Auditora en Sistemas de

Informacn
- ASI Ing. Diana E. Solrzano, CISA
Ing. Mara Virginia Reyes

OBJETIVO DE CONTROL
PARA LA INFORMACIN Y
LA TECNOLOGIA (COBIT)

Agenda Unidad 4

Reporte COSO

Origen COSO

Componentes - COSO

COBIT Origen

COBIT - EVOLUCION

Dominios, Procesos y Objetivos de Control

Planeacin y Organizacin

Adquisicin e Implementacin

Entrega de Servicios y Soporte

Monitoreo

Elementos de cada uno de los Procesos de COBIT

Modelo de Madurez de COBIT
3

COSO Report: Origen y Caracteristicas

Origen del COSO Report
COSO - Committee of Sponsoring Organizations of the Treadway
Commission
Un conjunto de organizaciones profesionales, con marcado interes en
el Control Interno actuaron como auspiciantes del proceso que di
origen el estudio:
American Accounting Association (AAA)
American Institute of Certified Public Accountants (AICPA)
The Institute of Internal Auditors (IIA)
Institute of Management Accountants (IMA)
Financial Executives Institute (FEI)

COSO Report: Origen y Caracteristicas

Objetivos logrados por el COSO Report
Establecer una definicin comn de Control Interno que satisfizo a todas las
partes involucradas
Proveer un estandard a partir del cual las Organizaciones (grandes o
pequeas, pblicas o privadas, con o sin fines de lucro), puedan evaluar sus
procesos de control y determinar como mejorar la performance.

Coso Report es un MARCO que define el control interno, describe sus

componentes y proporciona criterios para que los gerentes, directores y
otros usuarios puedan evaluar sus procesos de control.

CONTROL INTERNO: Definicin

"El control interno es un proceso llevado a cabo por el directorio,
gerencia y personal de una entidad diseado para proveer una seguridad
razonable en relacin al logro de los objetivos en las siguientes
categoras:

Efectividad y eficiencia de las operaciones

Confiabilidad de los reportes financieros (informes contables)
Cumplimiento de las leyes y regulaciones aplicables"

COSO: Cinco componentes que conforman el enfoque

Supervisin
Supervisin yy Seguimiento
Seguimiento

Actividades
Actividades de
de Control
Control

Evaluacin
Evaluacin del
del funcionamiento
funcionamiento

Polticas/procedimientos
Polticas/procedimientos que
que

Combinacin
Combinacin de
de evaluacin
evaluacin

Gama
Gama de
de actividades
actividades que
que incluye
incluye

del
del sistema
sistema de
de control
control en
en el
el
tiempo.
tiempo.

aseguran
aseguran que
que se
se efectan
efectan las
las
directivas
de
la
gerencia.
directivas de la gerencia.

constante
constante ee independiente.
independiente.

aprobaciones,
aprobaciones, autorizaciones,
autorizaciones,
verificaciones,
verificaciones, recomendaciones,
recomendaciones,
revisiones
de
rendimiento,
revisiones de rendimiento,
salvaguarda
salvaguarda de
de activos
activos yy
separacin
separacin de
de funciones.
funciones.

Actividades
Actividades de
de los
los niveles
niveles de
de
supervisin
supervisin yy gerencia.
gerencia.

Actividades
Actividades de
de auditora
auditora interna.
interna.
Informacin
Informacin yy Comunicacin
Comunicacin

Informacin
Informacin pertinente
pertinente

determinada,
determinada, capturada
capturada yy
comunicada
comunicada en
en forma
forma oportuna.
oportuna.

Acceso
Acceso aa informacin
informacin generada
generada
interna
interna yy externamente.
externamente.

Flujo
Flujo de
de informacin
informacin que
que permite
permite
acciones
acciones de
de control
control exitosas
exitosas
desde
instrucciones
desde instrucciones sobre
sobre
responsabilidades
responsabilidades aa resumen
resumen de
de
observaciones
observaciones para
para accin
accin de
de la
la
gerencia
gerencia

Ambiente
Ambiente de
de Control
Control

Establece
Establece un
un entorno
entorno en
en la
la

organizacin
organizacin que
que estimula
estimula la
la
concientizacin
concientizacin de
de su
su personal
personal
respecto
respecto al
al control.
control.

Los
Los factores
factores incluyen
incluyen integridad,
integridad,
valores
valores ticos,
ticos, competencia,
competencia,
autoridad,
responsabilidad.
autoridad, responsabilidad.

Evaluacin
Evaluacin de
de riesgos
riesgos

Evaluacin
Evaluacin de
de riesgos
riesgos es
es la
la

determinacin
determinacin yy el
el anlisis
anlisis de
de
riesgos
riesgos importantes
importantes para
para lograr
lograr los
los
objetivos
de
la
entidad
y
formar
objetivos de la entidad y formar la
la
base
base para
para determinar
determinar las
las
actividades
actividades de
de control.
control.

