Académique Documents
Professionnel Documents
Culture Documents
ALUMNOS:
•DAVID VERA OLIVERA
•CRISTIAN RIVERA
COBIT
Information Information
Systems Audit and Systems Audit and
Control Control Foundation
Association (ISACFTM)
(ISACATM)
Historia ISACA
• Fundada in 1969, como EDP
Auditors Association
• Más de 26,000 miembros en más
de 100 paises
• Más de 160 capítulos alrededor del
mundo
• Antecedentes
• Definición, Misión y Usuarios
• Características Generales
• Principios (Requerimientos de
Información, Recursos de TI y Procesos de
TI)
• Estructura de CobiT
• CobiT como Producto (Componentes)
• CobiT y Otros estándares
Antecedentes
• El gremio de profesionales en TI se
mostró preocupado por la falta de
una guía estándar sobre el control en
TI, que sirviera para diferentes
grupos de interés.
• LA ISACF, como órgano que agrupa a
profesionales de diferentes áreas
interesados en el control de TI, se dió
a la tarea de dearrollar un conjunto
común de conceptos sobre la
materia.
Antecedentes
• COBIT Integra y concilia normas y
reglamentaciones existentes como:
– ISO (9000-3)
– Códigos de Conducta del Consejo Europeo
– COSO, IFAC, IIA, ISACA, AICPA y Otras
• Incluye el contenido de los Objetivos de
Control emitidos por ISACA (EDPAA)
• Se publica por 1ra vez en Septiembre de
1996
• Se publica la 2a Edición en Abril de 1988
• Se publicó la 3a Edición en Marzo de
2000
Definición
Control
OBjectives
for Information
and Related Technology
(Objetivos de Control para
Tecnología de Información y
Tecnologías realacionadas)
Misión
• Orientado al negocio
• Alineado con estándares y
regulaciones “de facto”
• Basado en una revisión crítica y
analítica de las tareas y actividades
en TI
• Alineado con estándares de control y
auditoría (COSO, IFAC, IIA, ISACA,
AICPA)
Principios
REQUERIMIENTOS
DE INFORMACIÓN
DEL NEGOCIO
PROCESOS
DE TI
RECURSOS
DE TI
Requerimientos de la
Información del Negocio
CobiT combina los principios contenidos por modelos existentes
y conocidos, como COSO, SAC y SAS
Requerimientos Calidad.
de Calidad Costo.
Oportunidad.
Requerimientos Confidencialidad.
de Seguridad Integridad.
Disponibilidad.
Objetivos del Definir un plan estratégico de TI
Definir la arquitectura de información
Negocio Determinar la dirección tecnológica
Definir la organización y relaciones de TI
Manejo de la inversión en TI
Seguimiento de los procesosEvaluar lo Comunicación de la directrices Gerenciales
adecuado del control Interno Administración del Recurso Humano
Obtener aseguramiento inndependiente
Proveer una auditoría independiente
CobiT Asegurar el cumplir requerimientos externos
Evaluación de Riesgos
Administración de Proyectos
Administración de Calidad
Req. Información
Efectividad, Eficiencia,
Confidencialidad, Integridad,
Seguimiento Disponibilidad, Planeación y
Cumplimiento, Confiabilidad
Organización
Recursos de TI
Datos, Aplicaciones
Definición del nivel de servicio
Admistración del servicio de terceros Tecnología, Instalaciones, Adquisición e
Admon de la capacidad y el desempeño Recurso Humano Implementación
Asegurar el servicio continuo
Garantizar la seguridad del sistema
Identificación y asignación de costos
Capacitación de usuarios
Soporte a los clientes de TI
Admistración de la configuración Servicios y Identificación de soluciones
Administración de problemas e incidentes
Administración de datos
Soporte Adquisición y mantenimiento de SW aplicativo
Adquisición y mantenimiento de arquitectura TI
Administración de Instalaciones Desarrollo y mantenimiento de Procedimientos de TI
Administración de Operaciones Instalación y Acreditación de sistemas
Administración de Cambios
Requerimientos de la
Información del
Negocio
• Efectividad: La información debe ser relevante y pertinente
para los procesos del negocio y debe ser proporcionada en
forma oportuna, correcta, consistente y utilizable
• Eficiencia: Se debe proveer información mediante el
empleo óptimo de los recursos (la forma más productiva y
económica)
• Confidencialidad: Protección de la información sensitiva
contra divulgación no autorizada
• Integridad: Refiere a lo exacto y completo de la información
así como a su validez de acuerdo con las expectativas de la
empresa.
Requerimientos de la
Información del Negocio
• Disponibilidad: accesibilidad a la información cuando sea
requerida por los procesos del negocio y la salvaguarda de
los recursos y capacidades asociadas a los mismos.
