Académique Documents
Professionnel Documents
Culture Documents
1 Dominios y Procesos
MARCO DE REFERENCIA
Auditoria de Sistemas
COBIT 4.1
COBIT es un marco de trabajo y un conjunto de herramientas de Gobierno de Tecnologa de Informacin (TI) que permite a la Gerencia cerrar la brecha entre los requerimientos de control, aspectos tcnicos y riesgos de negocios. COBIT habilita el desarrollo de polticas claras y buenas prcticas para el control de TI a lo largo de las organizaciones [2]. COBIT fue publicado por primera vez por ITGI en abril de 1996. Su ltima actualizacin COBIT 4.1 hace nfasis en el cumplimiento reglamentario, ayudando a la organizaciones a incrementar el valor de TI, destacando los vnculos entre los objetivos del negocio y TI, y simplificando la implementacin del marco de trabajo COBIT. Este marco de trabajo es la base para diferentes entes reguladores a nivel mundial, con la finalidad de lograr que las entidades reguladas optimicen sus inversiones de TI y administren adecuadamente sus riesgos tecnolgicos.
Recursos de ti
Los recursos de TI identificados en COBIT se pueden definir como sigue [1]: Las aplicaciones incluyen tanto sistemas de usuario automatizados como procedimientos manuales que procesan informacin. La informacin son los datos en todas sus formas, de entrada, procesados y generados por los sistemas de informacin, en cualquier forma en que sean utilizados por el negocio. La infraestructura es la tecnologa y las instalaciones (hardware, sistemas operativos, sistemas de administracin de base de datos, redes, multimedia, etc., as como el sitio donde se encuentran y el ambiente que los soporta) que permiten el procesamiento de las aplicaciones. Las personas son el personal requerido para planear, organizar, adquirir, implementar, entregar, soportar, monitorear y evaluar los sistemas y los servicios de informacin. Estas pueden ser internas, por outsourcing o contratadas, de acuerdo a como se requieran.
El Cubo de COBIT
Importancia de la Medicin
Una necesidad bsica de toda empresa es entender el estado de sus propios sistemas de TI y decidir qu nivel de administracin y control debe proporcionar. Para decidir el nivel correcto, la gerencia debe preguntarse: Hasta dnde debemos ir?, y est el costo justificado por el beneficio? La obtencin de una visin objetiva del nivel de desempeo propio de una empresa no es sencilla. Qu se debe medir y cmo? Las empresas deben medir dnde se encuentran y dnde se requieren mejoras, e implementar un juego de herramientas gerenciales para monitorear esta mejora. COBIT atiende estos temas a travs de: Modelos de madurez que facilitan la evaluacin por medio de benchmarking y la identificacin de las mejoras necesarias en la capacidad Metas y mediciones de desempeo para los procesos de TI, que demuestran cmo los procesos satisfacen las necesidades del negocio y de TI, y cmo se usan para medir el desempeo de los procesos internos basados en los principios de un marcador de puntuacin balanceado (balanced scorecard) . Metas de actividades para facilitar el desempeo efectivo de los procesos
Modelos de Madurez
Utilizando los modelos de madurez desarrollados para cada uno de los 34 procesos TI de COBIT, la gerencia podr identificar: El desempeo real de la empresaDnde se encuentra la empresa hoy El estatus actual de la industriaLa comparacin El objetivo de mejora de la empresaDnde desea estar la empresa El crecimiento requerido entre como es y como ser
Modelos de Madurez
Cada vez con ms frecuencia, se les pide a los directivos de empresas corporativas y pblicas que consideren qu tan bien se est administrando TI. Como respuesta a esto, se debe desarrollar un plan de negocio para mejorar y alcanzar el nivel apropiado de administracin y control sobre la infraestructura de informacin. Aunque pocos argumentaran que esto no es algo bueno, se debe considerar el equilibrio del costo beneficio y stas preguntas relacionadas: Qu est haciendo nuestra competencia en la industria, y cmo estamos posicionados en relacin a ellos? Cules son las mejores prcticas aceptables en la industria, y cmo estamos posicionados con respecto a estas prcticas? Con base en estas comparaciones, se puede decir que estamos haciendo lo suficiente? Cmo identificamos lo que se requiere hacer para alcanzar un nivel adecuado de administracin y control sobre nuestros procesos de TI?
Process Control
Cada proceso COBIT tiene requerimientos de control genricos que se identifican con PCn, que significa nmero de control de proceso: PC1 Dueo del proceso Asignar un dueo para cada proceso COBIT de tal manera que la responsabilidad sea clara. PC2 Reiterativo Definir cada proceso COBIT de tal forma que sea repetitivo. PC3 Metas y objetivos Establecer metas y objetivos claros para cada proceso COBIT para una ejecucin efectiva. PC4 Roles y responsabilidades Definir roles, actividades y responsabilidades claros en cada proceso COBIT para una ejecucin eficiente. PC5 Desempeo del proceso Medir el desempeo de cada proceso COBIT en comparacin con sus metas. PC6 Polticas, planes y procedimientos Documentar, revisar, actualizar, formalizar y comunicar a todas las partes involucradas cualquier poltica, plan procedimiento que impulse un proceso COBIT.
Controles
Los objetivos de control de TI proporcionan un conjunto completo de requerimientos de alto nivel a considerar por la gerencia para un control efectivo de cada proceso de TI. Ellos: Son sentencias de acciones de gerencia para aumentar el valor o reducir el riesgo Consisten en polticas, procedimientos, prcticas y estructuras organizacionales. Estn diseadas para proporcionar un aseguramiento razonable de que los objetivos de negocio se conseguirn y que los eventos no deseables se prevendrn, detectarn y corregirn. La gerencia de la empresa necesita tomar decisiones relativas a estos objetivos de control: Seleccionando aquellos aplicables. Decidir aquellos que deben implementarse. Elegir como implementarlos (frecuencia, extensin, automatizacin, etc.) Aceptar el riesgo de no implementar aquellos que podran aplicar.
Referencias
[1] ISACA. (2007). COBIT 4.1 en Espaol. IT Governance Institute. Retrieved Sept., 2009, from the World Wide Web: http://www.isaca.org/Content/NavigationMenu/Members_and_Leaders1 /COBIT6/Obtain_COBIT/cobiT4.1spanish.pdf [2] ITSOR_Consulting. (nd). Curso COBIT 4.1. Retrieved Sept., 2009, from the World Wide Web: http://www.itsor.net/pdf/ITSOR_COBIT_Brochure_VE.pdf [3] Rojas-Crsico, I. S. (nd). Trabajo de Auditoria: Normas COBIT. Retrieved Sept., 2009, from the World Wide Web: http://www.monografias.com/trabajos14/auditoriasistemas/auditoriasiste mas.shtml