Académique Documents
Professionnel Documents
Culture Documents
COBIT
RESUMEN EJECUTIVO
3a Edicin
Emitido por el Comit Directivo de COBIT y El IT Governance Institute MR
La Misin de COBIT:
Investigar, desarrollar, publicar y promover un conjunto de objetivos de control en tecnologa de informacin con autoridad, actualizados, de carcter internacional y aceptados generalmente para el uso cotidiano de gerentes de empresas y auditores.
IT GOVERNANCE INSTITUTE
ARGENTINA ARUBA AUSTRALIA AUSTRIA BAHAMAS BAHRAIN BANGLEDESH BARBADOS BLGICA BERMUDA BOLIVIA BOSTSWANA BRASIL BRUENI CANAD CHILE CHINA COLOMBIA COSTA RICA CROATA CURAZAO CYPRUS REPBLICA CHECA DINAMARCA REPBLICA DOMINICANA
ECUADOR EGIPTO ESTONIA ISLAS FAEROE FINLANDIA FRANCIA ALEMANIA GHANA GRECIA GUAM GUATEMALA HONDURAS HONG KONG HUNGRA ISLANDIA INDIA INDONESIA IRLANDA ISRAEL ITALIA IVORY COAST JAMAICA JAPN JORDN KENYA COREA KUWAIT LATVIA LEBANON
Para ms Informacin
Para recibir informacin adicional, puede llamar al (+1.847.253.1545), enviar un email a (research@isaca.org) o visitar los siguentes sitios web:
LITUANIA LUXEMBURGO MALASIA MALTA MALAWI MXICO PASES BAJOS NUEVA GUINEA NUEVA ZELANDA NIGERIA NORUEGA OMN PAKISTN PANAM PER FILIPINAS POLONIA PORTUGAL QATAR RUSIA SAIPAN ARABIA SAUDITA ESCOCIA SEYCHELLES SINGAPUR REP. ESLOVACA ESLOVENIA SUDFRICA ESPAA SRI LANKA ST. KITTS ST. LUCIA SUECIA SUIZA SIRIA TAIWAN TANZANIA TASMANIA TAILANDIA TRINIDAD & TOBAGO
sus actividades estndar establecen la base de calidad mediante la cual otras actividades de control y auditora de TI se miden. www.itgovernance.org www.isaca.org
IT GOVERNANCE INSTITUTE
RESUMEN EJECUTIVO
Lmite de responsabilidad La Information Systems Audit and Control AssociationISACA- y el IT Governance Institute ITGI- (los propietarios) han creado esta publicacin titulada COBIT: Objetivos de Control para la Informacin y las Tecnologas Relacionadas (el trabajo) principalmente como un recurso educativo para los profesionales dedicados a las actividades de control. Los Propietarios declaran que no responden o garantizan que el uso que se le de al Trabajo asegurar un resultado exitoso. No deber considerarse que el Trabajo incluye toda la informacin, los procedimientos o las pruebas apropiadas o excluye otra informacin, procedimientos y pruebas que estn razonablemente dirigidas a la obtencin de los mismos resultados. Para determinar la conveniencia de cualquier informacin, procedimiento o prueba especfica, los expertos en control debern aplicar su propio juicio profesional a las circunstancias especficas presentadas por los sistemas o por el ambiente de tecnologa de informacin en particular. Esta edicin de COBIT fue traducida al idioma espaol por Gustavo Adolfo Sols Montes, Lucio Augusto Molina Focazzio, Johann Tello Meryk y Roco Torres Surez, (los traductores). Los traductores asumen la responsabilidad exclusiva por la actualizacin y por la fidelidad de la traduccin. La Information Systems Audit and Control Association (ISACA) y el IT Governance Institute (ITGI) declaran que no responden por la actualizacin, totalidad, o por la calidad de la traduccin. En ningn evento ISACA/ITGI ser responsable ante un individuo u organizacin por los daos causados en relacin con la edicin del lenguaje, cualquier actualizacin, modificacin, localizacin o traduccin. Acuerdo de Licencia de uso (disclosure) Copyright 1996, 1998, 2000, de la Information Systems Audit and Control Foundation (ISACF). La reproduccin para fines comerciales no est permitida sin el previo consentimiento por escrito de la ISACF. Se otorga permiso para reproducir el Resumen Ejecutivo, el Marco Referencial, los Objetivos de Control, las Directrices Gerenciales y el Conjunto de Herramientas de Implementacin para uso interno no comercial, incluyendo almacenamiento en medios de recuperacin de datos y transmisin en cualquier medio, incluyendo electrnico, mecnico, grabado u otro medio. Todas las copias del Resumen Ejecutivo, el Marco Referencial, los Objetivos de Control, las Directrices Gerenciales y el Conjunto de Herramientas de Implementacin deben incluir el siguiente reconocimiento y leyenda de derechos de autor: Copyright 1996, 1998, 2000 Information Systems Audit and Control Foundation. Reimpreso con la autorizacin de la Information Systems Audit and Control Foundation, y el IT Governance Institute. Las