UNIVERSIDAD NACIONAL DEL CENTRO DEL PER

FACULTAD DE CONTABILIDAD

COBIT -OBJETIVOS DE CONTROL PARA TECNOLOGA DE

INFORMACIN Y TECNOLOGAS RELACIONADAS

CATEDRA:

AUDITORIA DE SISTEMAS DE
INFORMACION

CATEDRATICO:

MG. HERNAN CAPCHA CARBAJAL

ESTUDIANTES:

CHIRCCA ESPINAL, Mariela

CORONEL QUISPE, Liz Maribel
HILARIO ORIHUELA, Erika Jhuliana
PAUCAR HUACHOS, Syndy Karina
RODRIGUEZ VERA, Eleny Sophia

SEMESTRE:

Decimo

HUANCAYO PER

2017
 DEDICATORIA

A mis padres que siempre me apoyan

incondicionalmente, a mis amigos por su
nimo y a Dios por guiar mis pasos cada
da.
 INTRODUCCIN

Desde la dcada de 1960, el rpido desarrollo de los sistemas automatizados ha

creado la expectativa de una apropiada respuesta de las reas que se ocupan de
gestionar la tecnologa informtica y sistemas de informacin.

Las organizaciones modernas, y por ende muchas entidades financieras, se estn

reestructurando a fin de modernizar sus operaciones y simultneamente aprovechar
los avances en tecnologas de informacin a fin de mejorar su posicin competitiva. La
reingeniera de negocio, el dimensionamiento correcto, la tercerizacin y el
procesamiento distribuido, son todos cambios que afectan la forma en que operan las
organizaciones.

La alta velocidad con la cual se procesan las transacciones; los sistemas de

administracin de las bases de datos; las redes de telecomunicaciones globales; el
procesamiento distribuido de datos; la comunicacin sobre Internet, y muchos otros
factores, han causado que en toda organizacin, sin excepcin alguna, la informacin
y los datos en los cuales se apoya se tornen cada da ms y ms importantes.

Por lo que las estrategias de la funcin gerencial; las polticas de seguridad; la

segregacin de las funciones; el impacto de los fallos; los accesos no autorizados; la
revelacin de la informacin; la continuidad del normal procesamiento de los datos; la
adecuacin de los sistemas de informacin, y otros aspectos que surgen de la
aplicacin de innovadoras tecnologas, han pasado a tener un impacto mucho mayor
dentro de la organizacin que el de hace unos aos; de ah la necesidad de contar con
un adecuado marco de control. Por lo expuesto, para muchas organizaciones, la
informacin y la tecnologa que la soporta, han pasado a representar sus activos ms
valiosos. Bajo esta situacin, stas han comenzado a reconocer los beneficios
potenciales que las herramientas tecnolgicas les pueden proporcionar. Pero sin
embargo, tambin han comprendido la importancia de conocer y administrar los
riesgos asociados con la implementacin de las nuevas tecnologas.
 INDICE
INTRODUCCIN........................................................................................................... 3

CAPITULO I................................................................................................................... 6

MARCO CONCEPTUAL................................................................................................6

1.1. CONCEPTO....................................................................................................6

1.2. HISTORIA Y ANTECEDENTES DE COBIT.....................................................7

1.2.1. Evolucin Del Producto Cobit...............................................................8

CAPITULO II...............................................................................................................10

MARCO REFERENCIAL.............................................................................................10

2.1. PRINCIPIOS:.................................................................................................10

2.2. BENEFICIOS COBIT.....................................................................................14

2.3. ESTRUCTURA..............................................................................................14

2.4. DOMINIOS COBIT........................................................................................15

2.5. USUARIOS....................................................................................................17

2.6. CARACTERSTICAS....................................................................................17

2.7. NIVELES COBIT...........................................................................................17

2.8. COMPONENTES COBIT...............................................................................18

 CAPITULO I

MARCO CONCEPTUAL

1.1. CONCEPTO

La evaluacin de los requerimientos del negocio, los recursos y procesos IT,

son puntos bastante importantes para el buen funcionamiento de una compaa
y para el aseguramiento de su supervivencia en el mercado.

El COBIT es precisamente un modelo para auditar la gestin y control de los

sistemas de informacin y tecnologa, orientado a todos los sectores de una
organizacin, es decir, administradores IT, usuarios y por supuesto, los
auditores involucrados en el proceso.

El COBIT es un modelo de evaluacin y monitoreo que enfatiza en el control de

negocios y la seguridad IT y que abarca controles especficos de IT desde una
perspectiva de negocios.

Las siglas COBIT significan Objetivos de Control para Tecnologa de

Informacin y Tecnologas relacionadas (Control Objectives for Information
Systems and related Technology). El modelo es el resultado de una
investigacin con expertos de varios pases, desarrollado por ISACA
(Information Systems Audit and Control Association).

COBIT, lanzado en 1996, es una herramienta de gobierno de TI que ha

cambiado la forma en que trabajan los profesionales de tecnologa. Vinculando
tecnologa informtica y prcticas de control, el modelo COBIT consolida y
 armoniza estndares de fuentes globales prominentes en un recurso crtico
para la gerencia, los profesionales de control y los auditores.

COBIT se aplica a los sistemas de informacin de toda la empresa, incluyendo

los computadores personales y las redes. Est basado en la filosofa de que los
recursos TI necesitan ser administrados por un conjunto de procesos
naturalmente agrupados para proveer la informacin pertinente y confiable que
requiere una organizacin para lograr sus objetivos.

La estructura del modelo COBIT propone un marco de accin donde se

evalan los criterios de informacin, como por ejemplo la seguridad y calidad,
se auditan los recursos que comprenden la tecnologa de informacin, como
por ejemplo el recurso humano, instalaciones, sistemas, entre otros, y
finalmente se realiza una evaluacin sobre los procesos involucrados en la
organizacin.

