Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Que Es COBIT
Que Es COBIT
Contenido
[ocultar]
1 Ediciones
2 Misin
3 Val IT
4 Vase tambin
5 Enlaces externos
Ediciones
La primera edicin fue publicada en 1996; la segunda edicin en 1998; la tercera edicin en
2000 (la edicin on-line estuvo disponible en 2003); y la cuarta edicin en diciembre de
2005, y la versin 4.1 [1] est disponible desde mayo de 2007.
En su cuarta edicin, COBIT tiene 34 objetivos de alto nivel que cubren 210 objetivos de
control (especficos o detallados) clasificados en cuatro dominios: Planificacin y
Organizacin, Adquisicin e Implementacin, Entrega y Soporte, y, Supervisin y
Evaluacin. En ingls: Plan and Organize, Acquire and Implement, Deliver and Support,
and Monitor and Evaluate.
Misin
La misin de COBIT es "investigar, desarrollar, publicar y promocionar un conjunto de
objetivos de control generalmente aceptados para las tecnologas de la informacin que
sean autorizados (dados por alguien con autoridad), actualizados, e internacionales para el
uso del da a da de los gestores de negocios (tambin directivos) y auditores." Gestores,
auditores, y usuarios se benefician del desarrollo de COBIT porque les ayuda a entender
sus Sistemas de Informacin (o tecnologas de la informacin) y decidir el nivel de
seguridad y control que es necesario para proteger los activos de sus compaas mediante el
desarrollo de un modelo de administracin de las tecnologas de la informacin.
[editar] Val IT
Recientemente, ISACA ha publicado Val IT, que relaciona los procesos de COBIT con los
procesos de la gerencia mayor requeridos para conseguir un buen valor de las inversiones
en tecnologas de la informacin.
ndice
2. COBIT
3. Planificacin y Organizacin
4. Adquisicin e implementacin
5. Prestacin y Soporte
6. Monitoreo
7. Aplicacin de las Normas COBIT
8. Apndice I
9. Apndice II
1. Introduccin
El siguiente trabajo tiene la finalidad de exponer las Normas COBIT de manera simple y
comprensible. Para ello, adems de realizar un desarrollo terico de las mismas, incluimos
un anlisis de la situacin actual del Departamento de Recursos Humanos de la
organizacin INEXEI SCHOOL, explicamos si sus procedimientos respetan o no la norma,
e indicamos qu debera hacerse para que aplique y cumpla con un determinado proceso de
la norma.
El cuerpo del trabajo esta dividido en dos partes principales las cuales reflejan las
Caractersticas y Estructura de COBIT y el Relevamiento y Aplicacin de las Normas
COBIT en la Escuela. Adems, incluimos dos Apndices: en el apndice I indicamos los
componentes de COBIT como Producto y en el apndice II incorporamos la lista completa
de Dominios, Procesos y Objetivos de Control.
Para Finalizar, adjuntamos con esta monografa un disquette que contiene el Resumen
Ejecutivo (2 Edicin) de la norma y las Guas de Auditora de la misma, las cuales pueden
ser utilizadas por nuestros compaeros si desean profundizar ms en el estudio de COBIT,
y que en este trabajo son desarrolladas brevemente para no hacer tediosa la explicacin de
la norma y por razones de espacio obvias.
Usuarios:
Tambin puede ser utilizado dentro de las empresas por el responsable de un proceso de
negocio en su responsabilidad de controlar los aspectos de informacin del proceso, y por
todos aquellos con responsabilidades en el campo de la TI en las empresas.
Caractersticas:
Orientado al negocio
Alineado con estndares y regulaciones "de facto"
Basado en una revisin crtica y analtica de las tareas y actividades en TI
Alineado con estndares de control y auditoria (COSO, IFAC, IIA, ISACA,
AICPA)
Principios:
El enfoque del control en TI se lleva a cabo visualizando la informacin necesaria para dar
soporte a los procesos de negocio y considerando a la informacin como el resultado de la
aplicacin combinada de recursos relacionados con las TI que deben ser administrados por
procesos de TI.
