COBIT : MODELO PARA AUDITORIA Y

COBIT: MODELO PARA AUDITORIA Y CONTROL DE SISTEMAS DE INFORMACIÓN

Página 2

CONTROL DE SISTEMAS DE INFORMACIÓN

suficiencia en cuanto a los requerimientos
10 DE MAYO 2007 BOLETIN 54
de control.
La evaluación de los
requerimientos del negocio, los COBIT se aplica a los
Estos dominios agrupan objetivos de
recursos y procesos IT, son sistemas de información de
control de alto nivel, que cubren tanto
puntos bastante importantes toda la empresa, incluyendo
los aspectos de información, como de la
para el buen funcionamiento de los computadores personales
tecnología que la respalda. Estos
una compañía y para el y las redes. Está basado en
dominios y objetivos de control facilitan
aseguramiento de su la filosofía de que los
que la generación y procesamiento de la
supervivencia en el mercado. recursos TI necesitan ser
información cumplan con las
administrados por un
características de efectividad, eficiencia,
El COBIT es precisamente un conjunto de procesos El conjunto de lineamientos y estándares internacionales
confidencialidad, integridad,
modelo para auditar la gestión y naturalmente agrupados conocidos como COBIT, define un marco de referencia
disponibilidad, cumplimiento y
control de los sistemas de para proveer la información que clasifica los procesos de las unidades de tecnología de
confiabilidad.
información y tecnología, pertinente y confiable que información de las organizaciones en cuatro “dominios”
orientado a todos los sectores de requiere una organización principales, a saber:
USUARIOS:
una organización, es decir, para lograr sus objetivos.
administradores IT, usuarios y PLANIFICACION Y ORGANIZACION:
• La Gerencia: para apoyar sus decisiones
por supuesto, los auditores La estructura del modelo
de inversión en TI y control sobre el
involucrados en el proceso. COBIT propone un marco de Este dominio cubre la estrategia y las tácticas y se refiere
rendimiento de las mismas, analizar el costo
acción donde se evalúan los a la identificación de la forma en que la tecnología de
beneficio del control.
El COBIT es un modelo de criterios de información, información puede contribuir de la mejor manera al logro
evaluación y monitoreo que como por ejemplo la de los objetivos del negocio. Además, la consecución de la
• Los Usuarios Finales: quienes obtienen
enfatiza en el control de negocios seguridad y calidad, se visión estratégica necesita ser planeada, comunicada y
una garantía sobre la seguridad y el control
y la seguridad IT y que abarca auditan los recursos que administrada desde diferentes perspectivas. Finalmente,
de los productos que adquieren interna y
controles específicos de IT desde comprenden la tecnología de deberán establecerse una organización y una
externamente.
una perspectiva de negocios. información, como por infraestructura tecnológica apropiadas.
ejemplo el recurso humano,
• Los Auditores: para soportar sus
Las siglas COBIT significan instalaciones, sistemas,
opiniones sobre los controles de los
Objetivos de Control para entre otros, y finalmente se - ADQUISION E IMPLANTACION:
proyectos de TI, su impacto en la
Tecnología de Información y realiza una evaluación sobre
organización y determinar el control mínimo
Tecnologías relacionadas (Control los procesos involucrados en Para llevar a cabo la estrategia de TI, las soluciones de TI
requerido.
Objectives for Information la organización. deben ser identificadas, desarrolladas o adquiridas, así
Systems and related Área de Auditoria y como implementadas e integradas dentro del proceso del
• Los Responsables de TI: para identificar
Technology). El modelo es el Control negocio. Además, este dominio cubre los cambios y el
los controles que requieren en sus áreas.
resultado de una investigación “La adecuada mantenimiento realizados a sistemas existentes.
con expertos de varios países, implementación de un
También puede ser utilizado dentro de las
desarrollado por ISACA modelo COBIT en una
empresas por el responsable de un proceso
(Information Systems Audit and organización, provee una - SOPORTE Y SERVICIOS:
de negocio en su responsabilidad de
Control Association). herramienta automatizada,
controlar los aspectos de información del
para evaluar de manera ágil En este dominio se hace referencia a la entrega de los
proceso, y por todos aquellos con
y consistente el servicios requeridos, que abarca desde las operaciones
responsabilidades en el campo de la TI en
COBIT, lanzado en 1996, es una cumplimiento de los tradicionales hasta el entrenamiento, pasando por
las empresas.
herramienta de gobierno de TI objetivos de control y seguridad y aspectos de continuidad. Con el fin de
que ha cambiado la forma en que controles detallados, que proveer servicios, deberán establecerse los procesos de
trabajan los profesionales de aseguran que los procesos y soporte necesarios. Este dominio incluye el procesamiento
CARACTERISTICAS:
tecnología. Vinculando tecnología recursos de información y de los datos por sistemas de aplicación, frecuentemente
informática y prácticas de tecnología contribuyen al clasificados como controles de aplicación.
control, el modelo COBIT logro de los objetivos del
• Orientado al negocio
consolida y armoniza estándares negocio en un mercado cada
• Alineado con estándares y regulaciones
de fuentes globales prominentes vez más exigente, complejo - MONITOREO:
"de facto"
en un recurso crítico para la y diversificado.
• Basado en una revisión crítica y analítica
gerencia, los profesionales de Todos los procesos necesitan ser evaluados regularmente
de las tareas y actividades en TI
control y los auditores. a través del tiempo para verificar su calidad y
• Alineado con estándares de control y
auditoria (COSO, IFAC, IIA, ISACA, AICPA)
Página 3 BOLETIN 54 Página 1 BOLETIN 54