1.2. HISTORIA Y ANTECEDENTES DE COBIT

Comenzando con el marco de COBIT definido en la primera edicin, el uso de

estndares internacionales, las pautas y la investigacin en las mejores
prcticas condujeron al desarrollo de los objetivos del control. Las pautas de la
intervencin fueron desarrolladas despus para determinar si estos objetivos
del control estn puestos en ejecucin apropiadamente.

La investigacin para las primeras y segundas ediciones incluy la coleccin y

el anlisis de fuentes internacionales identificadas y fue realizada por los
equipos en Europa (universidad libre de Amsterdam), los E.E.U.U. (universidad
politcnica de California) y Australia (universidad de Nuevo Gales del Sur).
Cargaron a los investigadores con la compilacin, la revisin, el gravamen y la
incorporacin apropiada de los estndares tcnicos internacionales, cdigos de
la conducta, estndares de calidad, estndares profesionales en la revisin, y
las prcticas y los requisitos de la industria, como se relacionan con el marco y
con los objetivos del control individual. Despus de la coleccin y del anlisis,
desafiaron a los investigadores a examinar cada dominio y a procesar
profundizado y a sugerir los nuevos o modificados objetivos del control
aplicables a ese detalle L proceso. La consolidacin de los resultados fue
realizada por el comit de direccin de COBIT.
La tercera edicin de COBIT es la ms reciente versin de los Objetivos de
Control para la informacin y sus tecnologas relacionadas, que fue liberado
primero por la Information Systems Audit and Control Foundation (ISACF) en
1996. La 2da edicin que refleja un incremento en el nmero de documentos
fuente, una revisin en el alto nivel y objetivos de control detallados y la adicin
del Conjunto de herramientas de Implementacin fue publicada en 1998. La 3a
edicin marca el ingreso de un nuevo editor para COBIT: El Instituto de
Gobierno de TI (IT Governance Institute).

El Instituto de Gobierno de TI fue formado por la Information Systems Audit and

Control Association (ISACA) y su Fundacin asociada en 1998 para avanzar en
el entendimiento y la adopcin de principios de gobierno de TI. Con la adicin
de las Directrices Gerenciales en la 3a edicin de COBIT y su expansin y
mayor cubrimiento sobre el Gobierno de TI, el Instituto de Gobierno de TI
adquiri un rol de liderazgo en el desarrollo de la publicacin.

COBIT se bas originalmente en los Objetivos de Control de la ISACF y ha sido

mejorado con las actuales y emergentes estndares internacionales a nivel
tcnico, profesional, regulatorio y especficos de la industria. Los Objetivos de
Control resultantes han sido desarrollados para su aplicacin en sistemas de
informacin de toda la empresa. El trmino generalmente aplicable y
aceptado es utilizado explcitamente en el mismo sentido que los Principios de
Contabilidad Generalmente Aceptados (PCGA o GAAP por sus siglas en
ingls).

Este estndar es relativamente pequeo en tamao, con el fin de ser prctico y

responder, en la medida de lo posible, a las necesidades del negocio,
manteniendo al mismo tiempo una independencia con respecto a las
plataformas tcnicas de TI adoptadas en una organizacin.

Sin excluir ningn otro estndar aceptado en el campo del control de sistemas
de informacin que pudiera emitirse durante la investigacin, las fuentes han
sido identificadas inicialmente como:

Estndares Tcnicos de ISO, EDIFACT, etc.

Cdigos de Conducta emitidos por el Council of Europe, OECD, ISACA,
etc.; Criterios de Calificacin para sistemas y procesos de TI: ITSEC,
ISO9000, SPICE, TickIT, Common Criteria, etc.;
Estndares Profesionales para control interno y auditora: reporte
COSO, IFAC, IIA, ISACA, GAO, PCIE, CICA, AICPA, etc.;
 Prcticas y requerimientos de la Industria de foros industriales (ESF, 14)
y plataformas patrocinadas por el gobierno (IBAG, NIST, DTI); y
Nuevos requerimientos especficos de la industria de la banca,
Comercio Electrnico y manufactura de TI.

1.2.1. Evolucin Del Producto Cobit

COBIT evolucionar a travs de los aos y ser el fundamento de

investigaciones futuras. Por lo tanto, se generar una familia de
productos COBIT y al ocurrir esto, las tareas y actividades que sirven
como estructura para organizar los Objetivos de Control de TI, sern
refinadas posteriormente. Tambin ser revisado el balance entre los
dominios y los procesos a la luz de los cambios en la industria.

La investigacin y las publicaciones han sido posibles gracias al

fundamental apoyo de PricewaterhouseCoopers y las donaciones de
los captulos de ISACA y de miembros de todo el mundo. La European
Security Forum (ESF) amablemente llev a cabo la recoleccin de
material disponible para el proyecto. La Gartner Group adems
particip en el desarrollo y realiz la revisin de aseguramiento de
calidad de las Directrices Gerenciales.

PRODUCTOS DE LA FAMILIA COBIT

 CAPITULO II

MARCO REFERENCIAL

2.1. PRINCIPIOS:

COBIT, tal como aparece en esta ltima versin de los Objetivos de Control
refleja los compromisos de ISACA para engrandecer y mantener el cuerpo
comn del conocimiento requerido para soportar la profesin de auditora y
control de los sistemas de informacin.