Efectividad: La informacin debe ser relevante y pertinente para los procesos del
negocio y debe ser proporcionada en forma oportuna, correcta, consistente y
utilizable.
Eficiencia: Se debe proveer informacin mediante el empleo ptimo de los recursos
(la forma ms productiva y econmica).
Confiabilidad: proveer la informacin apropiada para que la administracin tome las
decisiones adecuadas para manejar la empresa y cumplir con sus responsabilidades.
Cumplimiento: de las leyes, regulaciones y compromisos contractuales con los
cuales est comprometida la empresa.
En COBIT se establecen los siguientes recursos en TI necesarios para alcanzar los objetivos
de negocio:
Procesos:
Objetivo: Asegura el conocimiento y comprensin de los usuarios sobre las aspiraciones del
alto nivel (gerencia), se concreta a travs de polticas establecidas y transmitidas a la
comunidad de usuarios, necesitndose para esto estndares para traducir las opciones
estratgicas en reglas de usuario prcticas y utilizables. Toma en cuenta:
Para ello se realiza una identificacin y anlisis de los requerimientos externos en cuanto a
su impacto en TI, llevando a cabo las medidas apropiadas para cumplir con ellos y se toma
en consideracin:
Para ello se realiza una identificacin y priorizacin de los proyectos en lnea con el plan
operacional por parte de la misma organizacin. Adems, la organizacin deber adoptar y
aplicar slidas tcnicas de administracin de proyectos para cada proyecto emprendido y se
toma en consideracin:
Para llevar a cabo la estrategia de TI, las soluciones de Ti deben ser identificadas,
desarrolladas o adquiridas, asi como implementadas e integradas dentro del proceso del
negocio. Adems, este dominio cubre los cambios y el mantenimiento realizados a sistemas
existentes.
Procesos:
Objetivo: Asegurar el mejor enfoque para cumplir con los requerimientos del usuario
Para ello se realiza un anlisis claro de las oportunidades alternativas comparadas contra los
requerimientos de los usuarios y toma en consideracin:
Para ello se realizara una evaluacin del desempeo del hardware y software, la provisin
de mantenimiento preventivo de hardware y la instalacin, seguridad y control del software
del sistema y toma en consideracin:
Objetivo: Verificar y confirmar que la solucin sea adecuada para el propsito deseado
En este dominio se hace referencia a la entrega de los servicios requeridos, que abarca
desde las operaciones tradicionales hasta el entrenamiento, pasando por seguridad y
aspectos de continuidad. Con el fin de proveer servicios, debern establecerse los procesos
de soporte necesarios. Este dominio incluye el procesamiento de los datos por sistemas de
aplicacin, frecuentemente clasificados como controles de aplicacin.
Procesos
Para ello se establecen convenios de niveles de servicio que formalicen los criterios de
desempeo contra los cuales se medir la cantidad y la calidad del servicio y se toma en
consideracin:
Objetivo: Asegurar que las tareas y responsabilidades de las terceras partes estn
claramente definidas, que cumplan y continen satisfaciendo los requerimientos
Para ello se establecen medidas de control dirigidas a la revisin y monitoreo de contratos y
procedimientos existentes, en cuanto a su efectividad y suficiencia, con respecto a las
polticas de la organizacin y toma en consideracin:
Objetivo: Asegurar que la capacidad adecuada est disponible y que se est haciendo el
mejor uso de ella para alcanzar el desempeo deseado.
