COBIT

El Cobit (Control Objetives for Information and Related Technology) y su traducción

sería Objetivos de Control para la Información y Tecnologías Relacionadas. Fue
desarrollado para establecer un estándar a nivel internacional sobre los objetivos de
control que deben ser evaluados.

Definición de COBIT

COBIT es un conjunto de objetivos de control para el ambiente de tecnología de

información en que se desenvuelven los procesos de muchas empresas. El logro de
estos objetivos es gracias a un trabajo de investigación y de búsqueda de consenso
entre la normatividad de distintos cuerpos colegiados, estándares técnicos, códigos
de conducta, prácticas y requerimientos de la industria y requerimientos
emergentes para industrias específicas (desde la industria de la banca hasta la
industria manufacturera).

Misión de COBIT

Investigar, desarrollar, publicar y promover un conjunto internacional, autorizado y

actual de objetivos de control de tecnología de información generalmente aceptados
para el uso cotidiano de gerentes de empresa y auditores.

Estructura de COBIT

La estructura de COBIT está basada en la ejecución de procesos de trabajo para

satisfacer los requerimientos de información del negocio. Se fundamenta en la idea
de que los recursos de TI deben ser utilizados en forma adecuada.

La componen tres elementos: Recursos, Procesos y Requerimientos. Estos

elementos se relacionan de diferentes maneras ya que un recurso puede ser
utilizado por varios procesos. Los procesos pueden estar satisfaciendo distintos
requerimientos.

Recursos de TI

La clasificación de los recursos que propone el COBIT es: Datos, Sistemas de

Información, Tecnología, Instalaciones y Recursos humanos

Dominios

El Cobit se encuentra dividido en cuatro Dominios:

• Planeación y Organización (Planning and Organization, PO)

• Adquisición e implementación (Acquisition and Implementation, AI)
• Entrega de servicios y Soporte (Delivery and Support, DS)
• Monitores (Monitoring, M)
Procesos

Estos cuatro Dominios son divididos en 34 procesos

1. Planeación y Organización

• PO1. Definir un plan estratégico de sistemas

• PO2. Definir la arquitectura de información
• PO3. Definir la dirección tecnológica
• PO4. Definir la organización y sus relaciones
• ....
• PO11. Administrar calidad

2. Adquisición e Implementación

• AI1. Identificar soluciones de automatización

• AI2. Adquirir y mantener software de aplicación
• AI3. Adquirir y mantener la arquitectura tecnológica
• ....
• AI6. Administrar cambios

3. Prestación de servicios y soporte

• DS1. Definir niveles de servicio

• DS2. Administrar servicios a terceros
• DS3. Administrar desempeño y capacidad
• ....
• DS13. Administrar la operación

4. Monitoreo

• M1. Monitorear el proceso

• M2. Evaluar lo adecuado del control interno
• M3. Obtener aseguramiento independiente
• M4. Proporcionar auditoria independiente

Actividad o Tarea

Para cada uno de estos Procesos el COBIT define las actividades o tareas
relacionadas. Además identifica los Objetivos de Control.

Buscar en COBIT una tarea especifica

Dominio 3. Prestación de Servicio

Proceso DS2. Administrar servicios de terceros

Actividad 2.3 Contratos con terceros

Objetivo de Control: "La gerencia debe definir procedimientos específicos para

asegurar que un contrato formal es definido y acordado para cada relación de
servicio con un proveedor."
Requerimientos de Negocio

Cobit clasifica los requerimientos de información del negocio en las siguientes

categorías:

• Efectividad
• Eficiencia
• Confidencialidad
• Integridad
• Disponibilidad
• Cumplimiento
• Confiabilidad de la información

Cada procesos definido por el COBIT es definido para el cumplimiento de un

requerimiento de negocio. Por ejemplo el proceso DS2. Administrar servicios de
terceros está enfocado para "Asegurar que los papeles y responsabilidades de
terceros están definidas claramente, con respetados y continúan satisfaciendo los
requerimientos."