Guas/Directrices de Auditora no pueden ser usadas, copiadas, reproducidas, almacenadas, modificadas en un sistema de recuperacin de datos o transmitido en ninguna forma ni por ningn medio (electrnico, mecnico, fotocopiado, grabado u otro medio) sin la previa autorizacin por escrito de la ISACF. Sin embargo, las Directrices de Auditora pueden ser usadas con fines no comerciales internos nicamente. Excepto por lo indicado, no se otorga ningn otro derecho o permiso relacionado con esta obra. Todos los derechos de esta obra son reservados. Information Systems Audit and Control Foundation IT Governance Institute 3701 Algonquin Road, Suite 1010 Rolling Meadows, Illinois 60008 USA. Telfono: 1+847.253.1525 Fax: 1+847.253.1443 E-mail: research@isaca.org Web sites: www.isaca.org www.itgi.org ISBN 1-893209-97-0 (Resumen Ejecutivo, Espaol) ISBN 1-933284-02-1 (Paquete completo de los 6 libros y CD) Impreso en los Estados Unidos de Amrica
IT GOVERNANCE INSTITUTE
RESUMEN EJECUTIVO
RESUMEN EJECUTIVO
Un elemento crtico para el xito y la supervivencia de las organizaciones, es la administracin efectiva de la informacin y de la Tecnologa de Informacin (TI) Relacionada. En esta sociedad global (donde la informacin viaja a travs del ciberespacio sin las restricciones de tiempo, distancia y velocidad) esta criticidad emerge de: La creciente dependencia en informacin y en los sistemas que proporcionan dicha informacin La creciente vulnerabilidad y un amplio espectro de amenazas, tales como las ciber amenazas y la guerra de informacin1 La escala y el costo de las inversiones actuales y futuras en informacin y en tecnologa de informacin; y El potencial que tienen las tecnologas para cambiar radicalmente las organizaciones y las prcticas de negocio, crear nuevas oportunidades y reducir costos Para muchas organizaciones, la informacin y la tecnologa que la soporta, representan los activos mas valiosos de la empresa. Es ms, en nuestro competitivo y rpidamente cambiante ambiente actual, la Gerencia ha incrementado sus expectativas relacionadas con la entrega de servicios de TI. Por lo tanto, la Administracin requiere niveles de servicio que presenten incrementos en calidad, en funcionalidad y en facilidad de uso, as como un mejoramiento continuo y una disminucin de los tiempos de entrega; al tiempo que demanda que esto se realice a un costo ms bajo. Muchas organizaciones reconocen los beneficios potenciales que la tecnologa puede proporcionar. Las organizaciones exitosas, sin embargo, tambin comprenden y administran los riesgos asociados con la implementacin de nuevas tecnologas. Hay numerosos cambios en TI y en su ambiente de operacin que enfatiza la necesidad de un mejor manejo relacionado con los riesgos de TI. La dependencia en la informacin electrnica y en los sistemas de TI son esenciales para soportar los procesos crticos del negocio. Adicionalmente, el ambiente regulatorio demanda control estricto sobre la informacin. Esto a su vez conduce a un incremento de los desastres en los sistemas de informacin y al incremento del fraude electrnico. La Administracin de los riesgos 4 relacionados con TI est siendo entendido como un aspecto clave en el gobierno o direccin empresarial. Dentro del Gobierno Empresarial, el Gobierno / Gobernabilidad de TI2 se est volviendo mas y mas importante y est definido como una estructura de relaciones y procesos para dirigir y controlar a la empresa con el fin que sta pueda cumplir sus metas dando valor agregado mientras balancea sus riesgos versus el retorno sobre TI y sus procesos. El Gobierno de TI es parte integral del xito de la Gerencia de la Empresa al asegurar mejoras medibles, eficientes y efectivas de los procesos relacionados de la empresa. El Gobierno de TI provee las estructuras que unen los procesos de TI, los recursos de TI y la informacin con las estrategias y los objetivos de la empresa. Adems, el Gobierno de TI integra e institucionaliza buenas (o mejores) prcticas de planeacin y organizacin, adquisicin e implementacin, entrega de servicios y soporte y monitorea el desempeo de TI para asegurar que la informacin de la empresa y las tecnologas relacionadas soportan sus objetivos del negocio. El Gobierno de TI conduce a la empresa a tomar total ventaja de su informacin logrando con esto maximizar sus beneficios, capitalizar sus oportunidades y obtener ventaja competitiva GOBIERNO DE TI Una estructura de relaciones y procesos para dirigir y controlar la empresa con el objeto de alcanzar los objetivos de la empresa y aadir valor mientras se balancean los riesgos versus el retorno sobre TI y sus procesos. Las organizaciones deben cumplir con requerimientos de calidad, fiduciarios y de seguridad, tanto para su informacin, como para sus activos. La Administracin deber adems optimizar el empleo de sus recursos disponibles, los cuales incluyen: personal, instalaciones, tecnologa, sistemas de aplicacin y datos. Para cumplir
