Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Escuela de Auditoria
Curso de Auditoria V
TRABAJO DE INVESTIGACIÓN
COBIT
Coordinadora:
INTRODUCCIÓN...........................................................................................................................I
5 QUE ES COBIT.................................................................................................................14
6 PRINCIPIOS DE COBIT...................................................................................................15
8 CONCLUSIONES..............................................................................................................16
9 RECOMENDACIONES.....................................................................................................17
10 BIBLIOGRAFÍA..................................................................................................................18
11 ANEXOS.............................................................................................................................19
i
INTRODUCCIÓN
1
Si bien en un principio el Control interno comienza en las funciones de la administración pública, hay
indicios de que, en los pueblos de Egipto, Fenicia, Siria entre otros, se observaba la Contabilidad de
partida simple. Dichos controles los efectuaba el auditor, persona competente que escuchaba las
rendiciones de cuenta de los funcionarios y agentes, quienes por falta de instrucciones no podían
presentarlo por escrito. En la Edad Media aparecieron los libros de Contabilidad para controlar las
operaciones de los negocios, y es en Venecia en donde en 1494, el Franciscano Fray Lucas Paccioli o
Pacciolo, mejor conocido como Lucas di Borgo, escribió un libro sobre la Contabilidad de partida doble. 1
Es en la revolución industrial, cuando surge la necesidad de controlar las operaciones que por su
magnitud eran realizadas por máquinas manejadas por varias personas. Se piensa que el origen del
Control Interno, surge con la partida doble, una de las medidas de control, pero fue hasta fines del siglo
XIX que los hombres de negocios se preocupan por formar y establecer sistemas adecuados para la
protección de sus intereses. La causa principal que dio origen al Control Interno fue la "gran empresa" A
finales de este siglo, como consecuencia del notable aumento de la producción, los propietarios de los
negocios se vieron imposibilitados de continuar atendiendo personalmente los problemas productivos,
comerciales y administrativos, viéndose forzados a delegar funciones dentro de la organización
conjuntamente con la creación de sistemas y procedimientos que previeran o disminuyeran fraudes o
errores, debido a esto comenzó a hacerse sentir la necesidad de llevar a cabo un control sobre la gestión
de los negocios, ya que se había prestado más atención a la fase de producción y comercialización que a
la fase administrativa u organizativa, reconociéndose la necesidad de crear e implementar sistemas de
control como consecuencia del importante crecimiento operado dentro de las entidades; el desarrollo
industrial y económico de los negocios, propició una mayor complejidad en las entidades y en su
administración, surgiendo la imperiosa necesidad de establecer mecanismos 2, normas y procedimientos
de control que dieran respuesta a las nuevas situaciones.
Además, se dice que el Control Interno, es una herramienta surgida de la imperiosa necesidad de
accionar proactivamente a los efectos de suprimir y/o disminuir significativamente la multitud de riesgos
a las cuales se hayan afectadas los distintos tipos de organizaciones, sean estos privados o públicos, con
1
http://www.gestiopolis.com,Contabilidad y Finanzas, Control Interno
2
http://www.mailxmail.com/curso-auditoria-administracion-publica-control-interno/control-interno-
antecedentes-evolucion-1-2
2
o sin fines de lucro. Las numerosísimas normas y reglamentaciones, sean éstas de carácter impositivas,
laborales, ecológicas, de consumidores, contables, bancarias, societarias, bursátiles entre otras,
provenientes de organismos nacionales (federales), provinciales (estaduales) y municipales, obligan a las
administraciones de las organizaciones a mantenerse muy alerta ante los riesgos, que la falta de
cumplimiento de las mismas significa para sus patrimonios. A ellos deben sumarse la necesidad de
constatar el cumplimiento tanto de las normativas internas, como de diversas normas en materia de
seguridad y control interno, como así también verificar la sujeción de las diversas áreas o sectores a las
políticas de la empresa. Desde la década de los 80 se comenzaron a ejecutar una serie de acciones en
diversos países desarrollados con el fin de dar respuesta a un conjunto de inquietudes sobre la
diversidad de conceptos, definiciones e interpretaciones que sobre el control interno existían en el
ámbito internacional, ajustados obviamente al entorno empresarial característico de los países
capitalistas.3
Esta justificación es aparente, ya que el objetivo real pretendida consistía en lograr brindar mayor
seguridad a los accionistas de las grandes empresas y corporaciones, y alcanzar mayor exactitud y
transparencia en la información financiera. La pretensión consistía en alcanzar una definición de un
nuevo marco conceptual para el control interno, que fuera capaz de integrar las diversas definiciones y
conceptos que habían venido siendo utilizadas sobre este concepto, con el objetivo de que las
organizaciones públicas o privadas, la auditoría interna o externa, así como los diferentes niveles
legislativos y académicos dispongan de un marco conceptual común, con una visión integradora que
pueda satisfacer las demandas generalizadas de todos los sectores involucrados con este concepto. El
control interno durante los últimos años ha estado adquiriendo mayor importancia en los diferentes
países, a causa de los numerosos problemas producidos por su ineficiencia. Una de las causas se
encuentra en el no haberse asumido de forma efectiva la responsabilidad sobre el mismo por parte de
todos los miembros de los Consejos de Administración de las diversas actividades económicas que se
desarrollan en cualquier país, de lo cual El Salvador no es una excepción, ya que generalmente se ha
considerado que el control interno, es un tema reservado solamente para los contadores.