El Marco de Referencia de COBIT ha sido limitado a objetivos de control de

alto nivel en forma de necesidades de negocio dentro de un proceso de TI
particular, cuyo logro es posible a travs del establecimiento de controles,
para el cual deben considerarse controles potenciales aplicables.
Los Objetivos de Control de TI han sido organizados por proceso/actividad y
tambin se han proporcionados ayudas de navegacin no solamente para
facilitar la entrada a partir de cualquier punto de vista estratgico como se
explic anteriormente, sino tambin para facilitar enfoques combinados o
globales, tales como instalacin/implementacin de un proceso,
responsabilidades gerenciales globales para un proceso y utilizacin de
recursos de TI por un proceso.

Tambin deber tomarse en cuenta que los Objetivos de Control de COBIT

han sido definidos de una manera genrica, por ejemplo, sin depender de la
plataforma tcnica, aceptando el hecho de que algunos ambientes de
tecnologa especiales pueden requerir una cobertura separada para objetivos
de control.

Mientras que el Marco de Referencia de COBIT enfoca controles a alto nivel

para cada proceso, los Objetivos de Control se enfocan sobre objetivos de
control detallados y especficos asociados a cada proceso de TI. Por cada
uno de los 34 procesos de TI del marco referencial, hay desde tres hasta 30
objetivos de control detallados, para un total de 318.

Los Objetivos de Control se alinean para cubrir todo el Marco referencial con
objetivos de control detallados con base en 41 fuentes primarias que
comprenden estndares y regulaciones internacionales de TI, de facto y de
jure. Contiene sentencias de los resultados deseados o propsitos a ser
alcanzados mediante la implementacin de procedimientos de control
especficos en una actividad de TI, de esta manera provee polticas claras y
buenas prcticas para los controles de TI a travs de la industria, alrededor
del mundo.

Los Objetivos de Control estn dirigidos a la Administracin y al staff de TI, a

las funciones de control y auditora y lo ms importante, a los propietarios
de los procesos del negocio. Los Objetivos de Control proporcionan un
trabajo, que es un documento de escritorio para esos individuos. Se
identifican definiciones precisas y claras para un mnimo conjunto de
controles con el fin de asegurar la efectividad, eficiencia y economa de la
utilizacin de los recursos. Objetivos de control detallados son identificados
para cada proceso, como los controles mnimos necesarios. Esos controles
sern analizados por los profesionales de control para verificar su suficiencia.

Los Objetivos de Control permiten el traslado de los conceptos presentados

en el Marco de Referencia hacia controles especficos aplicables a cada
proceso de TI.

El enfoque del control en TI se lleva a cabo visualizando la informacin

necesaria para dar soporte a los procesos de negocio y considerando a la
informacin como el resultado de la aplicacin combinada de recursos
relacionados con las TI que deben ser administrados por procesos de TI.

El enfoque del control en TI se lleva a cabo visualizando la informacin

necesaria para dar soporte a los procesos de negocio y considerando a la
informacin como el resultado de la aplicacin combinada de recursos
relacionados con las TI que deben ser administrados por procesos de TI.

Requerimientos de la informacin del negocio: Para alcanzar los

requerimientos de negocio, la informacin necesita satisfacer ciertos
CRITERIOS:
Requerimientos de Calidad: Calidad, Costo y Entrega.
Requerimientos Fiduciarios: Efectividad y Eficiencia operacional,
Confiabilidad de los reportes financieros y Cumplimiento le leyes y
regulaciones.
 Requerimientos de Seguridad: Confidencialidad, Integridad y
Disponibilidad.

En COBIT se establecen los siguientes recursos en TI necesarios

para alcanzar los objetivos de negocio:

2.2. BENEFICIOS COBIT

Mejor alineacin basada en una focalizacin sobre el

negocio.
Visin comprensible de TI para su administracin.
Clara definicin de propiedad y responsabilidades.
Aceptabilidad general con terceros y entes reguladores.
 Entendimiento compartido entre todos los interesados
basados en un lenguaje comn.
Cumplimiento global de los requerimientos de TI planteados
en el Marco de Control Interno de Negocio COSO.

2.3. ESTRUCTURA

La estructura del modelo COBIT propone un marco de accin donde se

evalan los criterios de informacin, como por ejemplo la seguridad y calidad,
se auditan los recursos que comprenden la tecnologa de informacin, como
por ejemplo el recurso humano, instalaciones, sistemas, entre otros, y
finalmente se realiza una evaluacin sobre los procesos involucrados en la
organizacin.

"La adecuada implementacin de un modelo COBIT en una organizacin,

provee una herramienta automatizada, para evaluar de manera gil y
consistente el cumplimiento de los objetivos de control y controles detallados,
que aseguran que los procesos y recursos de informacin y tecnologa
contribuyen al logro de los objetivos del negocio en un mercado cada vez ms
exigente, complejo y diversificado.

2.4. DOMINIOS COBIT

El conjunto de lineamientos y estndares internacionales conocidos como
COBIT, define un marco de referencia que clasifica los procesos de las
unidades de tecnologa de informacin de las organizaciones en cuatro
"dominios" principales, a saber:

PLANIFICACION Y ORGANIZACION: Este dominio cubre

la estrategia y las tcticas y se refiere a la identificacin de la forma en
que la tecnologa de informacin puede contribuir de la mejor manera al
logro de los objetivos del negocio. Adems, la consecucin de la visin
estratgica necesita ser planeada, comunicada y administrada desde
diferentes perspectivas. Finalmente, debern establecerse una
organizacin y una infraestructura tecnolgica apropiadas.
ADQUISION E IMPLANTACION: Para llevar a cabo la estrategia de TI,
las soluciones de TI deben ser identificadas, desarrolladas o adquiridas,
as como implementadas e integradas dentro del proceso del negocio.
Adems, este dominio cubre los cambios y el mantenimiento realizados
a sistemas existentes.
SOPORTE Y SERVICIOS: En este dominio se hace referencia a la
entrega de los servicios requeridos, que abarca desde
las operaciones tradicionales hasta el entrenamiento, pasando por
seguridad y aspectos de continuidad. Con el fin de proveer servicios,
debern establecerse los procesos de soporte necesarios. Este dominio
incluye el procesamiento de los datos por sistemas de aplicacin,
frecuentemente clasificados como controles de aplicacin.
MONITOREO: Todos los procesos necesitan ser evaluados
regularmente a travs del tiempo para verificar su calidad y suficiencia
en cuanto a los requerimientos de control.
Estos dominios agrupan objetivos de control de alto nivel, que cubren
tanto los aspectos de informacin, como de la tecnologa que la
respalda. Estos dominios y objetivos de control facilitan que la
generacin y procesamiento de la informacin cumplan con las
caractersticas de efectividad, eficiencia, confidencialidad, integridad,
disponibilidad, cumplimiento y confiabilidad.
2.5. USUARIOS

La Gerencia: Para apoyar sus decisiones de inversin en TI y control

sobre el rendimiento de las mismas, analizar el costo beneficio del
control.
Los Usuarios Finales: Quienes obtienen una garanta sobre la seguridad
y el control de los productos que adquieren interna y externamente.
Los Auditores: Para soportar sus opiniones sobre los controles de
los proyectos de TI, su impacto en la organizacin y determinar el
control mnimo requerido.
Los Responsables de TI: Para identificar los controles que requieren en
sus reas.
Tambin puede ser utilizado dentro de las empresas por el responsable
de un proceso de negocio en su responsabilidad de controlar los
aspectos de informacin del proceso, y por todos aquellos con
responsabilidades en el campo de la TI en las empresas.

2.6. CARACTERSTICAS

Orientado al negocio.
Alineado con estndares y regulaciones "de facto".
Basado en una revisin crtica y analtica de las tareas y actividades
en TI.
Alineado con estndares de control y auditoria (COSO, IFAC, IIA,
ISACA, AICPA).

2.7. NIVELES COBIT

Se divide en 3 niveles, los cuales son los siguientes:

2.7.1. Dominios:
Agrupacin natural de procesos, normalmente corresponden
a un dominio o una responsabilidad organizacional.
2.7.2. Procesos:
Conjuntos o series de actividades unidas con delimitacin o
cortes de control.
2.7.3. Actividades:
 2.7.4. Actividades
Acciones requeridas para lograr un resultado medible.

2.8. COMPONENTES COBIT

2.8.1. Resumen Ejecutivo:

Es un documento dirigido a la alta gerencia presentando los
antecedentes y la estructura bsica de COBIT Adems, describe de
manera general los procesos, los recursos y los criterios de
informacin, los cuales conforman la "Columna Vertebral" de COBIT.
2.8.2. Marco de Referencia (Framework):
Incluye la introduccin contenida en el resumen ejecutivo y presenta
las guas de navegacin para que los lectores se orienten en la
exploracin del material de COBIT haciendo una presentacin
detallada de los 34 procesos contenidos en los cuatro dominios.
2.8.3. Objetivos de Control:
Integran en su contenido lo expuesto tanto en el resumen ejecutivo
como en el marco de referencia y presenta los objetivos de control
detallados para cada uno de los 34 procesos.
2.8.4. Planear y organizar
PO1 Definir el plan estratgico de TI.
PO2 Definir la arquitectura de la informacin
PO3 Determinar la direccin tecnolgica.
PO4 Definir procesos, organizacin y relaciones de TI.
PO5 Administrar la inversin en TI.
PO6 Comunicar las aspiraciones y la direccin de la gerencia.
PO7 Administrar recursos humanos de TI.
PO8 Administrar calidad.
PO9 Evaluar y administrar riesgos de TI
PO10 Administrar proyectos.
PO11Administracin de Calidad
2.8.5. Adquirir e implantar
AI1 Identificar soluciones automatizadas.
AI2 Adquirir y mantener el software aplicativo.
AI3 Adquirir y mantener la infraestructura tecnolgica
AI4 Facilitar la operacin y el uso.
AI5 Adquirir recursos de TI.
AI6 Administrar cambios.
2.8.6. Monitorear y evaluar
ME1 Monitorear y evaluar el desempeo de TI.
ME2 Monitorear y evaluar el control interno
ME3 Garantizar cumplimiento regulatorio.
ME4 Proporcionar gobierno de TI.
2.8.7. Prestacin y soporte
DS1 Definir y administrar niveles de servicio.
DS2 Administrar servicios de terceros.
DS3 Administrar desempeo y capacidad.
DS4 Garantizar la continuidad del servicio.
DS5 Garantizar la seguridad de los sistemas.
DS6 Identificar y asignar costos.
DS7 Educar y entrenar a los usuarios.
DS8 Administrar la mesa de servicio y los incidentes.
DS9 Administrar la configuracin.
DS10 Administrar los problemas.
DS11 Administrar los datos.
DS12 Administrar el ambiente fsico.
DS13 Administrar las operaciones.
 CAPITULO III

RELACION CON LAS EMPRESAS

COBIT se aplica a los sistemas de informacin de toda la empresa, incluyendo las

computadoras personales, mini computadoras y ambientes distribuidos. Est basado
en la filosofa de que los recursos de TI necesitan ser administrados por un conjunto
de procesos naturalmente agrupados para proveer la informacin pertinente y
confiable que requiere una organizacin para lograr sus objetivos.

El buen uso y manejo de esta herramienta COBIT, garantiza a las compaas que lo
implementan una estandarizacin en general de todas las reas de la organizacin en
cuanto a IT, ayudando de esa manera a los gerentes y diferentes usuarios conocer la
situacin actual de la compaa de forma verdica y en tiempo real.