1 2
Guerra de informacin (information warfare) Gobierno de TI (IT Governance) Governance es un trmino que representa el sistema de control o administracin que establece la alta gerencia para asegurar el logro de los objetivos de una Organizacin.
IT GOVERNANCE INSTITUTE
RESUMEN EJECUTIVO
con esta responsabilidad, as como para alcanzar sus objetivos, la Administracin debe entender el estado de sus propios sistemas de TI y decidir el nivel de seguridad y control que deben proveer estos sistemas. Los Objetivos de Control para la Informacin y las Tecnologas Relacionadas (COBIT), ahora en esta tercera edicin, ayuda a satisfacer las mltiples necesidades de la Administracin estableciendo un puente entre los riesgos del negocio, los controles necesarios y los aspectos tcnicos. Provee buenas prcticas a travs de un dominio y el marco referencial de los procesos y presenta actividades en una estructura manejable y lgica. Las Buenas prcticas de COBIT rene el consenso de expertos - quienes ayudarn a optimizar la inversin de la informacin y proporcionarn un mecanismo de medicin que permitir juzgar cuando las actividades van por el camino equivocado. La Administracin debe asegurar que los sistemas de control interno o el marco referencial estn funcionando y soportan los procesos del negocio y debe tener claridad sobre la forma como cada actividad individual de control satisface los requerimientos de informacin e impacta los recursos de TI. El impacto sobre los recursos de TI son resaltados en el Marco de Referencia de COBIT junto con los requerimientos del negocio que deben ser alcanzados: eficiencia, efectividad, confidencialidad, integridad, disponibilidad, cumplimiento y confiabilidad de la informacin. El control, que incluye polticas, estructuras, prcticas y procedimientos organizacionales, es responsabilidad de la administracin. La administracin, mediante este gobierno corporativo, debe asegurar que todos los individuos involucrados en la administracin, uso, diseo, desarrollo, mantenimiento u operacin de sistemas de informacin acten con la debida diligencia. Un Objetivo de Control en TI es una definicin del resultado o propsito que se desea alcanzar implementando procedimientos de control especficos dentro de una actividad de TI. La orientacin al negocio es el tema principal de COBIT. Est diseado no solo para ser utilizado por usuarios y auditores, sino que, lo ms importante, esta diseado para ser utilizado por los propietarios de los procesos de negocio como una gua clara y entendible. A medida que ascendemos, las prcticas de negocio requieren de una mayor delegacin y empoderamiento3 de los dueos de los procesos para que estos tengan total responsabilidad de todos los aspectos relacionados con dichos procesos de negocio. En particular, esto incluye el proporcionar controles adecuados. El Marco de Referencia de COBIT proporciona, al propietario de procesos de negocio, herramientas que facilitan el cumplimiento de esta responsabilidad. El Marco de Referencia comienza con una premisa simple y prctica: Con el fin de proporcionar la informacin que la empresa necesita para alcanzar sus objetivos, los recursos de TI deben ser administrados por un conjunto de procesos de TI agrupados en forma natural. El Marco de Referencia contina con un conjunto de 34 Objetivos de Control de alto nivel, uno para cada uno de los Procesos de TI, agrupados en cuatro dominios: Planeacin y Organizacin, Adquisicin e Implementacin, Entrega de servicios y Soporte y Monitoreo. Esta estructura cubre todos los aspectos de informacin y de tecnologa que la soporta. Administrando adecuadamente estos 34 Objetivos de Control de alto nivel, el propietario de procesos de negocio podr asegurar que se