Qu es COBIT?

COBIT es un acrnimo para Control Objectives for Information and related

Technology (Objetivos de Control para tecnologa de la informacin y
relacionada); desarrollada por la Information Systems Audit and Control
Association (ISACA) y el IT Governance Institute (ITGI).

COBIT es una metodologa aceptada mundialmente para el adecuado

control de proyectos de tecnologa, los flujos de informacin y los riesgos
que stas implican. La metodologa COBIT se utiliza para planear,
implementar, controlar y evaluar el gobierno sobre TIC; incorporando
objetivos de control, directivas de auditora, medidas de rendimiento y
resultados, factores crticos de xito y modelos de madurez.

Permite a las empresas aumentar su valor TIC y reducir los riesgos

asociados a proyectos tecnolgicos. Ello a partir de parmetros
generalmente aplicables y aceptados, para mejorar las prcticas de
planeacin, control y seguridad de las Tecnologas de Informacin.

COBIT contribuye a reducir las brechas existentes entre los objetivos de

negocio, y los beneficios, riesgos, necesidades de control y aspectos
tcnicos propios de un proyecto TIC; proporcionando un Marco Referencial
Lgico para su direccin efectiva.

Objetivos de control para la informacin y

tecnologas relacionadas
Objetivos de Control para Tecnologas de informacin y relacionadas (COBIT, en
ingls: Control Objectives for Information and related Technology) es un conjunto de
mejores prcticas para el manejo de informacin creado por la Asociacin para la Auditora
y Control de Sistemas de Informacin,(ISACA, en ingls: Information Systems Audit and
Control Association), y el Instituto de Administracin de las Tecnologas de la Informacin
(ITGI, en ingls: IT Governance Institute) en 1992.

Contenido
[ocultar]

1 Ediciones
2 Misin
3 Val IT
4 Vase tambin
5 Enlaces externos

Ediciones
La primera edicin fue publicada en 1996; la segunda edicin en 1998; la tercera edicin en
2000 (la edicin on-line estuvo disponible en 2003); y la cuarta edicin en diciembre de
2005, y la versin 4.1 [1] est disponible desde mayo de 2007.

En su cuarta edicin, COBIT tiene 34 objetivos de alto nivel que cubren 210 objetivos de
control (especficos o detallados) clasificados en cuatro dominios: Planificacin y
Organizacin, Adquisicin e Implementacin, Entrega y Soporte, y, Supervisin y
Evaluacin. En ingls: Plan and Organize, Acquire and Implement, Deliver and Support,
and Monitor and Evaluate.

Misin
La misin de COBIT es "investigar, desarrollar, publicar y promocionar un conjunto de
objetivos de control generalmente aceptados para las tecnologas de la informacin que
sean autorizados (dados por alguien con autoridad), actualizados, e internacionales para el
uso del da a da de los gestores de negocios (tambin directivos) y auditores." Gestores,
auditores, y usuarios se benefician del desarrollo de COBIT porque les ayuda a entender
sus Sistemas de Informacin (o tecnologas de la informacin) y decidir el nivel de
seguridad y control que es necesario para proteger los activos de sus compaas mediante el
desarrollo de un modelo de administracin de las tecnologas de la informacin.

[editar] Val IT
Recientemente, ISACA ha publicado Val IT, que relaciona los procesos de COBIT con los
procesos de la gerencia mayor requeridos para conseguir un buen valor de las inversiones
en tecnologas de la informacin.
ndice

2. COBIT
3. Planificacin y Organizacin
4. Adquisicin e implementacin
5. Prestacin y Soporte
6. Monitoreo
7. Aplicacin de las Normas COBIT
8. Apndice I
9. Apndice II

1. Introduccin

El siguiente trabajo tiene la finalidad de exponer las Normas COBIT de manera simple y
comprensible. Para ello, adems de realizar un desarrollo terico de las mismas, incluimos
un anlisis de la situacin actual del Departamento de Recursos Humanos de la
organizacin INEXEI SCHOOL, explicamos si sus procedimientos respetan o no la norma,
e indicamos qu debera hacerse para que aplique y cumpla con un determinado proceso de
la norma.

El cuerpo del trabajo esta dividido en dos partes principales las cuales reflejan las
Caractersticas y Estructura de COBIT y el Relevamiento y Aplicacin de las Normas
COBIT en la Escuela. Adems, incluimos dos Apndices: en el apndice I indicamos los
componentes de COBIT como Producto y en el apndice II incorporamos la lista completa
de Dominios, Procesos y Objetivos de Control.

Para Finalizar, adjuntamos con esta monografa un disquette que contiene el Resumen
Ejecutivo (2 Edicin) de la norma y las Guas de Auditora de la misma, las cuales pueden
ser utilizadas por nuestros compaeros si desean profundizar ms en el estudio de COBIT,
y que en este trabajo son desarrolladas brevemente para no hacer tediosa la explicacin de
la norma y por razones de espacio obvias.

2. COBIT (Objetivos de Control para Tecnologa de Informacin y Tecnologas

relacionadas)

COBIT, lanzado en 1996, es una herramienta de gobierno de TI que ha cambiado la forma

en que trabajan los profesionales de TI. Vinculando tecnologa informtica y prcticas de
control, COBIT consolida y armoniza estndares de fuentes globales prominentes en un
recurso crtico para la gerencia, los profesionales de control y los auditores.

COBIT se aplica a los sistemas de informacin de toda la empresa, incluyendo las

computadoras personales, mini computadoras y ambientes distribuidos. Esta basado en la
filosofa de que los recursos de TI necesitan ser administrados por un conjunto de procesos
naturalmente agrupados para proveer la informacin pertinente y confiable que requiere
una organizacin para lograr sus objetivos.
Misin: Investigar, desarrollar, publicar y promover un conjunto internacional y actualizado
de objetivos de control para tecnologa de informacin que sea de uso cotidiano para
gerentes y auditores

Usuarios:

La Gerencia: para apoyar sus decisiones de inversin en TI y control sobre el

rendimiento de las mismas, analizar el costo beneficio del control.
Los Usuarios Finales: quienes obtienen una garanta sobre la seguridad y el control
de los productos que adquieren interna y externamente.
Los Auditores: para soportar sus opiniones sobre los controles de los proyectos de
TI, su impacto en la organizacin y determinar el control mnimo requerido.
Los Responsables de TI: para identificar los controles que requieren en sus reas.

Tambin puede ser utilizado dentro de las empresas por el responsable de un proceso de
negocio en su responsabilidad de controlar los aspectos de informacin del proceso, y por
todos aquellos con responsabilidades en el campo de la TI en las empresas.

Caractersticas:

Orientado al negocio
Alineado con estndares y regulaciones "de facto"
Basado en una revisin crtica y analtica de las tareas y actividades en TI
Alineado con estndares de control y auditoria (COSO, IFAC, IIA, ISACA,
AICPA)

Principios:
El enfoque del control en TI se lleva a cabo visualizando la informacin necesaria para dar
soporte a los procesos de negocio y considerando a la informacin como el resultado de la
aplicacin combinada de recursos relacionados con las TI que deben ser administrados por
procesos de TI.

Requerimientos de la informacin del negocio

Para alcanzar los requerimientos de negocio, la informacin necesita satisfacer ciertos

criterios:

Requerimientos de Calidad: Calidad, Costo y Entrega.

Requerimientos Fiduciarios: Efectividad y Eficiencia operacional, Confiabilidad de los
reportes financieros y Cumplimiento le leyes y regulaciones.

Efectividad: La informacin debe ser relevante y pertinente para los procesos del
negocio y debe ser proporcionada en forma oportuna, correcta, consistente y
utilizable.
Eficiencia: Se debe proveer informacin mediante el empleo ptimo de los recursos
(la forma ms productiva y econmica).
 Confiabilidad: proveer la informacin apropiada para que la administracin tome las
decisiones adecuadas para manejar la empresa y cumplir con sus responsabilidades.
Cumplimiento: de las leyes, regulaciones y compromisos contractuales con los
cuales est comprometida la empresa.

Requerimientos de Seguridad: Confidencialidad, Integridad y Disponibilidad

Confidencialidad: Proteccin de la informacin sensible contra divulgacin no

autorizada
Integridad: Refiere a lo exacto y completo de la informacin as como a su validez
de acuerdo con las expectativas de la empresa.
Disponibilidad: accesibilidad a la informacin cuando sea requerida por los
procesos del negocio y la salvaguarda de los recursos y capacidades asociadas a la
misma.
Recursos de TI

En COBIT se establecen los siguientes recursos en TI necesarios para alcanzar los objetivos
de negocio:

Datos: Todos los objetos de informacin. Considera informacin interna y externa,

estructurada o no, grficas, sonidos, etc.
Aplicaciones: entendido como los sistemas de informacin, que integran
procedimientos manuales y sistematizados.
Tecnologa: incluye hardware y software bsico, sistemas operativos, sistemas de
administracin de bases de datos, de redes, telecomunicaciones, multimedia, etc.
Instalaciones: Incluye los recursos necesarios para alojar y dar soporte a los
sistemas de informacin.
Recurso Humano: Por la habilidad, conciencia y productividad del personal para
planear, adquirir, prestar servicios, dar soporte y monitorear los sistemas de
Informacin.

o Procesos de TI

La estructura de COBIT se define a partir de una premisa simple y pragmtica: "Los

recursos de las Tecnologas de la Informacin (TI) se han de gestionar mediante un
conjunto de procesos agrupados de forma natural para que proporcionen la informacin que
la empresa necesita para alcanzar sus objetivos".

COBIT se divide en tres niveles:

Dominios
Procesos
Actividades
Dominios: Agrupacin natural de procesos, normalmente corresponden a un dominio o una
responsabilidad organizacional.
Procesos: Conjuntos o series de actividades unidas con delimitacin o cortes de control.
Actividades: Acciones requeridas para lograr un resultado medible.
Se definen 34 objetivos de control generales, uno para cada uno de los procesos de las TI.
Estos procesos estn agrupados en cuatro grandes dominios que se detallan a continuacin
junto con sus procesos y una descripcin general de las actividades de cada uno:

3. Dominio: Planificacin y organizacin

Este dominio cubre la estrategia y las tcticas y se refiere a la identificacin de la forma en

que la tecnologa de informacin puede contribuir de la mejor manera al logro de los
objetivos de negocio. Adems, la consecucin de la visin estratgica necesita ser planeada,
comunicada y administrada desde diferentes perspectivas. Finalmente, debern establecerse
una organizacin y una infraestructura tecnolgica apropiadas.