Base
Base para
para todos
todos los
los dems
dems
componentes
componentes de
de control.
control.

COBIT el marco de ISACA

COBIT

TM

GOBIERNO, CONTROL
y AUDITORA de la INFORMACIN
y su TECNOLOGA RELACIONADA

COBIT es un marco de gobierno de las tecnologas de

informacin que proporciona una serie de herramientas
para que la gerencia pueda conectar los requerimientos de
control con los aspectos tcnicos y los riesgos del negocio
8

COBIT Ayuda a

COBIT permite el desarrollo de las polticas y buenas

prcticas para el control de las tecnologas en toda la
organizacin
COBIT enfatiza el cumplimiento regulatorio, ayuda a las
organizaciones a incrementar su valor a travs de las
tecnologas, y permite su alineamiento con los objetivos
del negocio.

Evolution of scope

EVOLUCIN DE COBIT

IT Governance
Management
Control
Audit
COBIT1

1996

COBIT2

1998

COBIT3

2000

COBIT4.0/4.1

2005/7

2012

10

CoBIT Necesidad de un marco de Control Interno de TI

Un marco normativo comn orientado al negocio

Flexible para adaptarse a diferentes necesidades, mltiples niveles para

mltiples necesidades

Destinado a
directores y gerentes
usuarios (clientes)
auditores

Para ayudarlos a obtener una garanta razonable respecto de la

contribucin de la TI a los objetivos de negocio
REQUERIMIENTOS
DE NEGOCIO

PROCESOS
DE TI

RECURSOS
DE TI
11

CoBIT - Dominios de Control en TI

OBJETIVOS DE NEGOCIO

COBIT
INFORMACION
eficacia
eficiencia
confidencialidad
integridad
disponibilidad
cumplimiento
confiabilidad

MONITOREO

PLANIFICACION Y
ORGANIZACION

RECURSOS DE TI
datos
sistemas de aplicacin
tecnologa
instalaciones
personal

ENTREGA Y SOPORTE

ADQUISICION E
IMPLEMENTACION

12

CoBIT - Dominios de Control en TI

OBJETIVOS DE NEGOCIO
PO1
PO1
PO2
PO2

definicin
definicinde
deun
unplan
planestratgico
estratgicode
deTITI
definicin
definicinde
delalaarquitectura
arquitectura de
delalainformacin
informacin

PO3
PO3
PO4
PO4

determinacin
determinacinde
delaladireccin
direccintecnolgica
tecnolgica
definicin
yylas
INFORMACION
definicinde
delalaorganizacin
organizacin
lasrelaciones
relaciones de
deTITI
eficacia
administracin
administracinde
delalainversin
inversinen
enTITI
eficiencia

PO5
PO5
PO6
PO6

COBIT

confidencialidad
comunicacin
de la
integridadde la
comunicacinde
delos
losobjetivos
objetivosyydirectivas
directivas
disponibilidad
gerencia
cumplimiento
gerencia
confiabilidad

PO7
administracin
PO7
administracinde
delos
losrecursos
recursoshumanos
humanos
PO8
garanta
PO8 MONITOREO
garantade
decumplimiento
cumplimientode
delos
losrequisitos
requisitos
RECURSOS
DE TI
externos
externos
PO9
PO9
PO10
PO10

datos
evaluacin
evaluacinde
deriesgos
riesgos
sistemas de aplicacin
tecnologa
administracin
de
proyectos
administracin de proyectos

PO11
PO11

administracin
personal
administracinde
delalacalidad
calidad

PLANIFICACION Y
ORGANIZACION

instalaciones

ENTREGA Y SOPORTE

ADQUISICION E
IMPLEMENTACION

13

PLANIFICAR Y ORGANIZAR
Este dominio cubre los siguientes cuestionamientos tpicos de
la gerencia:
Estn alineadas las estrategias de TI y del negocio?
La empresa est alcanzando un uso ptimo de sus
recursos?
Entienden todas las personas dentro de la organizacin los
objetivos de TI?
Es apropiada la calidad de los sistemas de TI para las
necesidades del negocio?