proporciona un sistema de control adecuado para el ambiente de tecnologa de informacin. El Marco de Referencia de COBIT provee adems una gua o lista de verificacin para el Gobierno de TI. El Gobierno de TI proporciona las estructuras que encadenan los procesos de TI, los recursos de TI y la informacin con los objetivos y las estrategias de la empresa. El Gobierno de TI integra de una forma ptima el desempeo de la Planeacin y Organizacin, la Adquisicin e Implementacin, la Entrega de Servicios y Soporte y el Monitoreo. El Gobierno de TI facilita que la empresa obtenga total ventaja de su informacin y as mismo maximiza sus beneficios, capitalizando sus oportunidades y obteniendo ventaja competitiva Adicionalmente, correspondiendo a cada uno de los 34 objetivos de control de alto nivel, existe una Gua o directriz de Auditora o de aseguramiento que permite la revisin de los procesos de TI contra los 318 objetivos detallados de control recomendados por COBIT para proporcionar a la Gerencia la certeza de su cumplimiento y/o sugerencias para su mejoramiento.
3
Empoderamiento (empowerment)
IT GOVERNANCE INSTITUTE
RESUMEN EJECUTIVO
Las Guas o Directrices Gerenciales de COBIT , desarrolladas recientemente, ayudan a la Gerencia a cumplir de una forma mas efectiva con las necesidades y requerimientos del Gobierno de TI. Las Directrices son acciones genricas orientadas a proveer a la Administracin la direccin para mantener bajo control la informacin de la empresa y sus procesos relacionados, para monitorear el logro de las metas organizacionales, para monitorear el desempeo de cada proceso de TI y para llevar a cabo un benchmarking de los logros organizacionales. Especficamente COBIT provee Modelos de Madurez para el control sobre los procesos de TI de tal forma que la Administracin puede ubicarse en el punto donde la organizacin est hoy, donde est en relacin con los mejores de su clase en su industria y con los estndares internacionales y as mismo determinar a donde quiere llegar; Factores Crticos de xito (Critical Success Factors), que definen o determina cuales son las mas importantes directrices que deben ser consideradas por la Administracin para lograr control sobre y dentro de los procesos de TI. Indicadores Claves del logro / Objetivos o de Resultados (Key Goal Indicators) los cuales definen los mecanismos de medicin que indicarn a la Gerenciadespus del hecho si un proceso de TI ha satisfecho los requerimientos del negocio; y los Indicadores Clave de desempeo (Key Performance Indicators) los cuales son indicadores primarios que definen la medida para conocer qu tan bien se est ejecutando el proceso de TI frente o comparado contra el objetivo que se busca. Las Directrices Gerenciales de COBIT son genricas y son acciones orientadas al propsito de responder los siguientes tipos de preguntas gerenciales: Qu tan lejos debemos ir y se justifica el costo respecto al beneficio obtenido? Cules son los indicadores de buen desempeo? Cules son los factores crticos de xito? Cules son los riesgos de no lograr nuestros objetivos? Qu hacen otros? Cmo nos podemos medir y comparar? COBIT contiene adicionalmente un Conjunto de Herramientas de Implementacin que proporciona lecciones aprendidas por empresas que rpida y exitosamente aplicaron COBIT en sus ambientes de trabajo. Incluye dos herramientas particularmente tiles - Diagnstico de Sensibilizacin Gerencial (Management Awareness Diagnostic) y Diagnstico de Control en TI (IT Control Diagnostic) - para proporcionar asistencia en el anlisis del ambiente de control de TI en una organizacin. En los prximos aos las Directivas de las Organizaciones necesitarn demostrar que estn logrando incrementar sus niveles de seguridad y control. COBIT es una herramienta que ayuda a los Directivos a colocar un puente entre los requerimientos de control, los aspectos tcnicos y los riesgos del negocio y adicionalmente informa a los accionistas o dueos de la empresa el nivel de control alcanzado. COBIT habilita el desarrollo de una poltica clara y de buenas prcticas de control de TI a travs de las organizaciones, a nivel mundial. Por lo tanto, COBIT est diseado para ser la herramienta de gobierno de TI que ayude al entendimiento y a la administracin de los riesgos as como de los beneficios asociados con la informacin y sus tecnologas relacionadas.