Para ello se realizan controles de manejo de capacidad y desempeo que recopilen datos y
reporten acerca del manejo de cargas de trabajo, tamao de aplicaciones, manejo y
demanda de recursos y toma en consideracin:
Monitoreo
Planificacin de Severidad
Plan Documentado
Procedimientos Alternativos
Respaldo y Recuperacin
Pruebas y entrenamiento sistemtico y singulares
o Ds5 Garantizar la seguridad de sistemas
Para ello se realizan controles de acceso lgico que aseguren que el acceso a sistemas, datos
y programas est restringido a usuarios autorizados y toma en consideracin:
Monitoreo
Objetivo: Asegurar que los usuarios estn haciendo un uso efectivo de la tecnologa y estn
conscientes de los riesgos y responsabilidades involucrados
Para ello se realiza un sistema de contabilidad de costos que asegure que stos sean
registrados, calculados y asignados a los niveles de detalle requeridos y toma en
consideracin:
Monitoreo
Objetivo: asegurar que cualquier problema experimentado por los usuarios sea atendido
apropiadamente
Para ello se realiza un Bur de ayuda que proporcione soporte y asesora de primera lnea y
toma en consideracin:
Para ello se realizan controles que identifiquen y registren todos los activos de TI as como
su localizacin fsica y un programa regular de verificacin que confirme su existencia y
toma en consideracin:
Objetivo: Asegurar que los problemas e incidentes sean resueltos y que sus causas sean
investigadas para prevenir que vuelvan a suceder.
Objetivo: Asegurar que los datos permanezcan completos, precisos y vlidos durante su
entrada, actualizacin, salida y almacenamiento.
Este proceso deber controlar los documentos fuentes (de donde se extraen los datos), de
manera que estn completos, sean precisos y se registren apropiadamente. Se debern crear
tambin procedimientos que validen los datos de entrada y corrijan o detecten los datos
errneos, como as tambin procedimientos de validacin para transacciones errneas, de
manera que stas no sean procesadas. Cabe destacar la importancia de crear procedimientos
para el almacenamiento, respaldo y recuperacin de datos, teniendo un registro fsico
(discos, disquetes, CDs y cintas magnticas) de todas las transacciones y datos manejados
por la organizacin, albergados tanto dentro como fuera de la empresa.
La gerencia deber asegurar tambin la integridad, autenticidad y confidencialidad de los
datos almacenados, definiendo e implementando procedimientos para tal fin.
Objetivo: Asegurar que las funciones importantes de soporte de TI estn siendo llevadas a
cabo regularmente y de una manera ordenada
Esto se logra a travs de una calendarizacin de actividades de soporte que sea registrada y
completada en cuanto al logro de todas las actividades. Para ello, la gerencia deber
establecer y documentar procedimientos para las operaciones de tecnologa de informacin
(incluyendo operaciones de red), los cuales debern ser revisados peridicamente para
garantizar su eficiencia y cumplimiento.
6. Dominio: Monitoreo
Todos los procesos de una organizacin necesitan ser evaluados regularmente a travs del
tiempo para verificar su calidad y suficiencia en cuanto a los requerimientos de control,
integridad y confidencialidad. Este es, precisamente, el mbito de este dominio.
Procesos
Objetivo: Asegurar el logro de los objetivos establecidos para los procesos de TI. Lo cual se
logra definiendo por parte de la gerencia reportes e indicadores de desempeo gerenciales y
la implementacin de sistemas de soporte as como la atencin regular a los reportes
emitidos.
Para ello la gerencia podr definir indicadores claves de desempeo y/o factores crticos de
xito y compararlos con los niveles objetivos propuestos para evaluar el desempeo de los
procesos de la organizacin. La gerencia deber tambin medir el grado de satisfaccin del
los clientes con respecto a los servicios de informacin proporcionados para identificar
deficiencias en los niveles de servicio y establecer objetivos de mejoramiento,
confeccionando informes que indiquen el avance de la organizacin hacia los objetivos
propuestos.
Informe de Auditoria
Organizacin: Colegio Privado que brinda un servicio de educacin a nios de nivel inicial
y primario.