Procesos:

PO1 Definicin de un plan Estratgico

Objetivo: Lograr un balance ptimo entre las oportunidades de tecnologa de informacin y

los requerimientos de TI de negocio, para asegurar sus logros futuros.
Su realizacin se concreta a travs un proceso de planeacin estratgica emprendido en
intervalos regulares dando lugar a planes a largo plazo, los que debern ser traducidos
peridicamente en planes operacionales estableciendo metas claras y concretas a corto
plazo, teniendo en cuenta:

La definicin de objetivos de negocio y necesidades de TI, la alta gerencia ser la

responsable de desarrollar e implementar planes a largo y corto plazo que satisfagan
la misin y las metas generales de la organizacin.
El inventario de soluciones tecnolgicas e infraestructura actual, se deber evaluar
los sistemas existentes en trminos de: nivel de automatizacin de negocio,
funcionalidad, estabilidad, complejidad, costo y fortalezas y debilidades, con el
propsito de determinar el nivel de soporte que reciben los requerimientos del
negocio de los sistemas existentes.
Los cambios organizacionales, se deber asegurar que se establezca un proceso para
modificar oportunamente y con precisin el plan a largo plazo de tecnologa de
informacin con el fin de adaptar los cambios al plan a largo plazo de la
organizacin y los cambios en las condiciones de la TI
Estudios de factibilidad oportunos, para que se puedan obtener resultados efectivos
PO2 Definicin de la Arquitectura de Informacin

Objetivo: Satisfacer los requerimientos de negocio, organizando de la mejor manera posible

los sistemas de informacin, a travs de la creacin y mantenimiento de un modelo de
informacin de negocio, asegurndose que se definan los sistemas apropiados para
optimizar la utilizacin de esta informacin, tomando en consideracin:

La documentacin deber conservar consistencia con las necesidades permitiendo a

los responsables llevar a cabo sus tareas eficiente y oportunamente.
El diccionario de datos, el cual incorporara las reglas de sintaxis de datos de la
organizacin y deber ser continuamente actualizado.
 La propiedad de la informacin y la clasificacin de severidad con el que se
establecer un marco de referencia de clasificacin general relativo a la ubicacin
de datos en clases de informacin.
PO3 Determinacin de la direccin tecnolgica

Objetivo: Aprovechar al mximo de la tecnologa disponible o tecnologa emergente,

satisfaciendo los requerimientos de negocio, a travs de la creacin y mantenimiento de un
plan de infraestructura tecnolgica, tomando en consideracin:

La capacidad de adecuacin y evolucin de la infraestructura actual, que deber

concordar con los planes a largo y corto plazo de tecnologa de informacin y
debiendo abarcar aspectos tales como arquitectura de sistemas, direccin
tecnolgica y estrategias de migracin.
El monitoreo de desarrollos tecnolgicos que sern tomados en consideracin
durante el desarrollo y mantenimiento del plan de infraestructura tecnolgica.
Las contingencias (por ejemplo, redundancia, resistencia, capacidad de adecuacin
y evolucin de la infraestructura), con lo que se evaluar sistemticamente el plan
de infraestructura tecnolgica.
Planes de adquisicin, los cuales debern reflejar las necesidades identificadas en el
plan de infraestructura tecnolgica.

o PO4 Definicin de la organizacin y de las relaciones de TI

Objetivo: Prestacin de servicios de TI

Esto se realiza por medio de una organizacin conveniente en nmero y habilidades, con
tareas y responsabilidades definidas y comunicadas, teniendo en cuenta:

El comit de direccin el cual se encargara de vigilar la funcin de servicios de

informacin y sus actividades.
Propiedad, custodia, la Gerencia deber crear una estructura para designar
formalmente a los propietarios y custodios de los datos. Sus funciones y
responsabilidades debern estar claramente definidas.
Supervisin, para asegurar que las funciones y responsabilidades sean llevadas a
cabo apropiadamente
Segregacin de funciones, con la que se evitar la posibilidad de que un solo
individuo resuelva un proceso crtico.
Los roles y responsabilidades, la gerencia deber asegurarse de que todo el personal
deber conocer y contar con la autoridad suficiente para llevar a cabo las funciones
y responsabilidades que le hayan sido asignadas
La descripcin de puestos, deber delinear claramente tanto la responsabilidad
como la autoridad, incluyendo las definiciones de las habilidades y la experiencia
necesarias para el puesto, y ser adecuadas para su utilizacin en evaluaciones de
desempeo.
Los niveles de asignacin de personal, debern hacerse evaluaciones de
requerimientos regularmente para asegurar para asegurar una asignacin de personal
adecuada en el presente y en el futuro.
 El personal clave, la gerencia deber definir e identificar al personal clave de
tecnologa de informacin.

o PO5 Manejo de la inversin

Objetivo: tiene como finalidad la satisfaccin de los requerimientos de negocio, asegurando

el financiamiento y el control de desembolsos de recursos financieros.

Su realizacin se concreta a travs presupuestos peridicos sobre inversiones y operaciones

establecidas y aprobados por el negocio, teniendo en cuenta:

Las alternativas de financiamiento, se debern investigar diferentes alternativas de

financiamiento.
El control del gasto real, se deber tomar como base el sistema de contabilidad de la
organizacin, mismo que deber registrar, procesar y reportar rutinariamente los
costos asociados con las actividades de la funcin de servicios de informacin
La justificacin de costos y beneficios, deber establecerse un control gerencial que
garantice que la prestacin de servicios por parte de la funcin de servicios de
informacin se justifique en cuanto a costos. Los beneficios derivados de las
actividades de TI debern ser analizados en forma similar.

o PO6 Comunicacin de la direccin y aspiraciones de la gerencia

Objetivo: Asegura el conocimiento y comprensin de los usuarios sobre las aspiraciones del
alto nivel (gerencia), se concreta a travs de polticas establecidas y transmitidas a la
comunidad de usuarios, necesitndose para esto estndares para traducir las opciones
estratgicas en reglas de usuario prcticas y utilizables. Toma en cuenta:

Los cdigo de tica / conducta, el cumplimiento de las reglas de tica, conducta,

seguridad y estndares de control interno deber ser establecido por la Alta
Gerencia y promoverse a travs del ejemplo.
Las directrices tecnolgicas
El cumplimiento, la Gerencia deber tambin asegurar y monitorear la duracin de
la implementacin de sus polticas.
El compromiso con la calidad, la Gerencia de la funcin de servicios de informacin
deber definir, documentar y mantener una filosofa de calidad, debiendo ser
comprendidos, implementados y mantenidos por todos los niveles de la funcin de
servicios de informacin.
Las polticas de seguridad y control interno, la alta gerencia deber asegurar que
esta poltica de seguridad y de control interno especifique el propsito y los
objetivos, la estructura gerencial, el alcance dentro de la organizacin, la definicin
y asignacin de responsabilidades para su implementacin a todos los niveles y la
definicin de multas y de acciones disciplinarias asociadas con la falta de
cumplimiento de estas polticas.

o PO7 Administracin de recursos humanos
Objetivo: Maximizar las contribuciones del personal a los procesos de TI, satisfaciendo as
los requerimientos de negocio, a travs de tcnicas slidas para administracin de personal,
tomando en consideracin:

El reclutamiento y promocin, deber tener como base criterios objetivos,

considerando factores como la educacin, la experiencia y la responsabilidad.
Los requerimientos de calificaciones, el personal deber estar calificado, tomando
como base una educacin, entrenamiento y o experiencia apropiados, segn se
requiera
La capacitacin, los programas de educacin y entrenamiento estarn dirigidos a
incrementar los niveles de habilidad tcnica y administrativa del personal.
La evaluacin objetiva y medible del desempeo, se deber asegurar que dichas
evaluaciones sean llevada a cabo regularmente segn los estndares establecidos y
las responsabilidades especficas del puesto. Los empleados debern recibir asesora
sobre su desempeo o su conducta cuando esto sea apropiado.

o PO8 Asegurar el cumplimiento con los requerimientos Externos

Objetivo: Cumplir con obligaciones legales, regulatorias y contractuales

Para ello se realiza una identificacin y anlisis de los requerimientos externos en cuanto a
su impacto en TI, llevando a cabo las medidas apropiadas para cumplir con ellos y se toma
en consideracin:

Definicin y mantenimiento de procedimientos para la revisin de requerimientos

externos, para la coordinacin de estas actividades y para el cumplimiento continuo
de los mismos.
Leyes, regulaciones y contratos
Revisiones regulares en cuanto a cambios
Bsqueda de asistencia legal y modificaciones
Seguridad y ergonoma con respecto al ambiente de trabajo de los usuarios y el
personal de la funcin de servicios de informacin.
Privacidad
Propiedad intelectual
Flujo de datos externos y criptografa

o PO9 Evaluacin de riesgos

Objetivo: Asegurar el logro de los objetivos de TI y responder a las amenazas hacia la

provisin de servicios de TI

Para ello se logra la participacin de la propia organizacin en la identificacin de riesgos

de TI y en el anlisis de impacto, tomando medidas econmicas para mitigar los riesgos y
se toma en consideracin:

Identificacin, definicin y actualizacin regular de los diferentes tipos de riesgos

de TI (por ej.: tecnolgicos, de seguridad, etc.) de manera de que se pueda
 determinar la manera en la que los riesgos deben ser manejados a un nivel
aceptable.
Definicin de alcances, limites de los riesgos y la metodologa para las evaluaciones
de los riesgos.
Actualizacin de evaluacin de riesgos
Metodologa de evaluacin de riesgos
Medicin de riesgos cualitativos y/o cuantitativos
Definicin de un plan de accin contra los riesgos para asegurar que existan
controles y medidas de seguridad econmicas que mitiguen los riesgos en forma
continua.
Aceptacin de riesgos dependiendo de la identificacin y la medicin del riesgo, de
la poltica organizacional, de la incertidumbre incorporada al enfoque de evaluacin
de riesgos y de que tan econmico resulte implementar protecciones y controles.