IT GOVERNANCE INSTITUTE
RESUMEN EJECUTIVO
IT GOVERNANCE INSTITUTE
RESUMEN EJECUTIVO
IT GOVERNANCE INSTITUTE
RESUMEN EJECUTIVO
APARICION DEL GOBIERNO DE LA EMPRESA Y DEL GOBIERNO DE TI Para lograr el xito en esta economa de informacin, el Gobierno de la empresa y el Gobierno de TI no pueden ser consideradas separadamente y en distintas disciplinas. El gobierno efectivo de la empresa enfoca el conocimiento y la experiencia en forma individual y grupal, donde puede ser mas productivo, monitoreado y medido el desempeo as como provisto el aseguramiento para aspectos crticos. TI, por mucho tiempo considerada aislada dentro del logro de los objetivos de la empresa debe ahora ser considerada como una parte integral de la estrategia. El Gobierno de TI provee la estructura que une los procesos de TI, los recursos de TI y las estrategias y objetivos de la empresa. El Gobierno de TI integra e institucionaliza de una manera ptima la planeacin y organizacin, la adquisicin e implementacin, la entrega de servicios y soporte y el monitoreo del desempeo de TI. El Gobierno de TI es integral para el xito del Gobierno de la Empresa asegurando una eficiente y efectiva medicin para mejorar los procesos de la empresa. El Gobierno de TI le permite a la empresa tomar ventaja total de su informacin, al maximizar sus beneficios, capitalizar sus oportunidades y ganar ventaja competitiva. Observando en el contexto a la empresa y los procesos del Gobierno de TI con mayor detalle, el gobierno de la empresa, el sistema por el cual las entidades son dirigidas y controladas direcciona y analiza el Gobierno de TI. Al mismo tiempo, TI debera proveer insumos crticos y constituirse en un componente importante de los planes estratgicos. De hecho TI puede influenciar las oportunidades estratgicas de la empresa. Las empresas son gobernadas por buenas (o mejores) prcticas generalmente aceptadas para asegurar que la empresa cumpla sus metas asegurando que lo anterior est garantizado por ciertos controles. Desde estos
Las actividades de la empresa requieren informacin de las actividades de TI con el fin de satisfacer los objetivos del negocio. Organizaciones exitosas aseguran la interdependencia entre su plan estratgico y sus actividades de TI. TI debe estar alineado y debe permitir a la empresa tomar ventaja total de su informacin para maximizar sus beneficios, capitalizar oportunidades y ganar ventaja competitiva
IT GOVERNANCE INSTITUTE
RESUMEN EJECUTIVO
objetivos fluye la direccin de la organizacin, la cual dicta ciertas actividades a la empresa usando sus propios recursos. Los resultados de las actividades de la empresa son medidos y reportados proporcionando insumos para el mantenimiento y revisin constante de los controles, comenzando el ciclo de nuevo. Tambin TI es gobernado por buenas (o mejores) prcticas para asegurar que la informacin de la empresa y sus tecnologas relacionadas apoyan sus objetivos del negocio, estos recursos son utilizados responsablemente y sus riesgos son manejados apropiadamente. Estas prcticas conforman una base para la direccin de las actividades de TI las cuales pueden ser enmarcadas en la Planeacin y Organizacin, Adquisicin e Implementacin, Entrega de Servicios y Soporte y Monitoreo para los propsitos duales como son el manejo de riesgo (para obtener seguridad, confiabilidad y cumplimiento) y la obtencin de beneficios (incrementando la efectividad y eficiencia). Los reportes son enfocados sobre los resultados de las actividades de TI, los cuales son medidos contra diferentes prcticas y controles y el ciclo comienza otra vez.