3.1. LA APLICACIN DEL COBIT EN LAS EMPRESAS

3.1.1. AUDITORA TRADICIONAL:

Despus del establecimiento inicial de un acuerdo contractual entre el auditor y

el auditado, un trabajo de auditora generalmente procede con una evaluacin
de riesgos y la formulacin de un plan de auditora para delinear el alcance y
los objetivos de la auditora. Despus de esto, los auditores recogen y analizan
la evidencia de auditora y se forman opiniones relativas a los controles
internos; as como, la fiabilidad de la informacin proporcionada por la
direccin. Al concluir, los auditores presentan un informe formal de opinin.
 De hecho, este enfoque refleja la metodologa del siglo XX por el que hay altos
costos y demoras significativas asociadas con la recoleccin de informacin,
procesamiento y presentacin de informes. Sin embargo, estos costos
histricos y los retrasos a menudo no son la norma hoy en da. Muy
probablemente, en el mundo de los negocios actual, las transacciones se
introducen a menudo y se agregan de manera que puedan ofrecer una
respuesta inmediata acerca de las partes interesadas pertinentes. Por otra
parte, los acadmicos y los profesionales reconocieron este cambio de
informacin y desarrollaron numerosas soluciones que reflejaban
adecuadamente el entorno empresarial actual.

3.1.2. AUDITORA PROACTIVA:

Los procesos se efectan en forma simultnea, empleado para ello,

tecnologas disponibles, tales como:

Internet/Conexiones Web
Sistemas

En este enfoque se incluye el anlisis de riesgo en el negocio como punto

importante en su revisin.

La auditora debe tener como misin reportar los riesgos y los controles para
mitigarlos: Para ello, debe confeccionar un plan estratgico que incluye una
cuidadosa consideracin acerca de los problemas de la resistencia al cambio,
los costos que representa dicha tecnologa y las utilidades que se lograrn,
alcance del proyecto, y asegurarse que su formacin debera dar lugar a
resultados ms favorables. Como mnimo, deber aplicarse las Tcnicas de
Auditora asistida por el computador (Computer Assisted Audit Techniques -
CAAT), que tienen el potencial de servir como un mecanismo de transicin
entre la auditora manual y el final de la auditora futura. Si se implementan y se
utilizan segn lo previsto, se realizarn beneficios significativos; de tal manera,
que las empresas deben estar ms abiertas a contemplar la idea de
aventurarse ms all en el mbito de la automatizacin. El trabajo de auditora
debe incluir el anlisis de riesgo durante el planeamiento. De acuerdo con el
diccionario Aplicativo para Contadores, se define Riesgo como: La posibilidad
que el auditor pueda expresar una opinin financiera que est distorcionada en
aspectos materiales, o que los criterios tcnicos del auditor hayan sido
insuficientes o inapropiados.
3.1.3. ANLISIS DE RIESGO DE TECNOLOGIA E INFORMATICA

Conocer los riesgos al que estn sometidos los activos de TI es imprescindible

para poder gestionarlos. Dentro de los riesgos de la Tecnologa de Informacin
podemos mencionar a los siguientes:

Informacin errnea o inoportuna.

Tiempo laboral perdido por mal uso del e-mail e Internet.
Alteracin de datos.
Insatisfaccin del usuario.
Acceso no autorizado.

El gran reto de este proyecto es enfrentar una problemtica compleja dado que
se interrelacionan diferentes tipos de activos, con lo cual si no se es metdico y
riguroso, los resultados y conclusiones no son de fiar y difcilmente sean de
valor para la Entidad.

Las acciones a desarrollar permitirn:

Incorporar a la matriz de riesgo operacional, el riesgo de TI asociado a

cada proceso de negocio.
Concientizar a los responsables de las Gerencias de Tecnologa y
Sistemas de Informacin de la existencia de riesgos y brindar
soluciones para su mitigacin.
Ayudar a descubrir y planificar medidas oportunas para mantener los
riesgos bajo control.
Preparar a la organizacin para procesos de evaluacin, auditora y
cumplimiento, segn corresponda.
Establecer los aspectos a tener en cuenta para la realizacin de planes
de contingencias y continuidad del negocio y sistemas de gestin de
seguridad informtica.

En concreto, los avances en tecnologa de la informacin en relacin con los

enfoques en tiempo real a la realizacin de negocios estn desafiando la
profesin de auditora. Como tal, el objetivo principal de esta investigacin es
determinar qu metodologa debera de emplearse para obtener un adecuado
control de la tecnologa de la informacin, riesgos y vulnerabilidades para el
proceso de una Auditora eficaz.

La auditora debe aplicar las mejores prcticas disponibles en el mercado

En los sectores pblico y privado, se hacen uso de una serie de estndares
que guan el desarrollo de proyectos de TI, entre ellos, se pueden mencionar:

Directrices gerenciales de COBIT, desarrollado por la Information

Systems Audit and Control Association (ISACA).
Los estndares de administracin de calidad y aseguramiento de
calidad ISO 9000, desarrollados por la Organizacin Internacional de
Estndares (ISO).
The Management of the Control of data Information Technology,
desarrollado por el Instituto Canadiense de Contadores Certificados
(CICA).

El profesional de auditora de Sistemas debe conocerlos y aplicarlos en su

labor de revisin de las Tecnologas de Informacin que se emplea en cada
entidad.

Existen dos clases distintas de modelos de control disponibles actualmente,

aqullos de la clase del modelo de control de negocios (por ejemplo COSO) y
los modelos ms enfocados a TI (por ejemplo, DTI). COBIT intenta cubrir la
brecha que existe entre los dos. Debido a esto, COBIT se posiciona como una
herramienta ms completa para la Administracin y para operar a un nivel
superior que los estndares de tecnologa para la administracin de sistemas
de informacin. Por lo tanto, COBIT es el modelo para el gobierno de TI.