o PO10 Administracin de proyectos

Objetivo: Establecer prioridades y entregar servicios oportunamente y de acuerdo al

presupuesto de inversin

Para ello se realiza una identificacin y priorizacin de los proyectos en lnea con el plan
operacional por parte de la misma organizacin. Adems, la organizacin deber adoptar y
aplicar slidas tcnicas de administracin de proyectos para cada proyecto emprendido y se
toma en consideracin:

Definicin de un marco de referencia general para la administracin de proyectos

que defina el alcance y los lmites del mismo, as como la metodologa de
administracin de proyectos a ser adoptada y aplicada para cada proyecto
emprendido. La metodologa deber cubrir, como mnimo, la asignacin de
responsabilidades, la determinacin de tareas, la realizacin de presupuestos de
tiempo y recursos, los avances, los puntos de revisin y las aprobaciones.
El involucramiento de los usuarios en el desarrollo, implementacin o modificacin
de los proyectos.
Asignacin de responsabilidades y autoridades a los miembros del personal
asignados al proyecto.
Aprobacin de fases de proyecto por parte de los usuarios antes de pasar a la
siguiente fase.
Presupuestos de costos y horas hombre
Planes y metodologas de aseguramiento de calidad que sean revisados y acordados
por las partes interesadas.
Plan de administracin de riesgos para eliminar o minimizar los riesgos.
Planes de prueba, entrenamiento, revisin post-implementacin.

o PO11 Administracin de calidad

Objetivo: Satisfacer los requerimientos del cliente

Para ello se realiza una planeacin, implementacin y mantenimiento de estndares y
sistemas de administracin de calidad por parte de la organizacin y se toma en
consideracin:

Definicin y mantenimiento regular del plan de calidad, el cual deber promover la

filosofa de mejora continua y contestar a las preguntas bsicas de qu, quin y
cmo.
Responsabilidades de aseguramiento de calidad que determine los tipos de
actividades de aseguramiento de calidad tales como revisiones, auditorias,
inspecciones, etc. que deben realizarse para alcanzar los objetivos del plan general
de calidad.
Metodologas del ciclo de vida de desarrollo de sistemas que rija el proceso de
desarrollo, adquisicin, implementacin y mantenimiento de sistemas de
informacin.
Documentacin de pruebas de sistemas y programas
Revisiones y reportes de aseguramiento de calidad

4. Dominio: Adquisicin e implementacin

Para llevar a cabo la estrategia de TI, las soluciones de Ti deben ser identificadas,
desarrolladas o adquiridas, asi como implementadas e integradas dentro del proceso del
negocio. Adems, este dominio cubre los cambios y el mantenimiento realizados a sistemas
existentes.

Procesos:

AI1 Identificacin de Soluciones Automatizadas

Objetivo: Asegurar el mejor enfoque para cumplir con los requerimientos del usuario

Para ello se realiza un anlisis claro de las oportunidades alternativas comparadas contra los
requerimientos de los usuarios y toma en consideracin:

Definicin de requerimientos de informacin para poder aprobar un proyecto de

desarrollo.
Estudios de factibilidad con la finalidad de satisfacer los requerimientos del negocio
establecidos para el desarrollo de un proyecto.
Arquitectura de informacin para tener en consideracin el modelo de datos al
definir soluciones y analizar la factibilidad de las mismas.
Seguridad con relacin de costo-beneficio favorable para controlar que los costos no
excedan los beneficios.
Pistas de auditoria para ello deben existir mecanismos adecuados. Dichos
mecanismos deben proporcionar la capacidad de proteger datos sensitivos (ej.
Identificacin de usuarios contra divulgacin o mal uso)
Contratacin de terceros con el objeto de adquirir productos con buena calidad y
excelente estado.
 Aceptacin de instalaciones y tecnologa a travs del contrato con el Proveedor
donde se acuerda un plan de aceptacin para las instalaciones y tecnologa
especifica a ser proporcionada.
AI2 Adquisicin y mantenimiento del software aplicativo

Objetivo: Proporciona funciones automatizadas que soporten efectivamente al negocio.

Para ello se definen declaraciones especficas sobre requerimientos funcionales y

operacionales y una implementacin estructurada con entregables claros y se toma en
consideracin:

Requerimientos de usuarios, para realizar un correcto anlisis y obtener un software

claro y fcil de usar.
Requerimientos de archivo, entrada, proceso y salida.
Interfase usuario-maquina asegurando que el software sea fcil de utilizar y que sea
capaz de auto documentarse.
Personalizacin de paquetes
Realizar pruebas funcionales (unitarias, de aplicacin, de integracin y de carga y
estrs), de acuerdo con el plan de prueba del proyecto y con los estndares
establecidos antes de ser aprobado por los usuarios.
Controles de aplicacin y requerimientos funcionales
Documentacin (materiales de consulta y soporte para usuarios) con el objeto de
que los usuarios puedan aprender a utilizar el sistema o puedan sacarse todas
aquellas inquietudes que se les puedan presentar.
AI3 Adquisicin y mantenimiento de la infraestructura tecnolgica

Objetivo: Proporcionar las plataformas apropiadas para soportar aplicaciones de negocios

Para ello se realizara una evaluacin del desempeo del hardware y software, la provisin
de mantenimiento preventivo de hardware y la instalacin, seguridad y control del software
del sistema y toma en consideracin:

Evaluacin de tecnologa para identificar el impacto del nuevo hardware o software

sobre el rendimiento del sistema general.
Mantenimiento preventivo del hardware con el objeto de reducir la frecuencia y el
impacto de fallas de rendimiento.
Seguridad del software de sistema, instalacin y mantenimiento para no arriesgar la
seguridad de los datos y programas ya almacenados en el mismo.

o AI4 Desarrollo y mantenimiento de procedimientos

Objetivo: Asegurar el uso apropiado de las aplicaciones y de las soluciones tecnolgicas

establecidas.

Para ello se realiza un enfoque estructurado del desarrollo de manuales de procedimientos

de operaciones para usuarios, requerimientos de servicio y material de entrenamiento y
toma en consideracin:
 Manuales de procedimientos de usuarios y controles, de manera que los mismos
permanezcan en permanente actualizacin para el mejor desempeo y control de los
usuarios.
Manuales de Operaciones y controles, de manera que estn en permanente
actualizacin.
Materiales de entrenamiento enfocados al uso del sistema en la prctica diaria.

o AI5 Instalacin y aceptacin de los sistemas

Objetivo: Verificar y confirmar que la solucin sea adecuada para el propsito deseado

Para ello se realiza una migracin de instalacin, conversin y plan de aceptaciones

adecuadamente formalizadas y toma en consideracin:

Capacitacin del personal de acuerdo al plan de entrenamiento definido y los

materiales relacionados.
Conversin / carga de datos, de manera que los elementos necesarios del sistema
anterior sean convertidos al sistema nuevo.
Pruebas especficas (cambios, desempeo, aceptacin final, operacional) con el
objeto de obtener un producto satisfactorio.
Acreditacin de manera que la Gerencia de operaciones y usuaria acepten los
resultados de las pruebas y el nivel de seguridad para los sistemas, junto con el
riesgo residual existente.
Revisiones post implementacin con el objeto de reportar si el sistema proporciono
los beneficios esperados de la manera mas econmica.

o AI6 Administracin de los cambios

Objetivo: Minimizar la probabilidad de interrupciones, alteraciones no autorizadas y

errores.

Esto se hace posible a travs de un sistema de administracin que permita el anlisis,

implementacin y seguimiento de todos los cambios requeridos y llevados a cabo a la
infraestructura de TI actual y toma en consideracin:

Identificacin de cambios tanto internos como por parte de proveedores

Procedimientos de categorizacin, priorizacin y emergencia de solicitudes de
cambios.
Evaluacin del impacto que provocaran los cambios.
Autorizacin de cambios
Manejo de liberacin de manera que la liberacin de software este regida por
procedimientos formales asegurando aprobacin, empaque, pruebas de regresin,
entrega, etc.
Distribucin de software, estableciendo medidas de control especificas para
asegurar la distribucin de software correcto al lugar correcto, con integridad y de
manera oportuna.
5. Dominio: Prestacin y soporte

En este dominio se hace referencia a la entrega de los servicios requeridos, que abarca
desde las operaciones tradicionales hasta el entrenamiento, pasando por seguridad y
aspectos de continuidad. Con el fin de proveer servicios, debern establecerse los procesos
de soporte necesarios. Este dominio incluye el procesamiento de los datos por sistemas de
aplicacin, frecuentemente clasificados como controles de aplicacin.