Para asegurar que la Gerencia alcance los objetivos de negocios, sta debe dirigir y administrar las actividades de TI para alcanzar un balance efectivo entre el manejo de riesgos y los beneficios encontrados. Para cumplir esto, la Gerencia necesita identificar las actividades mas importantes que deben ser desarrolladas, midiendo el progreso hacia el cumplimiento de las metas y determinando que tan bien se estn desarrollando los procesos de TI. Aun mas, necesita tener la habilidad de avaluar el nivel de madurez de la organizacin contra las mejores practicas industriales y los modelos internacionales. Para soportar estas necesidades la Gerencia necesita las Directrices Gerenciales de COBIT en las cuales se han identificado Factores Crticos de Exito especficos, Indicadores Claves por Objetivo e Indicadores Clave de Desempeo y un Modelo de Madurez asociado al Gobierno de TI, como se puede apreciar en el Apdice I.
10
IT GOVERNANCE INSTITUTE
RESUMEN EJECUTIVO
RESPUESTA A LAS NECESIDADES En vista de estos continuos cambios, el desarrollo de este Marco Referencial de objetivos de control para TI, conjuntamente con una investigacin continua aplicada a controles de TI basada en este marco referencial, constituyen el fundamento para el progreso efectivo en el campo de los controles de sistemas de informacin. Por otro lado, hemos sido testigos del desarrollo y publicacin de modelos de control generales de negocios como COSO [Committee of Sponsoring Organisations of the Treadway Commisssion Internal Control-Integrated Framework, 1992] en los EUA, Cadbury en el Reino Unido, CoCo en Canad y King en Sudfrica. Por otro lado, existe un nmero importante de modelos de control ms enfocados al nivel de tecnologa de informacin. Algunos buenos ejemplos de esta ltima categora son el Security Code of Conduct del DTI (Departamento de Industria y Comercio, Reino Unido) y el Security Handbook de NIST (National Institute of Standards and Technology, EUA). Sin embargo, estos modelos de control con orientacin especfica no proporcionan un modelo de control completo y utilizable sobre tecnologa de informacin como soporte para los procesos del negocio. El propsito de COBIT es cubrir este vaco proporcionando una base que est estrechamente ligada a los objetivos de negocio, al mismo tiempo que se enfoca a la tecnologa de informacin. (El documento que ms se acerca al COBIT es una publicacin reciente de AICPA/CICA Systrust TM Principios y Criterios para la Confiabilidad de los Sistemas. SysTrust es una autoridad que realiza publicaciones para el Comit Ejecutivo de Servicios de Aseguramiento de los Estados Unidos y para el Comit de Desarrollo de Servicios de Calidad de Canad, basado en parte en los Objetivos de Control de COBIT. SysTrust est diseado para incrementar el confort de la Administracin, los clientes y los socios de negocios con los sistemas que soportan un negocio o una actividad en particular. Los servicios de SysTrust incluyen al contador pblico proporcionndole un servicio de aseguramiento en el cual l o ella evala y prueba si el sistema es confiable cuando lo mide contra cuatro principios esenciales: Disponibilidad, seguridad, integridad y mantenimiento. Un enfoque hacia los requerimientos del negocio en cuanto a controles para tecnologa de informacin y la aplicacin de modelos de control emergentes y estndares internacionales relacionados incluyen los Objetivos de Control originales de la Information Systems Audit and Control Foundation como una herramienta usada por el Auditor y la Administracin. Adicionalmente, el desarrollo de las Directrices Gerenciales de TI ha llevado al COBIT al siguiente nivel proporcionando a la Administracin Indicadores Clave de Logros (KGIs Key Goal Indicators), Indicadores Claves de Desempeo (KPIs Key Performance Indicators), Factores Crticos de xito (CSFsCritical Success Factors) y un Modelo de Madurez con el cual puede analizar el ambiente de TI y considerar opciones para la implementacin y mejoramiento de