COBIT: modelo para auditoría y control de sistemas de información

REVISIÓN SISTEMÁTICA: COBIT: MODELO PARA AUDITORIA Y

CONTROL DE SISTEMAS DE INFORMACIÓN
Nelson perez prieto cod: 20142015221
dslnelson@hotmail.com

UNIVERSIDAD DISTRITAL FRANCISCO JOSE DE CALDAS

RESUMEN

Las organizaciones usan las tecnologías de información y comunicación (Tics) para facilitar la gestión y
control de sus procesos internos, fijando como directriz principal la alineación con las estrategias
empresariales establecidas. Partiendo de esta premisa, se fija como objetivo general del presente artículo:
presentar los resultados de la aplicación de la norma COBIT (Control Objetives for Information and Related
Technology) en el proceso de monitoreo de las transferencias electrónicas de datos contables, financieros y
administrativos. En este artículo se mostrara la investigación realizada sobre este tema tomado de 4
diferentes artículos científicos el cual nos muestra que COBIT consolida y armoniza estándares de
fuentes globales prominentes en un recurso crítico para la gerencia, los profesionales de control y los
auditores.
COBIT se aplica a los sistemas de información de toda la empresa. Está basado en la filosofía de que los
recursos de TI necesitan ser administrados por un conjunto de procesos naturalmente agrupados para
proveer la información pertinente y confiable que requiere una organización para lograr sus objetivos. Alinea
las metas de negocio con los procesos y metas de TI proporcionando herramientas, recursos y orientación
para lograr, identificar y asociar las responsabilidades de los procesos empresariales y de TI.

Palabras clave: COBIT, IT, Información, Monitoreo de procesos.

.

SYSTEMATIC REVIEW: COBIT: MODEL FOR AUDIT AND CONTROL OF INFORMATION SYSTEMS

ABSTRACT

Organizations use information and communication technologies (Tics) to facilitate the management and
control of their internal processes, setting the alignment with the established business strategies as the main
guideline. Based on this premise, the general objective of this article is set: to present the results of the
application of the COBIT standard (Control Objectives for Information and Related Technology) in the process
of monitoring electronic transfers of accounting, financial and administrative data. This article will show the
research carried out on this topic taken from 4 different scientific articles which shows us that COBIT
consolidates and harmonizes standards of prominent global sources in a critical resource for management,
control professionals and auditors.
COBIT applies to information systems throughout the company. It is based on the philosophy that IT
resources need to be managed by a set of naturally grouped processes to provide the relevant and reliable
information required by an organization to achieve its objectives. Align business goals with IT processes and
goals by providing tools, resources and guidance to achieve, identify and associate the responsibilities of the
business and IT processes.

Keywords: COBIT, IT, Information, Process monitoring..