El concepto fundamental del marco referencial COBIT se refiere a que el

enfoque del control en TI se lleva a cabo visualizando la informacin necesaria
para dar soporte a los procesos de negocio y considerando a la informacin
como el resultado de la aplicacin combinada de recursos relacionados con la
Tecnologa de Informacin que deben ser administrados por procesos de TI.

Para satisfacer los objetivos del negocio, la informacin necesita concordar con
ciertos criterios a los que COBIT hace referencia como requerimientos de
negocio para la informacin. Al establecer la lista de requerimientos, COBIT
combina los principios contenidos en los modelos referenciales existentes y
conocidos:

La calidad ha sido considerada, principalmente por su aspecto

negativo (no fallas, confiable, etc.), lo cual tambin se encuentra
contenido en gran medida en los criterios de integridad. Los aspectos
positivos pero menos tangibles de la calidad (estilo, atractivo, ver y
sentir look and feel, desempeo ms all de las expectativas, etc.)
 no fueron, por un tiempo, considerados desde un punto de vista de
Objetivos de Control de TI. La premisa se refiere a que la primera
prioridad deber estar dirigida al manejo apropiado de los riesgos al
compararlos contra las oportunidades. El aspecto utilizable de la calidad
est cubierto por los criterios de efectividad. Se consider que el
aspecto de entrega (de servicio) de la calidad se traslada con el aspecto
de disponibilidad correspondiente a los requerimientos de seguridad y
tambin en alguna medida, con la efectividad y la eficiencia.
Para los requerimientos fiduciarios COBIT, se utilizaron las definiciones
de COSO para la efectividad y eficiencia de operaciones, confiabilidad
de informacin y cumplimiento con leyes y regulaciones. Sin embargo,
confiabilidad de informacin fue ampliada para incluir toda la
informacin no solo informacin financiera.
Con respecto a los aspectos de seguridad, COBIT identific la
confidencialidad, integridad y disponibilidad como los elementos claves
que estos mismos tres elementos son utilizados a nivel mundial para
describir los requerimientos de seguridad.

EJEMPLO N 1:

Los gerentes de la empresa pueden interesarse en un enfoque de

calidad, seguridad o fiduciario (traducido por el marco referencial en
siete requerimientos de informacin especficos). Un Gerente de TI
puede desear considerar recursos de TI por los cuales es responsable.
Propietarios de procesos, especialistas de TI y usuarios pueden tener
un inters en procesos particulares. Los auditores podrn desear
enfocar el marco referencial desde un punto de vista de cobertura de
control.

Los Objetivos de Control para la Informacin y Tecnologas Relacionadas

(COBIT) fue desarrollado en respuesta a una necesidad percibida en un marco
para el control interno del gobierno de TI. Fue construido en las mejores
prcticas y se ha mantenido y actualizado para reflejar los cambios en tales
prcticas. La documentacin de COBIT se ha publicado en una serie de formas
para satisfacer las necesidades de los diferentes miembros de una
organizacin.

El producto final de la suite de COBIT es un conjunto de directrices de

auditora. Estas directrices proporcionan al profesional de auditora de TI un
marco con el que se lleve a cabo las auditoras. Las directrices subrayan la
auditora del proceso de TI:

Obtener un entendimiento de las necesidades de negocio relacionadas

con los riesgos y las medidas de control pertinentes
La evaluacin de la adecuacin de los controles establecidos.
La evaluacin del cumplimiento por probar si los controles programados
estn trabajando como se lo recomendaron, de manera consistente y
continua.
Justificar si el riesgo de los objetivos de control no estn cumpliendo
con las tcnicas analticas o consultando fuentes alternativas.

EJEMPLO N 2:

RECSA IMPLEMENTA EL COBIT EN ARGENTINA

1) Capacitacin:
Una de los primeras tareas fue la de capacitar y concientizar en materia
de control interno, el Marco y las mejores prcticas. Para ello se
capacitaron en los fundamentos de COBIT a todos los gerentes de
RECSA Argentina y reportes de las reas de Tecnologa y Sistemas,
incluyendo jefaturas de Administracin, Operaciones, Comercial,
Seguridad de la informacin, Desarrollo y Mantenimiento de Sistemas,
Produccin, Riesgos de TI y continuidad del Negocio, Administracin de
Proyectos, Testing y QA como as tambin reas de Procesos y por
supuesto Infraestructura Tecnolgica.

2) Proceso de instalacin de COBIT

Redefinicin de los procesos internos de TI, basados en los
dominios de COBIT. En base a la agrupacin lgica de los procesos
que intervienen en el ciclo de vida de los procesos de TI de RECSA
Argentina se redefinieron los mismos en base a los expuestos por
COBIT agrupados en los diferentes dominios del marco.

3) Procesos instalacin de COBIT

Anlisis de Riesgos: Un punto fundamental es la inclusin de la
Gestin de los Riesgos de TI. Para llevar adelante este plan se
mejor la metodologa y la gestin de los riesgos se bas en
forma inicial a RISK IT. Un punto importante es que en el ciclo
anual de Gestin de Riesgos de TI, se utilizan los principales
puntos de control enmarcados en COBIT para cada proceso de
TI y el anlisis de Riesgos parte de dicha gua para asegurar el
alineamiento a dicho Marco entre otros factores importantes.
 Independientemente de la realidad tecnolgica de Recsa Argentina,
entre los principales temas que motivaron la implementacin, figuran:
mejores prcticas para la seguridad, la calidad y la eficiencia en TI que
son necesarias para el cumplimiento de metas en el marco normativo
y regulatoria que regula el negocio de loa servicios que requieren
contactar personas.