Objetivos de la Organizacin:
Polticas
Estrategias
Para con el
Personal
Los docentes de asignaturas especiales (plstica, msica, deportes, etc.) deben tener
experiencias mnimas en mas de una escuela y estar abalados con referencias por escrito
Antes de que un personal forme parte de la institucin debe conocer y firmar las
Normativas Institucionales donde se especifican todas las medidas, deberes y derechos de
todo el personal docente y no docente
Educativas
Confeccionar un PEI (Proy. Educ. Inst.) con los objetivos que cubran las orientaciones
Bilinge, deportiva, ecolgica y artstica.
La Direccin acadmica debe evaluar constantemente el trabajo de los docentes y elevar los
informes a la direccin general.
1-Realizar el reclutamiento: lograr que todos los puestos estn cubiertos por personal
competente que cubran el perfil institucional por un costo razonable.
a. Despidos: Terminacin legal de las relaciones con los empleados en la forma mas
beneficiosa para ellos y el colegio.
2-Administrar sueldos y jornales: lograr que todos los empleados estn remunerados
adecuada, equitativamente y en tiempo.
3- Promocionar las Relaciones institucionales: Asegurar que las relaciones de trabajo entre
la direccin general y los empleados al igual que la satisfaccin en el trabajo y oportunidad
de progreso del personal, sean desarrollados y mantenidos siguiendo los mejores intereses
del colegio y de los empleados. Tambin su funcin es la de desarrollar proyectos de
Relaciones Institucionales con el medio externo (otras instituciones escolares, clubes, etc.)
Negociacin de convenios
Interpretacin y administracin de estos
a. Investigacin de Personal:
5-Generar Informes
Personal Calificado, puesto que se verifica que el personal que lleva tareas especificas este
capacitado y para ello se realizan Talleres Docentes.
Cambios de puestos y Despidos, puesto que cuando se toman tales acciones se trata de que
sean oportunas y apropiadas, de tal manera que los controles internos y la seguridad no se
vean perjudicados por estos eventos.
Respaldo de Personal, puesto que no cuenta con suficiente personal de respaldo para
solucionar posibles ausencias. Tampoco el personal encargado de puestos delicados como
ser el Tesorero toma vacaciones interrumpidas con duracin suficiente como para probar la
habilidad de la organizacin para manejar casos de ausencia y detectar actividades
fraudulentas.
Conclusiones:
Por lo tanto, podemos especificar que para que la escuela cumpla con las normas COBIT en
cuanto al proceso "Administracin de Recursos Humanos" deber:
Realizar manuales de funciones, de manera que estn definidos todos los puestos de
trabajo y sus correspondientes funciones.
Realizar manuales de Procedimientos, de manera que los empleados puedan
identificar cuales son las tareas que deben realizar de acuerdo a su puesto y
funciones.
Establecer Procedimientos de Acreditacin, ya que de lo contrario se pueden tener
serios problemas por no haber realizado correctamente las investigaciones de
seguridad.
Proporcionar un entrenamiento "cruzado" de manera de tener personal de respaldo
con la finalidad de solucionar posibles ausencias, ya que la escuela no puede contar
con suficiente personal por su economa actual.
Definir y publicar formalmente las evaluaciones de rendimiento, de manera de
aplicarlas a la hora de hacer la evaluacin de desempeo para evitar problemas con
el personal docente y no docente.
8. Apndice I
COBIT como Producto, incluye:
En total se describen 302 objetivos de control detallados (de 3 a 30 objetivos por cada uno
de los procesos)
Este documento incluye guas detalladas para auditar cada uno de los 34 procesos teniendo
en cuenta los 302 objetivos de control detallados.
Para ayudar a determinar cuales son los adecuados niveles de seguridad y control integra
los conceptos de:
Modelo de madurez CMM (prcticas de Control)
Indicadores claves de Desempeo de los procesos de TI
Factores Crticos de xito a tener en cuenta para mantener bajo control los procesos de TI.