• Cumplimiento: de las leyes, regulaciones y compromisos
contractuales con los cuales está comprometida la empresa.
• Confiabilidad: proveer la información apropiada para que la
administración tome las decisiones adecuadas para manejar
la empresa y cumplir con las responsabilidades de los
reportes financieros y de cumplimiento normativo.
Recursos de TI
• Datos: Todos los objetos de información. Considera información
interna y externa, estructurada o nó, gráficas, sonidos, etc.
• Aplicaciones: entendido como los sistemas de información,
que integran procedimientos manuales y sistematizados.
• Tecnología: Incluye hardware y software básico, sistemas
operativos, sistemas de administración de bases de datos, de
redes, telecomunicaciones, multimedia, etc.
• Instalaciones: Incluye los recursos necesarios para alojar y dar
soporte a los sistemas de información.
• Recurso Humano: Por la habilidad, conciencia y productividad
del personal para planear, adquirir, prestar servicios, dar
soporte y monitorear los sistemas de Información.
Objetivos del Definir un plan estratégico de TI
Definir la arquitectura de información
Negocio Determinar la dirección tecnológica
Definir la organización y relaciones de TI
Manejo de la inversión en TI
Seguimiento de los procesos Comunicación de la directrices Gerenciales
Evaluar lo adecuado del control Interno Administración del Recurso Humano
Obtener aseguramiento inndependiente
Proveer una auditoría independiente
CobiT Asegurar el cumplir requerimientos externos
Evaluación de Riesgos
Administración de Proyectos
Administración de Calidad
Req. Información
Efectividad, Eficiencia,
Confidencialidad, Integridad,
Seguimiento Disponibilidad, Planeación y
Cumplimiento, Confiabilidad
Organización
Recursos de TI
Datos, Aplicaciones
Definición del nivel de servicio
Admistración del servicio de terceros Tecnología, Instalaciones, Adquisición e
Admon de la capacidad y el desempeño Recurso Humano Implementación
Asegurar el servicio continuo
Garantizar la seguridad del sistema
Identificación y asignación de costos
Capacitación de usuarios
Soporte a los clientes de TI
Admistración de la configuración Servicios y Identificación de soluciones
Administración de problemas e incidentes
Administración de datos
Soporte Adquisición y mantenimiento de SW aplicativo
Adquisición y mantenimiento de arquitectura TI
Administración de Instalaciones Desarrollo y mantenimiento de Procedimientos de TI
Administración de Operaciones Instalación y Acreditación de sistemas
Administración de Cambios
Procesos de TI
- Los Tres Niveles
Agrupación Natural de procesos,
Dominios normalmente corresponden a un
dominio o una responsabilidad
organizacional
Procesos
Conjuntos o series de actividades
unidas con delimitación o cortes de
control.
• Planeación y Organización
(Planning and Organization)
• Adquisición e implementación
(Acquisition and Implementation)
• Prestación de Servicios y
Soporte (Delivery and Support)
• Seguimiento (monitoring)
Procesos de TI
- Procesos
Planeación y Definir un plan estratégico de TI
Organización Definir la arquitectura de información
Determinar la dirección tecnológica
Definir la organización y relaciones de TI
Manejo de la inversión en TI
Comunicación de la directrices Gerenciales
Administración del Recurso Humano
Asegurar el cumplir requerimientos externos
Evaluación de Riesgos
Administración de Proyectos
Administración de Calidad
Definición
Este dominio cubre la estrategia y las tácticas y
se refiere a la identificación de la forma en que la
tecnología de información puede contribuir de la
mejor manera al logro de los objetivos de
negocio. Además, la consecución de la visión
estratégica necesita ser planeada, comunicada y
administrada desde diferentes perspectivas.
Finalmente, deberán establecerse una
organización y una infraestructura tecnológica
apropiadas.
Dominio: Planeación y Organización
Procesos
PO1 Definición de un plan Estratégico
Objetivo: Lograr un balance óptimo entre las
oportunidades de tecnología de información y los
requerimientos de TI de negocio
PO2 Definición de la Arquitectura de
Información
Objetivo: Satisfacer los requerimientos de
negocio, organizando de la mejor manera posible
los sistemas de información, a través de la
creación y mantenimiento de un modelo de
información de negocio
Dominio: Planeación y Organización
Definición
Para llevar a cabo la estrategia de TI, las
soluciones de Ti deben ser identificadas,
desarrolladas o adquiridas, así como
implementadas e integradas dentro del proceso
del negocio. Además, este dominio cubre los
cambios y el mantenimiento realizados a sistemas
existentes.