Procesos

Ds1 Definicin de niveles de servicio

Objetivo: Establecer una comprensin comn del nivel de servicio requerido

Para ello se establecen convenios de niveles de servicio que formalicen los criterios de
desempeo contra los cuales se medir la cantidad y la calidad del servicio y se toma en
consideracin:

Convenios formales que determinen la disponibilidad, confiabilidad, desempeo,

capacidad de crecimiento, niveles de soporte proporcionados al usuario, plan de
contingencia / recuperacin, nivel mnimo aceptable de funcionalidad del sistema
satisfactoriamente liberado, restricciones (lmites en la cantidad de trabajo), cargos
por servicio, instalaciones de impresin central (disponibilidad), distribucin de
impresin central y procedimientos de cambio.
Definicin de las responsabilidades de los usuarios y de la funcin de servicios de
informacin
Procedimientos de desempeo que aseguren que la manera y las responsabilidades
sobre las relaciones que rigen el desempeo entre todas las partes involucradas sean
establecidas, coordinadas, mantenidas y comunicadas a todos los departamentos
afectados.
Definicin de dependencias asignando un Gerente de nivel de Servicio que sea
responsable de monitorear y reportar los alcances de los criterios de desempeo del
servicio especificado y todos los problemas encontrados durante el procesamiento.
Provisiones para elementos sujetos a cargos en los acuerdos de niveles de servicio
para hacer posibles comparaciones y decisiones de niveles de servicios contra su
costo.
Garantas de integridad
Convenios de confidencialidad
Implementacin de un programa de mejoramiento del servicio.

o Ds2 Administracin de servicios prestados por terceros

Objetivo: Asegurar que las tareas y responsabilidades de las terceras partes estn
claramente definidas, que cumplan y continen satisfaciendo los requerimientos
Para ello se establecen medidas de control dirigidas a la revisin y monitoreo de contratos y
procedimientos existentes, en cuanto a su efectividad y suficiencia, con respecto a las
polticas de la organizacin y toma en consideracin:

Acuerdos de servicios con terceras partes a travs de contratos entre la organizacin

y el proveedor de la administracin de instalaciones este basado en niveles de
procesamiento requeridos, seguridad, monitoreo y requerimientos de contingencia,
as como en otras estipulaciones segn sea apropiado.
Acuerdos de confidencialidad. Adems, se deber calificar a los terceros y el
contrato deber definirse y acordarse para cada relacin de servicio con un
proveedor.
Requerimientos legales regulatorios de manera de asegurar que estos concuerde con
los acuerdos de seguridad identificados, declarados y acordados.
Monitoreo de la entrega de servicio con el fin de asegurar el cumplimiento de los
acuerdos del contrato.

o Ds3 Administracin de desempeo y capacidad

Objetivo: Asegurar que la capacidad adecuada est disponible y que se est haciendo el
mejor uso de ella para alcanzar el desempeo deseado.

Para ello se realizan controles de manejo de capacidad y desempeo que recopilen datos y
reporten acerca del manejo de cargas de trabajo, tamao de aplicaciones, manejo y
demanda de recursos y toma en consideracin:

Requerimientos de disponibilidad y desempeo de los servicios de sistemas de

informacin
Monitoreo y reporte de los recursos de tecnologa de informacin
Utilizar herramientas de modelado apropiadas para producir un modelo del sistema
actual para apoyar el pronstico de los requerimientos de capacidad, confiabilidad
de configuracin, desempeo y disponibilidad.
Administracin de capacidad estableciendo un proceso de planeacin para la
revisin del desempeo y capacidad de hardware con el fin de asegurar que siempre
exista una capacidad justificable econmicamente para procesar cargas de trabajo
con cantidad y calidad de desempeo
Prevenir que se pierda la disponibilidad de recursos mediante la implementacin de
mecanismos de tolerancia de fallas, de asignacin equitativos de recursos y de
prioridad de tareas.

Monitoreo

Ds4 Asegurar el Servicio Continuo

Objetivo: mantener el servicio disponible de acuerdo con los requerimientos y continuar su

provisin en caso de interrupciones
Para ello se tiene un plan de continuidad probado y funcional, que est alineado con el plan
de continuidad del negocio y relacionado con los requerimientos de negocio y toma en
consideracin:

Planificacin de Severidad
Plan Documentado
Procedimientos Alternativos
Respaldo y Recuperacin
Pruebas y entrenamiento sistemtico y singulares

o Ds5 Garantizar la seguridad de sistemas

Objetivo: salvaguardar la informacin contra uso no autorizados, divulgacin,

modificacin, dao o prdida

Para ello se realizan controles de acceso lgico que aseguren que el acceso a sistemas, datos
y programas est restringido a usuarios autorizados y toma en consideracin:

Autorizacin,autenticacin y el acceso lgico junto con el uso de los recursos de

TI deber restringirse a travs de la instrumentacin de mecanismos de
autenticacin de usuarios identificados y recursos asociados con las reglas de acceso
Perfiles e identificacin de usuarios estableciendo procedimientos para asegurar
acciones oportunas relacionadas con la requisicin, establecimiento, emisin,
suspensin y suspensin de cuentas de usuario
Administracin de llaves criptogrficas definiendo implementando procedimientos
y protocolos a ser utilizados en la generacin, distribucin, certificacin,
almacenamiento, entrada, utilizacin y archivo de llaves criptogrficas con el fin de
asegurar la proteccin de las mismas
Manejo, reporte y seguimiento de incidentes implementado capacidad para la
atencin de los mismos
Prevencin y deteccin de virus tales como Caballos de Troya, estableciendo
adecuadas medidas de control preventivas, detectivas y correctivas.
Utilizacinde Firewalls si existe una conexin con Internet u otras redes pblicas
en la organizacin

Monitoreo

Ds6 Educacin y entrenamiento de usuarios

Objetivo: Asegurar que los usuarios estn haciendo un uso efectivo de la tecnologa y estn
conscientes de los riesgos y responsabilidades involucrados

Para ello se realiza un plan completo de entrenamiento y desarrollo y se toma en

consideracin:
 Curriculum de entrenamiento estableciendo y manteniendo procedimientos para
identificar y documentar las necesidades de entrenamiento de todo el personal que
haga uso de los servicios de informacin
Campaas de concientizacin, definiendo los grupos objetivos, identificar y asignar
entrenadores y organizar oportunamente las sesiones de entrenamiento
Tcnicas de concientizacin proporcionando un programa de educacin y
entrenamiento que incluya conducta tica de la funcin de servicios de informacin

o Ds7 Identificacin y asignacin de costos

Objetivo: Asegurar un conocimiento correcto de los costos atribuibles a los servicios de TI

Para ello se realiza un sistema de contabilidad de costos que asegure que stos sean
registrados, calculados y asignados a los niveles de detalle requeridos y toma en
consideracin:

Los elementos sujetos a cargo deben ser recursos identificables, medibles y

predecibles para los usuarios
Procedimientos y polticas de cargo que fomenten el uso apropiado de los recursos
de computo y aseguren el trato justo de los departamentos usuarios y sus
necesidades
Tarifas definiendo e implementando procedimientos de costeo de prestar servicios,
para ser analizados, monitoreados, evaluados asegurando al mismo tiempo la
economa

Monitoreo

Ds8 Apoyo y asistencia a los clientes de TI

Objetivo: asegurar que cualquier problema experimentado por los usuarios sea atendido
apropiadamente

Para ello se realiza un Bur de ayuda que proporcione soporte y asesora de primera lnea y
toma en consideracin:

Consultas de usuarios y respuesta a problemas estableciendo un soporte de una

funcin de bur de ayuda
Monitoreo de consultas y despacho estableciendo procedimientos que aseguren que
las preguntas de los clientes que pueden ser resueltas sean reasignadas al nivel
adecuado para atenderlas
Anlisis y reporte de tendencias adecuado de las preguntas de los clientes y su
solucin, de los tiempos de respuesta y la identificacin de tendencias

o Ds9 Administracin de la configuracin
Objetivo: Dar cuenta de todos los componentes de TI, prevenir alteraciones no autorizadas,
verificar la existencia fsica y proporcionar una base para el sano manejo de cambios

Para ello se realizan controles que identifiquen y registren todos los activos de TI as como
su localizacin fsica y un programa regular de verificacin que confirme su existencia y
toma en consideracin:

Registro de activos estableciendo procedimientos para asegurar que sean registrados

nicamente elementos de configuracin autorizados e identificables en el inventario,
al momento de adquisicin
Administracin de cambios en la configuracin asegurando que los registros de
configuracin reflejen el status real de todos los elementos de la configuracin
Chequeo de software no autorizado revisando peridicamente las computadoras
personales de la organizacin
Controles de almacenamiento de software definiendo un rea de almacenamiento de
archivos para todos los elementos de software vlidos en las fases del ciclo de vida
de desarrollo de sistemas

o Ds10 Administracin de Problemas

Objetivo: Asegurar que los problemas e incidentes sean resueltos y que sus causas sean
investigadas para prevenir que vuelvan a suceder.

Para ello se necesita un sistema de manejo de problemas que registre y d seguimiento a

todos los incidentes, adems de un conjunto de procedimientos de escalamiento de
problemas para resolver de la manera ms eficiente los problemas identificados. Este
sistema de administracin de problemas deber tambin realizar un seguimiento de las
causas a partir de un incidente dado.

Ds11 Administracin de Datos

Objetivo: Asegurar que los datos permanezcan completos, precisos y vlidos durante su
entrada, actualizacin, salida y almacenamiento.

Lo cual se logra a travs de una combinacin efectiva de controles generales y de

aplicacin sobre las operaciones de TI. Para tal fin, la gerencia deber disear formatos de
entrada de datos para los usuarios de manera que se minimicen lo errores y las omisiones
durante la creacin de los datos.

Este proceso deber controlar los documentos fuentes (de donde se extraen los datos), de
manera que estn completos, sean precisos y se registren apropiadamente. Se debern crear
tambin procedimientos que validen los datos de entrada y corrijan o detecten los datos
errneos, como as tambin procedimientos de validacin para transacciones errneas, de
manera que stas no sean procesadas. Cabe destacar la importancia de crear procedimientos
para el almacenamiento, respaldo y recuperacin de datos, teniendo un registro fsico
(discos, disquetes, CDs y cintas magnticas) de todas las transacciones y datos manejados
por la organizacin, albergados tanto dentro como fuera de la empresa.
La gerencia deber asegurar tambin la integridad, autenticidad y confidencialidad de los
datos almacenados, definiendo e implementando procedimientos para tal fin.

Ds12 Administracin de las instalaciones

Objetivo: Proporcionar un ambiente fsico conveniente que proteja al equipo y al personal

de TI contra peligros naturales (fuego, polvo, calor excesivos) o fallas humanas lo cual se
hace posible con la instalacin de controles fsicos y ambientales adecuados que sean
revisados regularmente para su funcionamiento apropiado definiendo procedimientos que
provean control de acceso del personal a las instalaciones y contemplen su seguridad fsica.

Ds13 Administracin de la operacin

Objetivo: Asegurar que las funciones importantes de soporte de TI estn siendo llevadas a
cabo regularmente y de una manera ordenada

Esto se logra a travs de una calendarizacin de actividades de soporte que sea registrada y
completada en cuanto al logro de todas las actividades. Para ello, la gerencia deber
establecer y documentar procedimientos para las operaciones de tecnologa de informacin
(incluyendo operaciones de red), los cuales debern ser revisados peridicamente para
garantizar su eficiencia y cumplimiento.