9. Apndice II
1.1 Tecnologa de Informacin como parte 5.1 Presupuesto Operativo Anual para la
del Plan de la Organizacin a corto y largo Funcin de Servicio de informacin
plazo
5.2 Monitoreo de Costo - Beneficio
1.2 Plan a largo plazo de Tecnologa de
Informacin 5.3 Justificacin de Costo - Beneficio
5.2 Adecuacin del Desempeo del Software 4.0 Aseguramiento de Servicio Continuo
de Aplicacin
4.1 Marco de Referencia de Continuidad de
5.3 Conversin Tecnologa de Informacin
5.4 Pruebas de Cambios 4.2 Estrategia y Filosofa de Continuidad de
Tecnologa de Informacin
5.5 Criterios y Desempeo de Pruebas en
Paralelo/Piloto 4.3 Contenido del Plan de Continuidad de
Tecnologa de Informacin
5.6 Prueba de Aceptacin Final
4.4 Minimizacin de requerimientos de
5.7 Pruebas y Acreditacin de Seguridad Continuidad de Tecnologa de Informacin
1.1 Marco de Referencia para el Convenio de 5.3 Seguridad de Acceso a Datos en Lnea
Nivel de Servicio
5.4 Administracin de Cuentas de Usuario
1.2 Aspectos sobre los Acuerdos de Nivel de
Servicio 5.5 Revisin Gerencial de Cuentas de
Usuario
1.3 Procedimientos de Ejecucin 5.6 Control de Usuarios sobre Cuentas de
Usuario
1.4 Monitoreo y Reporte
5.7 Vigilancia de Seguridad
1.5 Revisin de Convenios y Contratos de
Nivel de Servicio 5.8 Clasificacin de Datos
11.11 Manejo de Error en el Procesamiento 2.3 Reporte sobre el Nivel de Control Interno
de Datos
2.4 Seguridad de operacin y aseguramiento
11.12 Manejo y Retencin de Salida de de Control Interno
Datos
3.0 Obtencin de Aseguramiento
11.13 Distribucin de Salida de Datos Independiente
de los Servicios de TI
4.2 Independencia
4.4 Competencia
4.5 Planeacin
4.7 Reporte
La nueva versin de COBIT 4.1,, permite asegurar la alineacin de las TI con los objetivos
empresariales, el uso responsable de los recursos y la gestin apropiada de los riesgos.
Representa un perfeccionamiento del marco COBIT 4.0 y se puede utilizar para mejorar el
trabajo realizado con las versiones anteriores de COBIT. Incluye la medida del desempeo,
mejores objetivos de control y mejor alineacin con las metas de negocios y TI.
"COBIT es el nico marco de gestin que aborda el ciclo completo de vida de la inversin
en TI. Este marco apoya el logro de los objetivos empresariales de TI, asegura la alineacin
de las tecnologas de informacin de la empresa y mejora la eficiencia y eficacia de dichas
tecnologas", seal Roger Debreceny, presidente del comit directivo de COBIT de ITGI.
"COBIT 4.1 se basa en la orientacin prctica de directores de todo el mundo que utilizan
el marco para mejorar el gobierno de TI en sus organizaciones, por lo tanto, ha sido
sometido a pruebas y validado".
Acerca de ITGI
IT Governance Institute (ITGI) (www.itgi.org) es una organizacin independiente y sin
fines de lucro, fundada en 1998 por ISACA con el objeto de promover el pensamiento
internacional y las normas en la direccin y el control de la tecnologa de la informacin en
la empresa. ITGI desarroll COBIT y Val IT, y ofrece investigacin y estudio de casos para
ayudar a los lderes empresariales y los directores en todas sus responsabilidades en materia
de gobierno de IT.
Acerca de COBIT
El marco COBIT es aceptado internacionalmente como una buena prctica para el control
de la informacin, TI y los riesgos que conllevan. COBIT se utiliza para implementar el
gobierno y mejorar los controles de IT . Contiene objetivos de control, directivas de
aseguramiento, medidas de desempeo y resultados, factores crticos de xito y modelos de
madurez. Los casos de estudio de COBIT presentan organizaciones como Harley-Davidson,
Prudential Asia y Unisys, y se encuentran disponibles en www.itgi.org.