PRINCIPIOS
TECNOLOGÍA INSTALACIONES
El enfoque del control en TI se lleva a cabo visualizando la información necesaria para dar soporte a los
incluye hardware y software básico, sistemas Incluye los recursos necesarios para alojar y
procesos de negocio y considerando a la información como el resultado de la aplicación combinada de
operativos, sistemas de administración de dar soporte a los sistemas de información.
recursos relacionados con las TI que deben ser administrados por procesos de TI.
bases de datos, de redes, telecomunicaciones,
multimedia, etc.
Requerimientos de la información del negocio:
Para alcanzar los requerimientos de negocio, la información necesita satisfacer ciertos criterios:

Requerimientos de Calidad: Calidad, Costo y Entrega. RECURSO HUMANO

Requerimientos Fiduciarios: Efectividad y Eficiencia operacional, Confiabilidad de los reportes financieros Por la habilidad, conciencia y productividad del personal para planear, adquirir, prestar servicios,
y Cumplimiento le leyes y regulaciones. dar soporte y monitorear los sistemas de Información, o de procesos de TI.

EFECTIVIDAD EFICIENCIA
La información debe ser relevante y pertinente Se debe proveer información mediante el TECNOLOGIAS DE INFORMACIÓN
para los procesos del negocio y debe ser empleo óptimo de los recursos (la forma más
proporcionada en forma oportuna, correcta, productiva y económica). Un elemento crítico para el éxito y la supervivencia Bajo este escenario, una adecuada administración de
consistente y utilizable. de las organizaciones, es la administración efectiva los recursos de TI es fundamental para mejorar la
de la información y de la Tecnología de Información calidad de los productos y servicios brindados por el
(TI) relacionada. En esta sociedad global (donde la área, lo que se reflejará en mejoras en los procesos
CONFIABILIDAD CUMPLIMIENTO información viaja a través del “ciberespacio” sin las que respalda, y en el nivel de seguridad y control con
restricciones de tiempo, distancia y velocidad) esta el cual se trabaja, elevando su capacidad para
proveer la información apropiada para que la de las leyes, regulaciones y compromisos criticidad emerge de: satisfacer los objetivos de cumplimiento definidos en
administración tome las decisiones adecuadas contractuales con los cuales está la estructura d e control interno de la organización,
para manejar la empresa y cumplir con sus comprometida la empresa. > La creciente dependencia en información y en los reduciendo además los costos administrativos
responsabilidades. sistemas que proporcionan dicha información asociados al entorno informático.
> La creciente vulnerabilidad y un amplio espectro de
amenazas, tales como las “ciber amenazas” y la (COBIT), define un marco de referencia que clasifica
Requerimientos de Seguridad: Confidencialidad, Integridad y Disponibilidad guerra de información los procesos de las unidades de tecnología de
> El costo de las inversiones actuales y futuras en información de las organizaciones en cuatro (4)
CONFIDENCIALIDAD INTEGRIDAD información y en tecnología de información; y “dominios” principales, a saber:
> El potencial que tienen las tecnologías para - Planificación y organización
Protección de la información sensible contra Refiere a lo exacto y completo de la cambiar radicalmente las organizaciones y las - Adquisición e implantación
divulgación no autorizada. información así como a su validez de acuerdo prácticas de negocio, crear nuevas oportunidades y - Soporte y Servicios
con las expectativas de la empresa. reducir costos. - Monitoreo

Para muchas organizaciones, la información y la Estos dominios agrupan objetivos de control de alto
DISPONIBILIDAD tecnología que la respalda, representan los activos nivel, que cubren tanto los aspectos de información,
más valiosos de la empresa, por lo que la gestión de como de la tecnología que la respalda. En conjunto,
accesibilidad a la información cuando sea requerida por los procesos del negocio y la salvaguarda los riesgos asociados de la Tecnología de estos dominios y los objetivos de control, facilitan que
de los recursos y capacidades asociadas a la misma. Información, o Gobernabilidad de TI (IT Governance), la generación y procesamiento de la información
ha ganado notoriedad en tiempos recientes como un cumplan con las características de efectividad,
aspecto clave de la gobernabilidad corporativa, dada eficiencia, confidencialidad, integridad, disponibilidad,
En COBIT se establecen los siguientes recursos en TI necesarios para alcanzar los objetivos de su capacidad de proporcionar valor agregado al cumplimiento y confiabilidad. Asimismo, se deben
negocio: negocio, balanceando la relación entre el riesgo y el tomar en cuenta los recursos que proporciona la
retorno de la inversión sobre TI y sus procesos. Estos Tecnología de Información, tales como: datos,
aspectos se enfatizan en el Marco de referencia sistemas de aplicación, tecnología (plataformas),
DATOS APLICACIONES COBIT, el cual se define como conjunto de Objetivos instalaciones y el recurso humano.
de Control para la Información y Tecnologías
Todos los objetos de información. Considera Entendidas como sistemas de información, que Relacionadas.
información interna y externa, estructurada o integran procedimientos manuales y
no, gráficas, sonidos, etc. sistematizados.