6. Dominio: Monitoreo

Todos los procesos de una organizacin necesitan ser evaluados regularmente a travs del
tiempo para verificar su calidad y suficiencia en cuanto a los requerimientos de control,
integridad y confidencialidad. Este es, precisamente, el mbito de este dominio.

Procesos

M1 Monitoreo del Proceso

Objetivo: Asegurar el logro de los objetivos establecidos para los procesos de TI. Lo cual se
logra definiendo por parte de la gerencia reportes e indicadores de desempeo gerenciales y
la implementacin de sistemas de soporte as como la atencin regular a los reportes
emitidos.

Para ello la gerencia podr definir indicadores claves de desempeo y/o factores crticos de
xito y compararlos con los niveles objetivos propuestos para evaluar el desempeo de los
procesos de la organizacin. La gerencia deber tambin medir el grado de satisfaccin del
los clientes con respecto a los servicios de informacin proporcionados para identificar
deficiencias en los niveles de servicio y establecer objetivos de mejoramiento,
confeccionando informes que indiquen el avance de la organizacin hacia los objetivos
propuestos.

M2 Evaluar lo adecuado del Control Interno

Objetivo: Asegurar el logro de los objetivos de control interno establecidos para los
procesos de TI.

Para ello la gerencia es la encargada de monitorear la efectividad de los controles internos a

travs de actividades administrativas y de supervisin, comparaciones, reconciliaciones y
otras acciones rutinarias., evaluar su efectividad y emitir reportes sobre ellos en forma
regular. Estas actividades de monitoreo continuo por parte de la Gerencia debern revisar la
existencia de puntos vulnerables y problemas de seguridad.

M3 Obtencin de Aseguramiento Independiente

Objetivo: Incrementar los niveles de confianza entre la organizacin, clientes y proveedores

externos. Este proceso se lleva a cabo a intervalos regulares de tiempo.

Para ello la gerencia deber obtener una certificacin o acreditacin independiente de

seguridad y control interno antes de implementar nuevos servicios de tecnologa de
informacin que resulten crticos, como as tambin para trabajar con nuevos proveedores
de servicios de tecnologa de informacin. Luego la gerencia deber adoptar como trabajo
rutinario tanto hacer evaluaciones peridicas sobre la efectividad de los servicios de
tecnologa de informacin y de los proveedores de estos servicios como as tambin
asegurarse el cumplimiento de los compromisos contractuales de los servicios de tecnologa
de informacin y de los proveedores de estos servicios.

M4 Proveer Auditoria Independiente

Objetivo: Incrementar los niveles de confianza y beneficiarse de recomendaciones basadas

en mejores prcticas de su implementacin, lo que se logra con el uso de auditorias
independientes desarrolladas a intervalos regulares de tiempo. Para ello la gerencia deber
establecer los estatutos para la funcin de auditoria, destacando en este documento la
responsabilidad, autoridad y obligaciones de la auditoria. El auditor deber ser
independiente del auditado, esto significa que los auditores no debern estar relacionados
con la seccin o departamento que est siendo auditado y en lo posible deber ser
independiente de la propia empresa. Esta auditoria deber respetar la tica y los estndares
profesionales, seleccionando para ello auditores que sean tcnicamente competentes, es
decir que cuenten con habilidades y conocimientos que aseguren tareas efectivas y
eficientes de auditoria.

La funcin de auditoria deber proporcionar un reporte que muestre los objetivos de la

auditoria, perodo de cobertura, naturaleza y trabajo de auditoria realizado, como as
tambin la organizacin, conclusin y recomendaciones relacionadas con el trabajo de
auditoria llevado a cabo.
Los 34 procesos propuestos se concretan en 32 objetivos de control detallados
anteriormente.
Un Control se define como "las normas, estndares, procedimientos, usos y costumbres y
las estructuras organizativas, diseadas para proporcionar garanta razonable de que los
objetivos empresariales se alcanzaran y que los eventos no deseados se prevern o se
detectaran, y corregirn"
Un Objetivo de Control se define como "la declaracin del resultado deseado o propuesto
que se ha de alcanzar mediante la aplicacin de procedimientos de control en cualquier
actividad de TI"
En resumen, la estructura conceptual se puede enfocar desde tres puntos de vista:
-Los recursos de las TI
-Los criterios empresariales que deben satisfacer la informacin
-Los procesos de TI

Las tres dimensiones condeptuales de COBIT

7. Aplicacin de las Normas COBIT

A continuacin, analizaremos como se deberan aplicar las Normas COBIT en una

Organizacin, utilizando para ello la Gua de Auditoria presentada en la pagina Web
www.isaca.org, la misma indica los pasos a seguir para auditar cada uno de los procesos de
TI de la norma. Este reporte lo confeccionamos dndole el formato de un informe de
auditora:

Informe de Auditoria

Entidad Auditada: ARCO IRIS SCHOOL

Alcance de la auditora: Esta auditora comprende solamente al rea de Recursos
Humanos de la Arco Iris School, con respecto al cumplimiento del proceso
"Administracin de Recursos Humanos" de la norma COBIT.
Norma Aplicada: COBIT, especficamente el proceso de TI Po7 "Administracin de
Recursos Humanos"
Relevamiento:

Organizacin: Colegio Privado que brinda un servicio de educacin a nios de nivel inicial
y primario.
Objetivos de la Organizacin:

Ofrecer el servicio de una excelente educacin con orientacin bilinge (Espaol -

Ingles), artstica, deportiva y ecolgica en forma personalizada a los nios de nivel
inicial y primario, y obtener por el servicio un beneficio monetario acorde a las
ofertas educativa que brinda la Institucin (segn si el inscripto participa de
escolaridad simple o doble)
Incrementar cada ao el nmero de inscriptos para obtener mayor rentabilidad y
ampliar la comunidad educativa.
Transmitir a la comunidad en general el perfil institucional y los beneficios que los
alumnos obtienen por una educacin personalizada.

Departamento de administracin de personal: Comprende todo lo relacionado con el

desarrollo y administracin de polticas y programas que provean una estructura
organizativa eficiente, empleados calificados, tratamiento equitativo, oportunidades de
progreso, satisfaccin en el trabajo y adecuada seguridad de empleo.

Depende de la Gerencia de Administracin.

Polticas y estrategias del Departamento de Administracin de personal

Polticas

Estrategias

Para con el

Personal

Objetivo: perfeccionar al personal con el perfil Institucional

Seleccionar docentes que respondan a los requerimientos del proyecto educativo

institucional

Realizar durante la seleccin de personal talleres de capacitacin y evaluacin de

inteligencia emocional y desarrollo de la persona.

Seleccionar docentes con muy buenas referencias

Los docentes de asignaturas especiales (plstica, msica, deportes, etc.) deben tener
experiencias mnimas en mas de una escuela y estar abalados con referencias por escrito

Respetar las decisiones personales de los docentes y no docentes.

Antes de que un personal forme parte de la institucin debe conocer y firmar las
Normativas Institucionales donde se especifican todas las medidas, deberes y derechos de
todo el personal docente y no docente

La direccin general realiza peridicamente evaluaciones del rendimiento de trabajo

individual y grupal mediante entrevistas. (grupales y personales)

Educativas

Objetivo: Lograr una excelencia educativa

Brindar una educacin excelente y personalizada

Confeccionar un PEI (Proy. Educ. Inst.) con los objetivos que cubran las orientaciones
Bilinge, deportiva, ecolgica y artstica.

Realizar peridicamente talleres de capacitacin docente a nivel institucional donde se

promueve la inteligencia emocional y el desarrollo personal.

La Direccin acadmica debe evaluar constantemente el trabajo de los docentes y elevar los
informes a la direccin general.

Funciones Subfunsiones - Tareas:

1-Realizar el reclutamiento: lograr que todos los puestos estn cubiertos por personal
competente que cubran el perfil institucional por un costo razonable.

a. Buscar los postulantes (docentes y no docentes)

Anlisis de las necesidades del cargo

Desarrollo de especificaciones de trabajo
Anlisis de las fuentes de empleados potenciales
Atraccin de los posibles postulantes

a. Realizar el proceso de seleccin: Anlisis de la capacidad de los aspirantes para

decidir cual tiene mayores posibilidades.

Entrevistar los postulantes

Realizar talleres de Pruebas de inteligencia emocional.
Evaluacin de los postulantes en base a los resultados de los talleres.
Confeccin y entrega de los diferentes tipos de contratos de trabajo (contratos
temporales, a plazo fijo, contratos de prueba, pasantas, etc.)

a. Instruccin y entrega de materiales: Entrenamiento, informacin y entrega de

materiales necesarios a los empleados contratados (o nuevos) para que cumplan sus
obligaciones eficientemente.

Orientacin de los nuevos empleados mediante talleres de capacitacin y entrega de

 documentacin con las normativas (reglas con las que se rige la institucin)
Seguimiento de la actuacin de los empleados (y empleados nuevos tambin).
Compra de materiales didcticos u otros servicios para entregar a los docentes y as
los mismos puedan dictar sus clases eficientemente.

a. Despidos: Terminacin legal de las relaciones con los empleados en la forma mas
beneficiosa para ellos y el colegio.

Realizacin de la entrevista de egreso

Anlisis de las bajas

a. Determinar los servicios sociales para los empleados.

Determinacin de servicio mdicos y otros para los empleados (y alumnos) que

cubran la seguridad e integridad fsica del personal dentro de la organizacin.
Prepara la documentacin para la gestin de obras sociales del personal.

2-Administrar sueldos y jornales: lograr que todos los empleados estn remunerados
adecuada, equitativamente y en tiempo.

a. Clasificar la posicin, responsabilidades y requerimientos de los empleados

Preparacin de las normativas institucionales donde estn las especificaciones de

trabajo
Revisin peridica y correccin de las normativas.
Fijar los valores monetarios de los puestos en forma justa y equitativa, respecto a
otros puestos en el colegio y a puestos similares en el mercado de trabajo.
Efectuar los pagos correspondientes a los sueldos mensuales (el pago y entrega de
recibos de sueldo se efecta en la propia institucin)

a. Control de Horarios: Fijacin de horas de trabajo y periodos de inasistencia con

goce de haberes o sin el, que sean justos tanto para el empleado como para el
colegio.