1
 COBIT: modelo para auditoría y control de sistemas de información
1. INTRODUCCIÓN
En la actualidad, para las organizaciones
empresariales, es vital que se evalúen constante y
regularmente todos los procesos que en ellas se
llevan a cabo, con el fin de verificar su calidad y
suficiencia en cuanto a los requerimientos de
negocio para la información: control, integridad y
confidencialidad. Por ello, los sistemas
informáticos, como medios automatizados para
soportar dichos procesos, permite materializar uno
de los recursos relevantes para cualquier
organización empresarial: la información que cada
día genera (Piattini y Del Peso, 1998; Ruiz, 1999;
Echenique, 2001). En relación a la información, la
gestión requiere un aumento en la calidad,
funcionalidad y facilidad de uso; disminuyendo a la
vez periodos de entrega; y mejorando
continuamente los niveles de servicio (con la
exigencia de que esto se lleve a cabo con costos
más bajos (Ruiz, 1999:33). Se requiere de normas
y/o programas que puedan ser utilizados en la
evaluación del funcionamiento de los sistemas de
información utilizados y en el análisis de la
eficiencia del control interno, además de la
verificación del cumplimiento de la normativa
general de la empresa y la revisión de la gestión
eficaz de los recursos materiales y humanos en el
ámbito informático.
En consecuencia, el principal objetivo del proyecto
COBIT es el desarrollo de políticas claras y buenas
prácticas en materia de seguridad y control de TI, y
obtener el respaldo de las organizaciones
comerciales, gubernamentales y profesionales en
general. La meta del proyecto fue desarrollar estos
objetivos de control fundamentalmente desde el
punto de vista de los objetivos y las necesidades de
negocio
2. METODOLOGIA DE GESTION
La toma de decisiones de toda organización
depende principalmente de los resultados de sus
operaciones. Sin embargo, los recursos y
tecnologías, utilizados para ejecutar dichas
operaciones, deben ser administrados para
garantizar el control de riesgos, el cumplimiento de
los parámetros de calidad y la adecuada
implantación de medidas de seguridad. La
necesidad de control, tanto en la información como
en la tecnología de información, ha sido punta de
lanza para la implementación de normas de
aceptación general a nivel mundial, como lo son:
2
COSO, ISO/IEC 17799:2000, ITIL, COBIT, entre
otros. Dichos marcos de trabajo se han convertido
en instrumentos gerenciales que ofrecen a los
directivos, ejecutivos, gerentes y auditores un
conjunto de prácticas que permiten aumentar el
valor de la información y reducir los riesgos
relacionados con los ámbitos informáticos, con la
finalidad de suministrar información más efectiva,
eficiente, integra y confiable. A pesar de que las
ventajas ofrecidas por las tecnologías son
numerosas, el procesamiento de datos automático
y la incorporación de sistemas de información
basados en red en las organizaciones, en forma
específica, ha disminuido los niveles de seguridad
de la data y ha aumentado la vulnerabilidad de los
sistemas (Laudon y Laudon, 2000).
1. ¿CUÁL ES SU ESTRUCTURA?
La estructura del modelo COBIT propone un marco
de acción donde se evalúan los criterios de
información, como por ejemplo la seguridad y
calidad, se auditan los recursos que comprenden la
tecnología de información, como por ejemplo el
recurso humano, instalaciones, sistemas, entre
otros, y finalmente se realiza una evaluación sobre
los procesos involucrados en la organización. Se
define un marco de referencia que clasifica los
procesos de las unidades de tecnología de
información de las organizaciones en cuatro
“dominios” principales, a saber:
PLANIFICACION Y ORGANIZACION: Este
dominio cubre la estrategia y las tácticas y se
refiere a la identificación de la forma en que la
tecnología de información puede contribuir de la
mejor manera al logro de los objetivos del negocio.
Además, la consecución de la visión estratégica
necesita ser planeada, comunicada y administrada
desde diferentes perspectivas. Finalmente, deberán
establecerse una organización y una infraestructura
tecnológica apropiadas.
ADQUISION E IMPLANTACION: Para llevar a
cabo la estrategia de TI, las soluciones de TI deben
ser identificadas, desarrolladas o adquiridas, así
como implementadas e integradas dentro del
proceso del negocio. Además, este dominio cubre
los cambios y el mantenimiento realizados a
sistemas existentes.
SOPORTE Y SERVICIOS: En este dominio se hace
referencia a la entrega de los servicios requeridos,
que abarca desde las operaciones tradicionales
hasta el entrenamiento, pasando por seguridad y
