición e Implementación
  • Identificar Soluciones
  • Adquirir y Mantener Software de Aplicación
  • Adquirir y Mantener la Arquitectura de Tecnología
  • Desarrollar y Mantener Procedimientos
    relacionados con Tecnología de Información
  • Instalar y Acreditar Sistemas
  • Administrar Cambios

59
Procesos
  • Prestación de Servicios y Soporte
  • Definir Niveles de Servicio
  • Administrar Servicios prestados por Terceros
  • Administrar Desempeño y Capacidad
  • Asegurar un Servicio Continuo
  • Garantizar la Seguridad de Sistemas
  • Identificar y Asignar Costos
  • Educar y Entrenar a Usuarios
  • Apoyar y Asesorar a los Clientes de Tecnología de
    Información
  • Administrar la Configuración
  • Administrar Problemas e Incidentes
  • Administrar Datos
  • Administrar Instalaciones
  • Administrar Operaciones

60
Procesos
  • Monitoreo
  • Monitorear el proceso
  • Obtener aseguramiento independiente

61
Objetivos de control
  • 3. Prestación de servicio y soporte (dominio)
  • DS.2 Administrar servicios de terceros
    (proceso)
  • 2.3 Contratos con terceros (actividad o
    tarea).

Objetivo de control La gerencia debe definir
procedimientos específicos para asegurar que un
contrato formal sea definido y acordado para cada
relación de servicios con un proveedor.
62
Objetivos de Control
  • Encadena los procesos a los Objetivos de Control
  • Controles sobre los procesos de TI sobre el
    establecimiento de un Plan Estratégico de
    Sistemas
  • Que satisfacen los requerimientos del negocio
    establecidos para lograr un balance óptimo entre
    las oportunidades de TI y los requerimientos del
    negocio así como asegurar su cumplimiento
  • Teniendo en consideración la definición de los
    objetivos del negocio y las necesidades de TI

63
Requerimientos de negocio
  • Efectividad Se refiere a que la información debe
    ser relevante y pertinente para los procesos de
    negocio así como ser proporcionada en forma
    oportuna, correcta, consistente y utilizable.
  • Eficiencia Se refiere a proveer información
    mediante el empleo óptimo (la forma más
    productiva y económica) de recursos.
  • Confidencialidad Se refiere a la protección de
    información sensitiva contra divulgación no
    autorizada.
  • Integridad Se refiere a lo exacto y completo de
    la información así como a su validez de acuerdo a
    los valores y expectativas de la empresa

64
Requerimientos de negocio
  • Disponibilidad Se refiere a la accesibilidad a
    la información cuando sea requerida por los
    procesos de negocio ahora y en el futuro. También
    se relaciona con la salvaguarda de los recursos
    necesarios y las capacidades asociadas a los
    mimos.
  • Cumplimiento Se refiere al cumplimiento de
    leyes, regulaciones y compromisos contractuales a
    los cuales esta comprometida la empresa ej.
    criterios de negocio impuestos en forma externa
  • Confiabilidad de la información Se refiere a
    proveer la información apropiada para que la
    administración maneje la empresa y cumpla con sus
    responsabilidades en cuanto a reportes
    financieros y cumplimiento de normas.

65
Como se relacionan los elementos
Recursos de TI
Procesos de trabajo
Requerimientos de negocio
Incluyen controles que permiten satisfacer los
objetivos de negocio. En caso de que dichos
controles no sean efectivos los requerimientos de
negocio se verán afectados
66
Muchas Gracias
Write a Comment
User Comments (0)
About PowerShow.com