los controles sobre la informacin de la organizacin y sus tecnologas relacionadas. Por lo tanto, el objetivo principal del proyecto COBIT es el desarrollo de polticas claras y buenas prcticas para la seguridad y el control de Tecnologa de Informacin, con el fin de obtener la aprobacin y el apoyo de las entidades comerciales, gubernamentales y profesionales en todo el mundo. La meta del proyecto es desarrollar estos objetivos de control principalmente a partir de la perspectiva de los objetivos y necesidades de la empresa. (Esto concuerda con la perspectiva COSO, que constituye el primer y mejor marco referencial para la administracin en cuanto a controles internos.) Posteriormente, los objetivos de control fueron desarrollados a partir de la perspectiva de los objetivos de auditora (certificacin de informacin financiera, certificacin de medidas de control interno, eficiencia y efectividad, etc.) AUDIENCIA: ADMINISTRACION, USUARIOS Y AUDITORES COBIT est diseado para ser utilizado por tres audiencias distintas: ADMINISTRACION/ GERENCIA (Management): Para ayudarlos a lograr un balance entre los riesgos y las inversiones en control en un ambiente de tecnologa de informacin frecuentemente impredecible. USUARIOS: Para obtener una garanta en cuanto a la seguridad y controles de los servicios de tecnologa de informacin proporcionados internamente o por terceras partes. AUDITORES: Para soportar su opinin y/o proporcionar consejos a la Administracin sobre los controles internos. 11
IT GOVERNANCE INSTITUTE
RESUMEN EJECUTIVO
ORIENTACIN A OBJETIVOS DE NEGOCIO El COBIT est alineado con los Objetivos del Negocio. Los Objetivos de Control muestran una relacin clara y distintiva con los objetivos del negocio con el fin de apoyar su uso en forma significativa fuera de las fronteras de la comunidad de auditora. Los Objetivos de Control estn definidos con una orientacin a los procesos, siguiendo el principio de reingeniera de negocios. En dominios y procesos identificados, se identifica tambin un objetivo de control de alto nivel para documentar el enlace con los objetivos del negocio. Adicionalmente, se establecen consideraciones y guas para definir e implementar el Objetivo de Control de TI. La clasificacin de los dominios a los que se aplican los objetivos de control de alto nivel (dominios y procesos); una indicacin de los requerimientos de negocio para la informacin en ese dominio, as como los recursos de TI que reciben un impacto primario por parte del objetivo del control, forman conjuntamente el Marco de Referencia de COBIT. El Marco de Referencia toma como base las actividades de investigacin que han identificado 34 objetivos de alto nivel y 318 objetivos de control detallados. El Marco de Referencia fue presentado a la industria de TI y a los profesionales dedicados a la auditora para abrir la posibilidad a revisiones, cambios y comentarios. Las ideas obtenidas fueron incorporadas en forma apropiada. DEFINICIONES GENERALES Para propsitos de este proyecto, se proporcionan las siguientes definiciones. La definicin de Control est adaptada del reporte COSO [Committee of Sponsoring Organisations of the Treadway Commission. Internal Control-Integrated Framework, 1992 y la definicin para Objetivo de Control de TI ha sido adaptada del reporte SAC (Systems Auditability and Control Report, The Institute of Internal Auditors Research Foundation, 1991 y 1994).
Control se Define como
Las polticas, procedimientos, prcticas y estructuras organizacionales diseadas para garantizar razonablemente que los objetivos del negocio sern alcanzados y que eventos no deseables sern prevenidos o detectados y corregidos Una sentencia del resultado o propsito que se desea alcanzar implementando procedimientos de control en una actividad de TI particular.
Una estructura de relaciones y procesos para dirigir y controlar la empresa con el fin de lograr sus objetivos al aadir valor mientras se equilibran los riesgos contra el retorno sobre TI y sus procesos.