 COBIT: modelo para auditoría y control de sistemas de información
aspectos de continuidad. Con el fin de proveer
servicios, deberán establecerse los procesos de
soporte necesarios. Este dominio incluye el
procesamiento de los datos por sistemas de
aplicación, frecuentemente clasificados como
controles de aplicación.
MONITOREO: Todos los procesos necesitan ser
evaluados regularmente a través del tiempo para
verificar su calidad y suficiencia en cuanto a los
requerimientos de control.
2. ¿COMO ES SU APLICACIÓN?
La adecuada implementación de un modelo COBIT
en una organización, provee una herramienta
automatizada, para evaluar de manera ágil y
consistente el cumplimiento de los objetivos de
control y controles detallados, que aseguran que
los procesos y recursos de información y tecnología
contribuyen al logro de los objetivos del negocio en
un mercado cada vez más exigente, complejo y
diversificado. El enfoque del control en TI se lleva a
cabo visualizando la información necesaria para dar
soporte a los procesos de negocio y considerando
a la información como el resultado de la aplicación
combinada de recursos relacionados con las TI que
deben ser administrados por procesos de TI.
Requerimientos de la información del negocio: Para
alcanzar los requerimientos de negocio, la
información necesita satisfacer ciertos criterios:
Requerimientos de Calidad: Calidad, Costo y
Entrega. Requerimientos Fiduciarios: Efectividad y
Eficiencia operacional, Confiabilidad de los reportes
financieros y Cumplimiento le leyes y regulaciones.
3. ¿QUE VENTAJAS TIENE ESTA
METODOLOGÍA DE GESTIÓN?
Mediante la implementación de COBIT se puede
evidenciar las siguientes ventajas:
 Suministra un lenguaje común que le
permite a los ejecutivos de negocios
comunicar sus metas, objetivos y
resultados con Auditores, IT y otros
profesionales.
 Proporciona las mejores prácticas y
herramientas para monitorear y gestionar
las actividades de IT.
3
 Protege la información, es decir
lograr la confidencialidad de la información.
 Disponibilidad de la información cuando
ésta se requiere por el proceso de negocio
en todo momento.
 COBIT proporciona las directrices para
tomar las decisiones en la realización de
servicios.
 Este marco de referencia proporciona roles
y responsabilidades.
 Proporciona la optimizacion de los costos
de las TI.
 Este marco no obliga a adoptar todos los
procesos.
 COBIT integra auditorias, analiza todo su
procesos atreves de las auditorias.
 Los usuarios se benefician de COBIT
debido al aseguramiento proporcionado a
ellos si los usos que ayudan en la reunión,
el tratamiento, y el reportaje de información
cumplen con COBIT ya que esto implica
mandos y la seguridad es en el lugar para
gobernar los procesos
4. OPNINION
Para muchas organizaciones, la información y la
tecnología que la respalda, representan los activos
más valiosos de la empresa, por lo que la gestión
de los riesgos asociados de la Tecnología de
Información, o Gobernabilidad de TI (IT
Governance), ha ganado notoriedad en tiempos
recientes como un aspecto clave de la
gobernabilidad corporativa, dada su capacidad de
proporcionar valor agregado al negocio,
balanceando la relación entre el riesgo y el retorno
de la inversión sobre TI y sus procesos. Estos
aspectos se enfatizan en el Marco de referencia
COBIT, el cual se define como conjunto de
Objetivos de Control para la Información y
Tecnologías Relacionadas.
5. REFERENCIAS BIBLIOGRÁFICAS
Artículos:
 COBIT: modelo para auditoría y control de sistemas de información

[1]. Centro Nacional de Tecnologías de

Información y Comunicación (2009). Disponible en:
http://www.gobiernoenlinea.ve (Consulta: 25 de
mayo 2018).

[2] COBIT: modelo para auditoría y control de

sistemas de información (10 de mayo de 2007)
Disponible en: http://www.eafit.edu.co
/boletines/auditoria-control/b13.pdf (Consulta: 25 de
mayo 2018).

[3] Gobernabilidad, control y auditoria de

informacion y tecnologias relacionadas (Abril de
2005) Disponible en: http://www.Cobit.PDF
(Consulta: 25 de mayo 2018).

[4] Guldentops, E. (2003). Management Awareness

Diagnostic. ISACA. IT Governance Institute.
Disponible en: http://www.itgi.org (Consulta: 25 de
mayo 2018).

Referencias de internet:

[1] COBIT objetivos de control para la informacion

tecnologica. Disponible en:
https://www.ccti.com.co/index.php/blog/191-sabias-
que-cobit [consultado el 25 de mayo de 2018].

[2] COBIT practicas para describer y acumular la

iformacion Disponible en: https://nextech.pe/que-es-
cobit-y-para-que-sirve/ [consultado el 25 de mayo
de 2018].