Dominio: Adquisición e Implementación
Procesos
AI1 Identificación de Soluciones
Automatizadas
Objetivo: Asegurar el mejor enfoque para cumplir
con los requerimientos del usuario.
AI2 Adquisición y mantenimiento del
software aplicativo
Objetivo: Proporciona funciones automatizadas
que soporten efectivamente al negocio.
Dominio: Adquisición e Implementación
Definición
En este dominio se hace referencia a la entrega
de los servicios requeridos, que abarca desde las
operaciones tradicionales hasta el entrenamiento,
pasando por seguridad y aspectos de continuidad.
Con el fin de proveer servicios, deberán
establecerse los procesos de soporte necesarios.
Este dominio incluye el procesamiento de los
datos por sistemas de aplicación, frecuentemente
clasificados como controles de aplicación.
Dominio: Prestación y Soporte
Procesos
Ds1 Definición de niveles de servicio
Objetivo: Establecer una comprensión común del
nivel de servicio requerido.
Ds2 Administración de servicios prestados
por terceros
Objetivo: Asegurar que las tareas y
responsabilidades de las terceras partes estén
claramente definidas.
Dominio: Prestación y Soporte
Definición
Todos los procesos de una organización necesitan
ser evaluados regularmente a través del tiempo
para verificar su calidad y suficiencia en cuanto a
los requerimientos de control, integridad y
confidencialidad. Este es, precisamente, el ámbito
de este dominio.
Dominio: Monitoreo
Procesos
M1 Monitoreo del Proceso
Objetivo: Asegurar el logro de los objetivos
establecidos para los procesos de TI.
M2 Evaluar lo adecuado del Control Interno
Objetivo: Asegurar el logro de los objetivos de
control interno establecidos para los procesos de
TI.
Dominio: Monitoreo
M3 Obtención de Aseguramiento
Independiente
Objetivo: Incrementar los niveles de confianza
entre la organización, clientes y proveedores
externos.
M4 Proveer Auditoria Independiente
Objetivo: Incrementar los niveles de confianza y
beneficiarse de recomendaciones basadas en
mejores prácticas de su implementación.
Estructura de
EVENTOS INFORMACIÓN
Criterios
Efectividad
Información Eficiencia
Confidencialidad
Integridad
Disponibilidad
Cumplimiento
Recursos de TI Confiabilidad
Datos
Aplicaciones
Tecnología Concuerdan
Instalaciones
Recurso Humano
Estructura de
Criterios de la Información (7)
CUBO de CobiT
Relación entre los a d
li d d
Recurso Humano
i a
componentes ad b rid
lid f ia u
a n g
Instalaciones
C e
Co S
Tecnología
Applicaciones
Dominios
Procesos TI
Datos
Procesos
TI
de
o s
Actividades r s
u
R ec
Objetivos del Definir un plan estratégico de TI
Definir la arquitectura de información
Negocio Determinar la dirección tecnológica
Definir la organización y relaciones de TI
Manejo de la inversión en TI
Seguimiento de los procesos Comunicación de la directrices Gerenciales
Evaluar lo adecuado del control Interno Administración del Recurso Humano
Obtener aseguramiento inndependiente
Proveer una auditoría independiente
CobiT Asegurar el cumplir requerimientos externos
Evaluación de Riesgos
Administración de Proyectos
Administración de Calidad
Req. Información
Efectividad, Eficiencia,
Confidencialidad, Integridad,
Seguimiento Disponibilidad, Planeación y
Cumplimiento, Confiabilidad
Organización
Recursos de TI
Datos, Aplicaciones
Definición del nivel de servicio
Admistración del servicio de terceros Tecnología, Instalaciones, Adquisición e
Admon de la capacidad y el desempeño Recurso Humano Implementación
Asegurar el servicio continuo
Garantizar la seguridad del sistema
Identificación y asignación de costos
Capacitación de usuarios
Soporte a los clientes de TI
Admistración de la configuración Servicios y Identificación de soluciones
Administración de problemas e incidentes
Administración de datos
Soporte Adquisición y mantenimiento de SW aplicativo
Adquisición y mantenimiento de arquitectura TI
Administración de Instalaciones Desarrollo y mantenimiento de Procedimientos de TI
Administración de Operaciones Instalación y Acreditación de sistemas
Administración de Cambios
Como Producto
• Resumen Ejecutivo
• Marco de Referencia (Framework)
• Objetivos de Control
• Guías de Auditoría
• Guías de Administración
• Herramientas de implementación
• CD-ROM
• 3a Edición disponible en español
- Resumen Ejecutivo
COSO 1992
SAC 1991/1994
Contribuciones
Conceptos de
al concepto de Control Interno Conceptos de
Control Interno Control Interno