Planificacin y administracin de polticas sobre horarios de trabajos o

inasistencias.
Planificacin y administracin de planes de vacaciones.

3- Promocionar las Relaciones institucionales: Asegurar que las relaciones de trabajo entre
la direccin general y los empleados al igual que la satisfaccin en el trabajo y oportunidad
de progreso del personal, sean desarrollados y mantenidos siguiendo los mejores intereses
del colegio y de los empleados. Tambin su funcin es la de desarrollar proyectos de
Relaciones Institucionales con el medio externo (otras instituciones escolares, clubes, etc.)

a. Realizar negociaciones colectivas: Lograr concordancia con las organizaciones de

empleados reconocidas oficialmente y establecidas legalmente, de la manera que
 mejor contemple los intereses de la escuela y los docentes.

Negociacin de convenios
Interpretacin y administracin de estos

a. Controlar la disciplina del personal

Fijar reglas de conducta y disposiciones mediante las normativas institucionales

Establecer y administrar las medidas disciplinarias con respecto a inasistencias
injustificadas.

a. Investigacin de Personal:

Investigacin de referencias de trabajos anteriores.

Confirmar las referencias y otras documentaciones a la administracin general.
Investigar y verificar la documentacin presentada por los empleados que luego
conformaran el legajo de los mismos (DNI, ttulos oficiales, registracin en la Junta
de clasificaciones, etc.)

5-Generar Informes

Confeccionar todos los informes mensuales, semestrales y anuales con las

estadsticas, resmenes, etc. de las gestiones administrativas del personal.
Diagnstico:

De acuerdo con el Dominio "Planificacin y Organizacin" y el Proceso "Administracin

de Recursos Humanos", nosotros hemos desarrollado un anlisis, donde identificamos con
que normas esta cumpliendo la organizacin y con cuales no, a partir de all definiremos
que es lo que la escuela debera hacer para cumplir con las normas COBIT.

La organizacin ARCO IRIS SCHOOL, segn nuestro parecer y de acuerdo a lo relevado,

creemos que se ajusta bastante bien a las normas COBIT en cuanto al proceso en cuestin,
puesto que la misma cumple con las siguientes actividades o tareas del mismo:

Reclutamiento y Promocin personal, ya que la Direccin evala regularmente los procesos

necesarios para asegurar que las practicas de reclutamiento y promocin de personal tengan
excelentes resultados, considerando factores como la educacin del personal, la experiencia
y la responsabilidad.

Personal Calificado, puesto que se verifica que el personal que lleva tareas especificas este
capacitado y para ello se realizan Talleres Docentes.

Entrenamiento de Personal, ya que en cuanto ingresa el personal y durante su permanencia

en el establecimiento tiene a su disposicin toda la informacin que necesite, as como
tambin la permanente capacitacin. Aunque es importante destacar que no hay un manual
de Funciones, ni de Procedimientos, por lo cual los empleados pueden tener dudas con
respecto a sus funciones.

Evaluacin de Desempeo de los Empleados, ya que el establecimiento implementa un

proceso de evaluacin de desempeo de los empleados y asesora a los mismos sobre su
desempeo o conducta de manera apropiada. Aunque las evaluaciones de rendimiento no
estn definidas formalmente y por ende se puede llegar a tener problemas por la
subjetividad de la persona que esta evaluando el desempeo.

Cambios de puestos y Despidos, puesto que cuando se toman tales acciones se trata de que
sean oportunas y apropiadas, de tal manera que los controles internos y la seguridad no se
vean perjudicados por estos eventos.

s importante destacar que ARCO IRIS SCHOOL tienes dificultados en cuanto a:

Respaldo de Personal, puesto que no cuenta con suficiente personal de respaldo para
solucionar posibles ausencias. Tampoco el personal encargado de puestos delicados como
ser el Tesorero toma vacaciones interrumpidas con duracin suficiente como para probar la
habilidad de la organizacin para manejar casos de ausencia y detectar actividades
fraudulentas.

Procedimientos de Acreditacin de Personal, puesto que las investigaciones de seguridad

asociada a la contratacin no son llevadas a cabo.

Conclusiones:

Por lo tanto, podemos especificar que para que la escuela cumpla con las normas COBIT en
cuanto al proceso "Administracin de Recursos Humanos" deber:

Realizar manuales de funciones, de manera que estn definidos todos los puestos de
trabajo y sus correspondientes funciones.
Realizar manuales de Procedimientos, de manera que los empleados puedan
identificar cuales son las tareas que deben realizar de acuerdo a su puesto y
funciones.
Establecer Procedimientos de Acreditacin, ya que de lo contrario se pueden tener
serios problemas por no haber realizado correctamente las investigaciones de
seguridad.
Proporcionar un entrenamiento "cruzado" de manera de tener personal de respaldo
con la finalidad de solucionar posibles ausencias, ya que la escuela no puede contar
con suficiente personal por su economa actual.
Definir y publicar formalmente las evaluaciones de rendimiento, de manera de
aplicarlas a la hora de hacer la evaluacin de desempeo para evitar problemas con
el personal docente y no docente.

8. Apndice I
COBIT como Producto, incluye:

Resumen Ejecutivo: es un documento dirigido a la alta gerencia presentando los

antecedentes y la estructura bsica de COBIT Adems, describe de manera general
los procesos, los recursos y los criterios de informacin, los cuales conforman la
"Columna Vertebral" de COBIT.
Marco de Referencia (Framework): Incluye la introduccin contenida en el resumen
ejecutivo y presenta las guas de navegacin para que los lectores se orienten en la
exploracin del material de COBIT haciendo una presentacin detallada de los 34
procesos contenidos en los cuatro dominios.
Objetivos de Control: Integran en su contenido lo expuesto tanto en el resumen
ejecutivo como en el marco de referencia y presenta los objetivos de control
detallados para cada uno de los 34 procesos.

En total se describen 302 objetivos de control detallados (de 3 a 30 objetivos por cada uno
de los procesos)

Guas de Auditoria: Se hace una presentacin del proceso de auditoria generalmente

aceptado (relevamiento de informacin, evaluacin de control, evaluacin de
cumplimiento y evidenciacin de los riesgos).

Este documento incluye guas detalladas para auditar cada uno de los 34 procesos teniendo
en cuenta los 302 objetivos de control detallados.

Guas de Administracin: Se enfoca de manera similar a los otros productos e

integra los principios del Balance Business Scorecard.

Para ayudar a determinar cuales son los adecuados niveles de seguridad y control integra
los conceptos de:
Modelo de madurez CMM (prcticas de Control)
Indicadores claves de Desempeo de los procesos de TI
Factores Crticos de xito a tener en cuenta para mantener bajo control los procesos de TI.

Guas Gerenciales: Incluidas en la Tercera Edicin, las mismas proveen modelos de

madurez, factores crticos de xito, indicadores claves de objetivos e indicadores
claves de desempeo para los 34 procesos de TI de COBIT. Estas guas proveen a la
gerencia herramientas que permiten la auto evaluacin y poder seleccionar opciones
para implementacin de controles y mejoras sobre la informacin y la tecnologa
relacionada. Las guas fueron desarrolladas por un panel de 40 expertos en
seguridad y control, profesionales de administracin de TI y de administracin de
desempeo, analistas de la industria y acadmicos de todo el mundo.
Herramientas de implementacin: Muestra algunas de las lecciones aprendidas por
aquellas organizaciones que han aplicado COBIT e incluye una gua de
implementacin con dos herramientas: Diagnstico de conciencia Administrativa y
Diagnstico de Control en TI
Como con cualquier investigacin amplia e innovadora, COBIT ser actualizado cada tres
aos. Esto asegurara que el modelo y la estructura permanezcan vigentes. La validacin
tambin permite asegurar que los 41 materiales de referencia primarios no hayan cambiado,
y, si hubieran cambiado, reflejas eso en el documento

9. Apndice II

Relaciones de Objetivo de Control, Dominios, Procesos y Objetivos de Control

PLANEACIN Y ORGANIZACIN 4.15 Relaciones

1.0 Definicin de un Plan Estratgico de 5.0 Manejo de la Inversin en Tecnologa de

Tecnologa de Informacin Informacin

1.1 Tecnologa de Informacin como parte
del Plan de la Organizacin a corto y largo
plazo
1.2 Plan a largo plazo de Tecnologa de
Informacin
5.1 Presupuesto Operativo Anual para la
Funcin de Servicio de informacin
5.2 Monitoreo de Costo - Beneficio
5.3 Justificacin de Costo - Beneficio

1.3 Plan a largo plazo de Tecnologa de 6.0 Comunicacin de la direccin y

Informacin - Enfoque y Estructura aspiraciones de la gerencia

1.4 Cambios al Plan a largo plazo de 6.1 Ambiente positivo de control de la

Tecnologa de Informacin informacin

1.5 Planeacin a corto plazo para la funcin 6.2 Responsabilidad de la Gerencia en

de Servicios de Informacin cuanto a Polticas

1.6 Evaluacin de sistemas existentes 6.3 Comunicacin de las Polticas de la

Organizacin
2.0 Definicin de la Arquitectura de
Informacin 6.4 Recursos para la implementacin de
Polticas
2.1 Modelo de la Arquitectura de
Informacin 6.5 Mantenimiento de Polticas