4) Antes de COBIT
Redefinicin de Roles, Responsabilidades y nuevas funciones:
Para asegurar el logro de las diferentes iniciativas y alcanzar a
cumplir las premisas del proyecto que son ni ms ni menos que
las necesidades de la organizacin, en base a un detallado
anlisis se fortalecieron e instauraron las reas de Control de
proyectos (PMO) y Gestin de Riesgos Informticos y
Continuidad del Negocio (IT Risk Governance). Tablero de
Control: Se elaboraron una serie de indicadores basados en las
principales mtricas de COBIT para medir el cumplimiento de
las principales actividades de control de los dominios. Estas
mtricas tienen su propio plan de implementacin y el mismo es
gradual y depende de la criticidad del proceso a medir.

5) Despus instalacin de COBIT

La empresa mejoro su proceso de venta y tambin ofrece servicio de
soporte logstico y transferencia de dinero. En argentina la casa central
est en capital federal y en cada provincia tiene representaciones en
amrica latina adems de Chile est en Ecuador, Costa Rica, Rep.
Dominicana, Panam, Paraguay, Uruguay.

Ejemplo N3:
Analizando a las empresas industriales farinceas
Cuyo proceso ms importante es la logstica de entrada, que se basa en
la compra de trigos, para lo cual planifica teniendo en cuenta la
estacionalidad, la demanda y el precio, tal como lo apreciamos en la
Figura 1. Estos trigos entran a un proceso de fabricacin, el cual da
como resultado harina; parte de esta harina entra a otro proceso de
fabricacin y da resultado fideos. Al finalizar el proceso, los productos
pasan directamente a su venta y distribucin.
Elaboracin propia en base a Alicorp, 2011 Estudios realizados por Scotiabank (2010)
indican que el crecimiento de este tipo de empresas desde el 2010 es de 2% por ao.
Para analizar a la empresa, hacemos uso de un estndar de clase mundial, para lo
cual hemos profundizado en COBIT 5. Como lo apreciamos en la Figura 2, COBIT es
un marco reconocido y ampliamente usado por profesionales de TI, orientado a la
auditoria; determinar los lineamientos necesarios para implementar y gestionar un
gobierno corporativo de TI; y medir las capacidades de los procesos. En su nueva
versin, COBIT 5 tiene treinta y siete procesos, agrupados en cinco reas
Esta empresa familiar peruana con cuarenta y siete aos en el sector farinceo que
actualmente se encuentra a cargo de la segunda generacin. Sin embargo, podemos
acotar indicando que hace 21 aos, desde el ao 1993, se dio el proceso de transicin
a la segunda generacin y son los hijos quienes asumieron la responsabilidad de la
direccin. A la fecha, son los nietos, quienes estn asumiendo roles, aun no
gerenciales, dentro de la organizacin.

Su planta se encuentra ubicada en el Callao y cuenta actualmente con 220

trabajadores entre operarios, vendedores y administrativos. La misin de la empresa
es: Elaborar y comercializar productos alimenticios con estndares de calidad de
clase internacional a travs de la mejora continua de los procesos y el pleno
compromiso de nuestros colaboradores

La empresa se encuentra conformada por una junta de directorio y cinco gerencias,

cuya caracterstica es que todas son administradas por los integrantes de la familia, a
excepcin de la gerencia general, que actualmente viene siendo dirigida por un
gerente adjunto que no pertenece a la familia, lo cual nos indica un avance hacia la
profesionalizacin. Una gerencia importante para la realizacin de esta tesis es la
Gerencia de Administracin; dentro de ella le reportan el rea de Contralora y el rea
de Sistemas.

La razn de ser de esta empresa est dividida en dos sectores. Por un lado, es la
produccin, venta y distribucin de harinas del tipo industrial, siendo esta su principal
fuente de ingresos, debido a que representan el 70% del total de sus ingresos. Por
otro lado, la venta de fideos, que podemos comentar que son comercializados a nivel
nacional e internacional.

Su principal plaza de distribucin se centra a nivel nacional, siendo Lima quien

sobresale de las provincias, sin embargo tambin tiene presencia internacional en
ocho pases.

Referente a su produccin, comentamos que tiene un nivel de ventas de 105 millones

de soles anuales, de los cuales 15 millones de soles corresponden a utilidades netas.

La empresa ocupa el quinto lugar en el rubro de harinas a nivel nacional. Tiene una
cartera importante de clientes, entre los que se encuentran PYMES y grandes
corporaciones como supermercados peruanos, fbrica de chocolates del Per,
Supermercados Wong, entre otros

Descripcin del rea de sistemas

El rea de Sistemas reporta directamente a la Gerencia de Administracin. Est

conformada por seis personas: un supervisor de sistemas, un analista, tres
programadores y un tcnico. Adems, cuenta con el apoyo de dos personas externas,
un asesor y su asistente, quienes se encargan de velar por la gestin de la cartera de
proyectos. El rea de Sistemas brinda soporte a todas las reas internas de la
empresa

Una caracterstica a mencionar es que la empresa apuesta por el desarrollo del rea,
de tal forma que a partir del 2010 se asign un mayor presupuesto en tecnologa (100
mil soles el 2010 y 300 mil soles el 2013). Hoy, este presupuesto, representa el 3.5%
del presupuesto general, respecto al 1.5% de aos anteriores. Entre sus principales
tareas se encuentran: gestin de proyectos de tecnologa, soporte a las principales
aplicaciones y, adems, a la infraestructura tecnolgica de la empresa

Cuenta con equipos propios de infraestructura tecnolgica, el software utilizado en

toda la organizacin es licenciado y cuenta con ms 200 licencias Microsoft. Adems,
cuenta con aplicaciones propias que apoyan a sus procesos de negocio, como es el
caso de su ERP MOL con mdulos de produccin, ventas, contabilidad y almacn; el
nuevo ERP SBA, que se encarga de las planillas, logstica, cuentas por pagar y cobrar,
tesorera y contabilidad; un sistema para toma de pedidos en telfonos Nextel; un
sistema para tramites documentarios METSA; y un sistema para registro de ingresos y
salidas del personal

3.1.4. RESULTADOS QUE SE OBTIENEN AL IMPLEMENTAR EL COBIT

* El ciclo de vida de costos de IT ser ms transparente y predecible.