14

CoBIT - Dominios de Control en TI

OBJETIVOS DE NEGOCIO

COBIT

AI1
AI1
AI2
AI2

identificacin
identificacinde
desoluciones
soluciones
adquisicin
adquisicinyymantenimiento
mantenimientodel
delsoftware
softwarede
deaplicacin
aplicacin

AI3
AI3
AI4
AI4

adquisicin
INFORMACION
adquisicinyymantenimiento
mantenimientode
delalainfraestructura
infraestructuratecnolgica
tecnolgica
eficacia procedimientos de TI
desarrollo
desarrolloyymantenimiento
mantenimientode
de procedimientos de TI

AI5
AI5
AI6
AI6

confidencialidad
instalacin
de
instalacinyyacreditacin
acreditacin
desistemas
sistemas
integridad

disponibilidad
administracin
administracinde
decambios
cambios

MONITOREO

eficiencia

cumplimiento
confiabilidad

PLANIFICACION Y
ORGANIZACION

RECURSOS DE TI
datos
sistemas de aplicacin
tecnologa
instalaciones
personal

ENTREGA Y SOPORTE

ADQUISICION E
IMPLEMENTACION

15

ADQUIRIR E IMPLEMENTAR
Este dominio, por lo general, cubre los siguientes
cuestionamientos de la gerencia:
Es probable que los nuevos proyectos generan soluciones que
satisfagan las necesidades del negocio?
Trabajarn adecuadamente los nuevos sistemas una vez sean
implementados?
Los cambios no afectarn a las operaciones actuales del
negocio?

16

CoBIT - Dominios de Control en TI

OBJETIVOS DE NEGOCIO
ES1
ES1
ES2
ES2

definicin
definicinde
delos
losniveles
nivelesde
deservicio
servicio
administracin
administracinde
delos
losservicios
serviciosprestados
prestadospor
porterceros
terceros

ES3
ES3
ES4
ES4

administracin
administracinde
delalacapacidad
capacidadyydel
deldesempeo
desempeo
garanta
garantade
deun
unservicio
serviciocontinuo
continuo

ES5
ES5
ES6
ES6

garanta
lalaseguridad
eficacia
garantade
de
seguridadde
delos
lossistemas
sistemas
eficiencia
identificacin
eeimputacin
confidencialidad
identificacin
imputacinde
decostos
costos

ES7
ES7
ES8
ES8

educacin
disponibilidad
educaciny
ycapacitacin
capacitacinde
delos
losusuarios
usuarios
PLANIFICACION Y
cumplimiento
asistencia
y
asesoramiento
a
los
clientes
de
TI
confiabilidad
asistencia y asesoramiento a los clientes de TI ORGANIZACION

ES9
MONITOREO ES9
ES10
ES10
ES11
ES11
ES12
ES12
ES13
ES13

COBIT

INFORMACION
integridad

administracin
administracinde
delalaconfiguracin
configuracin
RECURSOS
DE
TI
administracin
administracinde
deproblemas
problemaseeincidentes
incidentes
administracin
de
datos
administracin
dedatos
datos
sistemas de aplicacin
administracin
de
tecnologa
administracin
deinstalaciones
instalaciones
instalaciones
administracin
de
administracin
deoperaciones
operaciones
personal

ENTREGA Y SOPORTE

ADQUISICION E
IMPLEMENTACION

17

ENTREGA Y SOPORTE
Por lo general cubre las siguientes preguntas de la gerencia:

Se estn entregando los servicios de TI de acuerdo con las

prioridades del negocio?
Estn optimizados los costos de TI?
Estn implantadas de forma adecuada la confidencialidad, la
integridad y la disponibilidad?

18

CoBIT - Dominios de Control en TI

OBJETIVOS DE NEGOCIO
M1
M1
M2
M2

monitoreo
monitoreode
delos
losprocesos
procesos
evaluacin
evaluacinde
delalaidoneidad
idoneidaddel
delcontrol
controlinterno
interno

M3
M3
M4
M4

obtencin
obtencinde
degaranta
garantaindependiente
independiente
INFORMACION
provisin
provisinde
deauditora
auditoraindependiente
independiente

COBIT

eficacia
eficiencia
confidencialidad
integridad
disponibilidad
cumplimiento
confiabilidad

MONITOREO

PLANIFICACION Y
ORGANIZACION

RECURSOS DE TI
datos
sistemas de aplicacin
tecnologa
instalaciones
personal

ENTREGA Y SOPORTE

ADQUISICION E
IMPLEMENTACION

19

MONITOREAR Y EVALUAR
Por lo general abarca las siguientes preguntas de la gerencia:
Se mide el desempeo de TI para detectar los problemas
antes de que sea demasiado tarde?
La Gerencia garantiza que los controles internos son
efectivos y eficientes?
Puede vincularse el desempeo de lo que TI ha realizado
con las metas del negocio?
Se miden y reportan los riesgos, el control, el cumplimiento
y el desempeo?
20

El Cubo de COBIT

PO, AE, DS, ME

21

Para cada uno de los 34 procesos se definen..

Descripcin del proceso

Indicadores de informacin y
domino

Objetivos de TI
Objetivos del Proceso
Prcticas Clave
Mtricas

Gobierno y recursos de TI
22

Modelo de Madurez - COBIT

23

CONSULTAS?