2.2 Diccionario de Datos y Reglas de cinta 6.6 Cumplimiento de Polticas,

de datos de la corporacin Procedimientos y Estndares

2.3 Esquema de Clasificacin de Datos 6.7 Compromiso con la Calidad

2.4 Niveles de Seguridad 6.8 Poltica sobre el Marco de Referencia

para la Seguridad y el Control Interno
3.0 Determinacin de la direccin
tecnolgica
3.1 Planeacin de la Infraestructura
Tecnolgica
3.2 Monitoreo de Tendencias y Regulaciones Seguridad en TI
Futuras
3.3 Contingencias en la Infraestructura
Tecnolgica
3.4 Planes de Adquisicin de Hardware y
Software
3.5 Estndares de Tecnologa
4.0 Definicin de la Organizacin y de las
Relaciones de TI
4.1 Comit de planeacin o direccin de la
funcin de servicios de informacin
4.2 Ubicacin de los servicios de
informacin en la organizacin
4.3 Revisin de Logros Organizacionales
4.4 Funciones y Responsabilidades
4.5 Responsabilidad del aseguramiento de
calidad
4.6 Responsabilidad de la seguridad lgica y Cumplimiento de Requerimientos Externos
fsica
4.7 Propiedad y Custodia
4.8 Propiedad de Datos y Sistemas
4.9 Supervisin
4.10 Segregacin de Funciones
4.11 Asignacin de Personal para Tecnologa
de Informacin
6.9 Derechos de propiedad intelectual
6.10 Polticas Especficas
6.11 Comunicacin de Conciencia de
7.0 Administracin de Recursos Humanos
7.1 Reclutamiento y Promocin de Personal
7.2 Personal Calificado
7.3 Entrenamiento de Personal
7.4 Entrenamiento Cruzado o Respaldo de
Personal
7.5 Procedimientos de Acreditacin de
Personal
7.6 Evaluacin de Desempeo de los
Empleados
7.7 Cambios de Puesto y Despidos
8.0 Aseguramiento del Cumplimiento de
Requerimientos Externos
8.1 Revisin de Requerimientos Externos
8.2 Prcticas y Procedimientos para el
8.3 Cumplimiento de los Estndares de
Seguridad y Ergonoma
8.4 Privacidad, Propiedad Intelectual y Flujo
de Datos
8.5 Comercio Electrnico
8.6 Cumplimiento con Contratos de Seguros
9.0 Evaluacin de Riesgos
4.12 Descripcin de Puestos para el Personal 9.1 Evaluacin de Riesgos del Negocio
de la Funcin de TI
9.2 Enfoque de Evaluacin de Riesgos
4.13 Personal clave de TI
9.3 Identificacin de Riesgos
4.14 Procedimientos para personal por
contrato 9.4 Medicin de Riesgos

9.5 Plan de Accin contra Riesgos

9.6 Aceptacin de Riesgos ADQUISICIN E IMPLEMENTACIN

10.0 Administracin de proyectos 1.0 Identificacin de Soluciones

10.1 Marco de Referencia para la 1.1 Definicin de Requerimientos de

Administracin de Proyectos Informacin

10.2 Participacin del Departamento Usuario 1.2 Formulacin de Acciones Alternativas

en la Iniciacin de Proyectos
1.3 Formulacin de Estrategias de
10.3 Miembros y Responsabilidades del Adquisicin.
Equipo del Proyecto
1.4 Requerimientos de Servicios de Terceros
10.4 Definicin del Proyecto
1.5 Estudio de Factibilidad Tecnolgica
10.5 Aprobacin del Proyecto
1.6 Estudio de Factibilidad Econmica
10.6 Aprobacin de las Fases del Proyecto
1.7 Arquitectura de Informacin
10.7 Plan Maestro del Proyecto
1.8 Reporte de Anlisis de Riesgos
10.8 Plan de Aseguramiento de la Calidad de
Sistemas 1.9 Controles de Seguridad Econmicos

10.9 Planeacin de Mtodos de 1.10 Diseo de Pistas de Auditora

Aseguramiento
1.11 Ergonoma
10.10 Administracin Formal de Riesgos de
Proyectos 1.12 Seleccin de Software de Sistema

10.11 Plan de Prueba 1.13 Control de Abastecimiento

10.12 Plan de Entrenamiento 1.14 Adquisicin de Productos de Software

10.13 Plan de Revisin Post Implementacin 1.15 Mantenimiento de Software de Terceras

Partes
11.0 Administracin de Calidad
11.1 Plan General de Calidad
11.2 Enfoque de Aseguramiento de Calidad
11.3 Planeacin del Aseguramiento de
Calidad
11.4 Revisin de Aseguramiento de Calidad
sobre el Cumplimiento de Estndares y
Procedimientos de la Funcin de Servicios
de Informacin
11.5 Metodologa del Ciclo de Vida de
Desarrollo de Sistemas
11.6 Metodologa del Ciclo de Vida de
Desarrollo de Sistemas para Cambios
Mayores a la Tecnologa Actual
11.7 Actualizacin de la Metodologa del
Ciclo de Vida de Desarrollo de Sistemas
11.8 Coordinacin y Comunicacin
11.9 Marco de Referencia de Adquisicin y
Mantenimiento para la Infraestructura de
Tecnologa
11.10 Relaciones con Terceras Partes como
Implementadores
11.11 Estndares para la Documentacin de
Programas
11.12 Estndares para Pruebas de Programas
11.13 Estndares para Pruebas de Sistemas
11.14 Pruebas Piloto/En Paralelo
11.15 Documentacin de las Pruebas del
Sistema
1.16 Contratos de Programacin de
Aplicaciones
1.17 Aceptacin de Instalaciones
1.18 Aceptacin de Tecnologa
2.0 Adquisicin y Mantenimiento de
Software de Aplicacin
2.1 Mtodos de Diseo
2.2 Cambios Significativos a Sistemas
Actuales
2.3 Aprobacin del Diseo
2.4 Definicin y Documentacin de
Requerimientos de Archivos
2.5 Especificaciones de Programas
2.6 Diseo para la Recopilacin de Datos
Fuente
2.7 Definicin y Documentacin de
Requerimientos de Entrada de Datos
2.8 Definicin de Interfases
2.9 Interfases Usuario-Mquina
2.10 Definicin y Documentacin de
Requerimientos de Procesamiento
2.11 Definicin y Documentacin de
Requerimientos de Salida de Datos
2.12 Controlabilidad
2.13 Disponibilidad como Factor Clave de
Diseo
2.14 Estipulacin de Integridad de TI en
programas de software de aplicaciones
11.16 Evaluacin del Aseguramiento de la 2.15 Pruebas de Software de Aplicacin
Calidad sobre el Cumplimiento de Estndar
de Desarrollo 2.16 Materiales de Consulta y Soporte para
Usuario
11.17 Revisin del Aseguramiento de
Calidad sobre el Logro de los Objetivos de la 2.17 Reevaluacin del Diseo del Sistema
Funcin de Servicios de Informacin
3.0 Adquisicin y Mantenimiento de
11.18 Mtricas de Calidad Arquitectura de Tecnologa

11.19 Reportes de Revisiones de 3.1 Evaluacin de Nuevo Hardware y

Aseguramiento de la Calidad Software

3.2 Mantenimiento Preventivo para

Hardware

3.3 Seguridad del Software del Sistema

3.4 Instalacin del Software del Sistema

3.5 Mantenimiento del Software del Sistema

3.6 Controles para Cambios del Sofware del

Sistema
4.0 Desarrollo y Mantenimiento de 3.2 Plan de Disponibilidad
Procedimientos relacionados con Tecnologa
de Informacin 3.3 Monitoreo y Reporte

4.1 Futuros Requerimientos y Niveles de 3.4 Herramientas de Modelado

Servicios Operacionales
3.5 Manejo de Desempeo Proactivo
4.2 Manual de Procedimientos para Usuario
3.6 Pronstico de Carga de Trabajo
4.3 Manual de Operacin
3.7 Administracin de Capacidad de
4.4 Material de Entrenamiento Recursos

5.0 Instalacin y Acreditacin de Sistemas 3.8 Disponibilidad de Recursos

5.1 Entrenamiento 3.9 Calendarizacin de recursos

5.2 Adecuacin del Desempeo del Software 4.0 Aseguramiento de Servicio Continuo
de Aplicacin
4.1 Marco de Referencia de Continuidad de
5.3 Conversin Tecnologa de Informacin
5.4 Pruebas de Cambios
5.5 Criterios y Desempeo de Pruebas en
Paralelo/Piloto
5.6 Prueba de Aceptacin Final
5.7 Pruebas y Acreditacin de Seguridad
5.8 Prueba Operacional
5.9 Promocin a Produccin 5.10 Evaluacin
de la Satisfaccin de los Requerimientos del 4.6 Pruebas del Plan de Continuidad de
Usuario
5.11Revisin Gerencial Post -
Implementacin
6.0 Administracin de Cambios
6.1 Inicio y Control de Requisiciones de
Cambio
6.2 Evaluacin del Impacto
6.3 Control de Cambios
6.4 Documentacin y Procedimientos
6.5 Mantenimiento Autorizado
6.6 Poltica de Liberacin de Software
6.7 Distribucin de Software
ENTREGA DE SERVICIOS Y SOPORTE
1.0 Definicin de Niveles de Servicio
1.1 Marco de Referencia para el Convenio de 5.3 Seguridad de Acceso a Datos en Lnea
Nivel de Servicio
1.2 Aspectos sobre los Acuerdos de Nivel de
Servicio
4.2 Estrategia y Filosofa de Continuidad de
Tecnologa de Informacin
4.3 Contenido del Plan de Continuidad de
Tecnologa de Informacin
4.4 Minimizacin de requerimientos de
Continuidad de Tecnologa de Informacin
4.5 Mantenimiento del Plan de Continuidad
de Tecnologa de Informacin
Tecnologa de Informacin
4.7 Capacitacin sobre el Plan de
Continuidad de Tecnologa de Informacin
4.8 Distribucin del Plan de Continuidad de
Tecnologa de Informacin
4.9 Procedimientos de Respaldo de
Procesamiento para Departamentos Usuarios
4.10 Recursos crticos de Tecnologa de
Informacin
4.11 Centro de Cmputo y Hardware de
respaldo
4.12 Procedimientos de Refinamiento del
Plan de Continuidad de TI
5.0 Garantizar la Seguridad de Sistemas
5.1 Administrar Medidas de Seguridad
5.2 Identificacin, Autenticacin y Acceso
5.4 Administracin de Cuentas de Usuario
5.5 Revisin Gerencial de Cuentas de
Usuario
1.3 Procedimientos de Ejecucin
1.4 Monitoreo y Reporte
1.5 Revisin de Convenios y Contratos de
Nivel de Servicio
1.6 Elementos sujetos a Cargo
1.7 Programa de Mejoramiento del Servicio
2.0 Administracin de Servicios prestados
por
Terceros
2.1 Interfases con Proveedores
2.2 Relaciones de Dueos
2.3 Contratos con Terceros
2.4 Calificaciones de terceros
2.5 Contratos con Outsourcing
2.6 Continuidad de Servicios
2.7 Relaciones de Seguridad
2.8 Monitoreo
3.0 Administracin de Desempeo y
Capacidad
3.1 Requerimientos de Disponibilidad y
Desempeo
6.0 Identificacin y Asignacin de Costos
6.1 Elementos Sujetos a Cargo
6.2 Procedimientos de Costeo
6.3 Procedimientos de Cargo y Facturacin a
Usuarios
5.6 Control de Usuarios sobre Cuentas de
Usuario
5.7 Vigilancia de Seguridad
5.8 Clasificacin de Datos
5.9 Administracin Centralizada de
Identificacin y Derechos de Acceso
5.10 Reportes de Violacin y de Actividades
de Seguridad
5.11 Manejo de Incidentes
5.12 Re-acreditacin
5.13 Confianza en Contrapartes
5.14 Autorizacin de Transacciones
5.15 No Rechazo
5.16 Sendero Seguro
5.17 Proteccin de funciones de seguridad
5.18 Administracin de Llave Criptogrfica
5.19 Prevencin, Deteccin y Correccin de
Software "Malicioso"
5.20 Arquitecturas de FireWalls y conexin a
redes pblicas
5.21 Proteccin de Valores Electrnicos
ser Desechada
11.19 Administracin de Almacenamiento
11.20 Perodos de Retencin y Trminos de
Almacenamiento
11.21 Sistema de Administracin de la
7.0 Educacin y Entrenamiento de Usuarios Librera de Medios