* IT entregara informacin de mayor calidad y en menor tiempo.

* IT brindara servicios con mayor calidad y todos los proyectos apoyados en IT

sern ms exitosos.

* Los requerimientos de seguridad y privacidad sern ms fcilmente

identificados, y su implementacin podr ser ms fcilmente monitoreada.

* Todos los riesgos asociados a IT sern gestionados con mayor efectividad.

* El cumplimiento de regulaciones relacionadas a IT sern una prctica normal

dentro de su gestin.

3.1.5. POR QU IMPLEMENTAR UN SISTEMA INFORMATIVO-CONTABLE?

Cada vez ms empresas se enfrentan a demandas de rentabilidad. Calidad y

tecnologas que contribuyan al desarrollo sostenible. Un sistema de gestin eficiente le
puede ayudar a convertir esas presiones en una ventaja competitiva.

Anlisis de la empresa y su entorno

El primer paso a la hora de implementar un sistema es el anlisis de la
empresa o sistema a controlar objeto del trabajo
Anlisis de operaciones
Analizadas las empresas y su entorno, la parte fundamental y ms laboriosa de
cara a nuestro objetivo, es el anlisis pormenorizado de todas las operaciones
que realiza o va a realizar nuestra empresa
 CONCLUSIONES

El estndar COBIT ofrece una completa gua de alto nivel para la definicin y
evaluacin de los procesos de negocios relacionados con los Sistemas de
Informacin. Por otra parte, permite el uso de otros marcos de trabajo ms
especficos como CMMI, ITIL, etc.) sin perder la compatibilidad gracias al
carcter generalista de COBIT.

En el futuro, continuaremos viendo el crecimiento de COBIT en sus facetas de

administracin y direccin de los recursos de tecnologa. Aparecern nuevas
herramientas de la familia de productos COBIT y nuevos recursos con los
cuales mejorar la administracin. Se continuar refinando el producto en s,
mejorando la calidad de sus referencias cruzadas, su relacionamiento con otros
modelos, estndares y normas.

Las tendencias de estndares que van surgiendo, van paralelas con lo que
aceleradamente ha sucedido en el sector privado, esto es, dado que se han
gestado numerosos proyectos de sistemas de informacin que han fracasado,
y la dura realidad del incumplimiento de los mismos con las necesidades
propias de los clientes y del negocio en s, hubo un incremento dramtico en el
nmero de organizaciones en el sector privado que estn persiguiendo
agresivamente el uso de estndares y mejores prcticas, como su estrategia
primordial de supervivencia.
La auditora hizo grandes avances en la ltima dcada, pero aparentemente no
ha seguido el ritmo de la economa en tiempo real. Algunos enfoques y
tcnicas de auditora que fueron valiosas en el pasado aparecen ahora como
obsoletas. Adems, la evolucin de la auditora ha llegado a un momento
crtico por el que los auditores pueden llevar ya sea en la promocin y la
adopcin de la auditora futura o seguir, para adherirse al paradigma ms
tradicional de alguna manera.
Los auditores tendrn que poseer competencias tcnicas y analticas
sustanciales, que en la actualidad no son componentes de los contenidos
curriculares de la mayora de los planes de estudios de la carrera de
contabilidad.
 Cualquier tipo de empresa puede adoptar una metodologa COBIT, como parte
deun proceso de reingeniera en aras dereducir los ndices de incertidumbre
sobre vulnerabilidades y riesgos de los recursos IT y consecuentemente, sobre
la posibilidad de evaluar el logro de losobjetivos del negocio apalancado en
procesos tecnolgicos.
En el mercado en que nos encontramos en la actualidad en un mundo
globalizado, es fundamental la comunicacin asertiva, y ms an del entorno
en que nos desenvolvemos, es por ello que las organizaciones deben buscar
cmo generar, dirigir, controlar y dar seguridad a todos los procesos e
informacin que se maneja dentro de ella, el COBIT es una gran alternativa
que permite realizar todo lo anterior de manera eficiente, eficaz, confiable,
integral, de calidad y lo ms importante totalmente seguro.
La implementacin del COBIT adems de ser un modelo que facilita la
auditoria de la informacin y la tecnologa en las organizaciones, permite
tambin obtener beneficios en cuanto a reduccin de costos y al mismo tiempo
conocer su comportamiento de acuerdo a IT, y de esta manera actuar con
bases de informacin transparente y verificable, al mismo tiempo de brindar
una herramienta de calidad y mucha seguridad.
 BIBLIOGRAFIA

http://www.eafit.edu.co/escuelas/administracion/consultorio-
contable/Documents/boletines/auditoria-control/b13.pdf
file:///C:/Users/PC1/Downloads/Objetivos_de_Control-Control_Objectives.pdf
http://cobitequipo03.blogspot.pe/p/la-evaluacion-de-la-capacidad-de-los.html
http://revistas.upc.edu.pe/index.php/sinergia/article/viewFile/213/336
https://cobitfumc2016.wordpress.com/
file:///C:/Users/USUARIO/Downloads/11045-38825-1-PB.pdf
https://prezi.com/pknjoivddrdu/empresas-con-certificaciones-de-itil-y-cobit/