La grfica que se presenta a continuacin ilustra los conceptos bsicos de COBIT: con el fin de alcanzar sus objetivos, el Gobierno de TI debe ser aplicado por la organizacin para asegurar que los recursos de TI son administrados por un conjunto de personas de TI agrupadas naturalmente
12
IT GOVERNANCE INSTITUTE
RESUMEN EJECUTIVO
PROCESOS DE TI DE COBIT DEFINIDOS EN LOS CUATRO DOMINIOS
IT GOVERNANCE INSTITUTE
13
La tercera edicin de COBIT es la mas reciente versin de los Objetivos de Control para la informacin y sus tecnologas relacionadas, que fue liberado primero por la Information Systems Audit and Control Foundation (ISACF) en 1996. La 2da edicin que refleja un incremento en el nmero de documentos fuente, una revisin en el alto nivel y objetivos de control detallados y la adicin del Conjunto de herramientas de Implementacin fue publicado en 1998. La 3a edicin marca el ingreso de un nuevo editor para COBIT: El Instituto de Gobierno4 de TI (IT Governance Institute).
Sin excluir ningn otro estndar aceptado en el campo del control de sistemas de informacin que pudiera emitirse durante la investigacin, las fuentes han sido identificadas inicialmente como: Estndares Tcnicos de ISO, EDIFACT, etc. Cdigos de Conducta emitidos por el Council of Europe, OECD, ISACA, etc.; Criterios de Calificacin para sistemas y procesos de TI: ITSEC, ISO9000, SPICE, TickIT, Common Criteria, etc.; Estndares Profesionales para control interno y auditora: reporte COSO, IFAC, IIA, ISACA, GAO, PCIE, CICA, AICPA, etc.; Prcticas y requerimientos de la Industria de foros industriales (ESF, 14) y plataformas patrocinadas por el gobierno (IBAG, NIST, DTI); y Nuevos requerimientos especficos de la industria de la banca, Comercio Electrnico y manufactura de TI. (Ver Apndice II, Descripcin del Proyecto COBIT; Apndice III Material de Referencia Primaria de COBIT y Apndice IV, Glosario de Trminos )
El Instituto de Gobierno de TI fue formado por la Information Systems Audit and Control Association (ISACA) y su Fundacin asociada en 1998 para avanzar en el entendimiento y la adopcin de principios de gobierno de TI. Con la adicin de las Directrices Gerenciales en la 3a edicin de COBIT y su expansin y mayor cubrimiento sobre el Gobierno de TI, el Instituto de Gobierno de TI adquiri un rol de liderazgo en el desarrollo de la publicacin.
COBIT se bas originalmente en los Objetivos de Control de la ISACF y ha sido mejorado con las actuales y emergentes estndares internacionales a nivel tcnico, profesional, regulatorio y especficos de la industria. Los Objetivos de Control resultantes han sido desarrollados para su aplicacin en sistemas de informacin de toda la empresa. El trmino generalmente aplicables y aceptados es utilizado explcitamente en el mismo sentido que los Principios de Contabilidad Generalmente Aceptados (PCGA o GAAP por sus siglas en ingls).
Este estndar es relativamente pequeo en tamao, con el fin de ser prctico y responder, en la medida de lo posible, a las necesidades del negocio, manteniendo al mismo tiempo una independencia con respecto a las plataformas tcnicas de TI adoptadas en una organizacin.
___________ 4 Gobierno, Gobernabilidad (governance): sistema que establece la alta gerencia para asegurar el logro de los objetivos de una Organizacin.
14
IT GOVERNANCE INSTITUTE
IT GOVERNANCE INSTITUTE
15
RESUMEN EJECUTIVO
16
IT GOVERNANCE INSTITUTE
RESUMEN EJECUTIVO
APNDICE I DIRECTRICES GERENCIALES DEL GOBIERNO/GOBERNABILIDAD DE TI
Gobierno sobre la tecnologa de informacin y los procesos con las metas del negocio para aadir valor, mientras se balancean los riesgos y el retorno Asegurar la entrega de informacin al Negocio el cual establece los Criterios de Informacin requeridos y es medido por Indicadores Clave de Resultados/Logros Se hace posible a travs de la creacin y mantenimiento de un sistema de procesos y controles apropiados para el negocio, el cual dirige y monitorea el valor del negocio proporcionado por TI Considera Factores Crticos de xito que tiene en cuenta todos los Recursos de TI y es medido por Indicadores Clave de Desempeo