7.1 Identificacin de Necesidades de 11.22 Responsabilidades de la

Entrenamiento Administracin de la Librera de Medios

7.2 Organizacin de Entrenamiento de proveedores externos de servicios

7.3 Entrenamiento sobre Principios y 11.23 Respaldo y Restauracin

Conciencia de Seguridad
11.24 Funciones de Respaldo
8.0 Apoyo y Asistencia a los Clientes de
Tecnologa de Informacin 11.25 Almacenamiento de Respaldo

8.1 Bur de Ayuda 11.26 Archivo

8.2 Registro de Preguntas del Usuario 11.27 Proteccin de Mensajes Sensitivos

8.3 Escalamiento de Preguntas del Cliente 11.28 Autenticacin e Integridad

8.4 Monitoreo de Atencin a Clientes 11.29 Integridad de Transacciones

Electrnicas
8.5 Anlisis y Reporte de Tendencias
11.30 Integridad Continua de Datos
9.0 Administracin de la Configuracin Almacenados

9.1 Registro de la Configuracin 12.0 Administracin de Instalaciones

9.2 Base de la Configuracin 12.1 Seguridad Fsica

9.3 Registro de Estatus 12.2 Discrecin de las Instalaciones de

Tecnologa de Informacin
9.4 Control de la Configuracin
12.3 Escolta de Visitantes
9.5 Software no Autorizado
12.4 Salud y Seguridad del Personal
9.6 Almacenamiento de Software
12.5 Proteccin contra Factores Ambientales
10.0 Administracin de Problemas e
Incidentes 12.6 Suministro Ininterrumpido de Energa

10.1 Sistema de Administracin de 13.0 Administracin de Operaciones

Problemas
13.1 Manual de procedimientos de
10.2 Escalamiento de Problemas Operacin e Instrucciones

10.3 Seguimiento de Problemas y Pistas de 13.2 Documentacin del Proceso de Inicio y

Auditora
11.0 Administracin de Datos
11.1 Procedimientos de Preparacin de Datos 13.4 Salidas de la Calendarizacin de
11.2 Procedimientos de Autorizacin de
Documentos Fuente
11.3 Recopilacin de Datos de Documentos
Fuente
11.4 Manejo de Errores de Documentos
Fuente
11.5 Retencin de Documentos Fuente
11.6 Procedimientos de Autorizacin de
Entrada de Datos
11.7 Chequeos de Exactitud, Suficiencia y
Autorizacin
11.8 Manejo de Errores en la Entrada de
Datos
11.9 Integridad de Procesamiento de Datos
11.10 Validacin y Edicin de
Procesamiento de Datos
11.11 Manejo de Error en el Procesamiento
de Datos
11.12 Manejo y Retencin de Salida de
Datos
11.13 Distribucin de Salida de Datos
11.14 Balanceo y Conciliacin de Datos de
Salida
11.15 Revisin de Salida de Datos y Manejo
de Errores
11.16 Provisiones de Seguridad para
de Otras Operaciones
13.3 Calendarizacin de Trabajos
Trabajos Estndar
13.5 Continuidad de Procesamiento
13.6 Bitcoras de Operacin
13.7 Operaciones Remotas
MONITOREO
1.0 Monitoreo del Proceso
1.1 Recoleccin de Datos de Monitoreo
1.2 Evaluacin de Desempeo
1.3 Evaluacin de la Satisfaccin de Clientes
1.4 Reportes Gerenciales
2.0 Evaluar lo adecuado del Control Interno
2.1 Monitoreo de Control Interno
2.2 Operacin oportuna del Control Interno
2.3 Reporte sobre el Nivel de Control Interno
2.4 Seguridad de operacin y aseguramiento
de Control Interno
3.0 Obtencin de Aseguramiento
Independiente
3.1 Certificacin / Acreditacin
Independiente de Control y Seguridad de los
servicios de TI
3.2 Certificacin / Acreditacin
Independiente de Control y Seguridad de
Reportes de Salida proveedores externos de servicios

11.17 Proteccin de Informacin Sensible 3.3 Evaluacin Independiente de la

durante transmisin y transporte Efectividad

11.18 Proteccin de Informacin Crtica a

de los Servicios de TI

3.4 Evaluacin Independiente de la

Efectividad de proveedores externos de
servicios

3.5 Aseguramiento Independiente del

Cumplimiento de leyes y requerimientos
regulatorios y compromisos contractuales

3.6 Aseguramiento Independiente del

Cumplimiento de leyes y requerimientos
regulatorios y compromisos contractuales

3.7 Competencia de la Funcin de

Aseguramiento Independiente

3.8 Participacin Proactiva de Auditora

4.0 Proveer Auditora Independiente

4.1 Estatutos de Auditora

4.2 Independencia

4.3 tica y Estndares Profesionales

4.4 Competencia

4.5 Planeacin

4.6 Desempeo del Trabajo de Auditora

4.7 Reporte

4.8 Actividades de Seguimiento

Autor:

Ivana Soledad Rojas Crsico

Estudiante del 5to. Ao de la Carrera Ingeniera en Sistemas, Universidad Tecnolgica

Nacional (Regional Crdoba)
Tema: Auditora de Sistemas de Informacin

Nueva versin COBIT

IT Governance Institute (ITGI) anunci la publicacin de COBIT 4.1, una nueva versin
del marco para el gobierno de TI de COBIT (Objetivos de Control para la Informacin y la
Tecnologa ), que proporciona una serie de prcticas de gestin, generalmente aceptadas,
que ayudan a los directores, ejecutivos y gerentes a aumentar el valor de TI y reducir los
riesgos.

De amplio uso como herramienta de cumplimiento de Sarbanes-Oxley y de muchas otras

normas internacionales, COBIT precede a las leyes de control que se estn promulgando en
todo el mundo. Es el fruto de 15 aos de investigaciones y cooperacin entre expertos
mundiales en TI y negocios, y constituye un marco unificador internacional que integra las
principales normas internacionales de tecnologa de la informacin, entre ellas, ITIL,
CMMI e ISO17799. La nueva versin del marco se puede descargar de forma gratuita en el
sitio de ITGI (www.itgi.org.), una organizacin independiente y sin fines de lucro.

La nueva versin de COBIT 4.1,, permite asegurar la alineacin de las TI con los objetivos
empresariales, el uso responsable de los recursos y la gestin apropiada de los riesgos.
Representa un perfeccionamiento del marco COBIT 4.0 y se puede utilizar para mejorar el
trabajo realizado con las versiones anteriores de COBIT. Incluye la medida del desempeo,
mejores objetivos de control y mejor alineacin con las metas de negocios y TI.

"COBIT es el nico marco de gestin que aborda el ciclo completo de vida de la inversin
en TI. Este marco apoya el logro de los objetivos empresariales de TI, asegura la alineacin
de las tecnologas de informacin de la empresa y mejora la eficiencia y eficacia de dichas
tecnologas", seal Roger Debreceny, presidente del comit directivo de COBIT de ITGI.
"COBIT 4.1 se basa en la orientacin prctica de directores de todo el mundo que utilizan
el marco para mejorar el gobierno de TI en sus organizaciones, por lo tanto, ha sido
sometido a pruebas y validado".

Acerca de ITGI
IT Governance Institute (ITGI) (www.itgi.org) es una organizacin independiente y sin
fines de lucro, fundada en 1998 por ISACA con el objeto de promover el pensamiento
internacional y las normas en la direccin y el control de la tecnologa de la informacin en
la empresa. ITGI desarroll COBIT y Val IT, y ofrece investigacin y estudio de casos para
ayudar a los lderes empresariales y los directores en todas sus responsabilidades en materia
de gobierno de IT.

Acerca de COBIT
El marco COBIT es aceptado internacionalmente como una buena prctica para el control
de la informacin, TI y los riesgos que conllevan. COBIT se utiliza para implementar el
gobierno y mejorar los controles de IT . Contiene objetivos de control, directivas de
aseguramiento, medidas de desempeo y resultados, factores crticos de xito y modelos de
madurez. Los casos de estudio de COBIT presentan organizaciones como Harley-Davidson,
Prudential Asia y Unisys, y se encuentran disponibles en www.itgi.org.