En el mundo se le ha prestado una gran atención a la necesidad de elevar las exigencias en los Controles
Internos, a partir de la década del 70, por el descubrimiento de muchos pagos ilegales, malversaciones y
otras prácticas delictivas en los negocios, por lo que terceras personas quisieron conocer por qué los
Controles Internos de las entidades no habían prevenido a la administración de la ocurrencia de esas
ilegalidades. El Control Interno ha sido preocupación de la mayoría de las entidades, aunque con
3
http://www.gestiopolis.com,Contabilidad y Finanzas, Control Interno
3
diferentes enfoques y terminologías, lo cual se puede evidenciar al consultar los libros de texto de
auditoría, los artículos publicados por organizaciones profesionales, universidades y autores
individuales; generalmente el Control Interno se ha considerado como un tema reservado solamente
para los contadores.4
En 1985, en los Estados Unidos de América se crea un grupo de trabajo por la Treadway Commissión,
denominado Comisión Nacional de Informes Financieros Fraudulentos, bajo la sigla COSO (Committee of
Sponsoring Organization), 5 Comité de Organizaciones Patrocinadores de la Comisión Treadway, con el
objetivo de dar respuesta a lo anteriormente señalado, estando constituido por representantes de las
organizaciones siguientes: Asociación Norteamericana de Contabilidad (AAA); Instituto
En 1992, tras varios años de trabajo y discusiones se publica en Estados Unidos el denominado Informe
COSO sobre Control Interno, cuya redacción fue encomendada a Coopers & Lybrand (versión en ingles),
y difundidos al mundo de habla hispana en asociación con el Instituto de Auditores Internos de España
(IAI) en 1997; sin embargo, y con anterioridad a plantear algunas de las principales definiciones
alcanzadas por dicho comité, resulta útil resumir los antecedentes que condujeron a este estudio en los
Estados Unidos de Norteamérica y que indiscutiblemente influyeron en otros estudios realizados y que
se realizan en diversos países del mundo.
4
http://www.mailxmail.com/curso-auditoria-administracion-publica-control-interno/control-interno-
antecedentes-evolucion-1-2
5
http://www.monografias.com/trabajos12/coso/coso.shtml
4
5
El principio 11 del popular marco de referencia es una herramienta útil para que los
Contadores Públicos Certificados administren la tecnología.
Una constante preocupación para los negocios que tratan de usar los avances en
tecnología para impulsar eficiencia y crecimiento es mantener los controles apropiados
de la Tecnología de la Información (TI).
El Cuadro muestra los pasos que pueden seguir los Contadores para el uso del
Principio 11 para entender el sistema de TI y sus controles, y evaluar su efectividad.
Este diagrama de flujo es bastante general para aplicarse a cualquier proceso de
negocios, grande y complejo o pequeño y sencillo. El primer paso es lograr el
entendimiento de la tecnología implicada, incluyendo:
El entendimiento de estas cuatro áreas del sistema de tecnología se logra con el uso
de procedimientos que se describen en la Aclaración a la Norma de Auditoría AU-C
Sección 315 del Instituto Americano de Contadores Públicos Certificados (AICPA, por
sus siglas en inglés). Entendimiento de la entidad, su entorno y evaluación del riesgo
de representación errónea de importancia relativa:
Investigación con el personal.
Procedimientos analíticos.
El último paso sugiere usar una matriz de controles (probablemente en una hoja de
cálculo) y un modelo de madurez para asignar la puntuación del control en una escala
de 0 a 5. Es un hecho para todo el mundo de la contabilidad y auditoría que debe
usarse el juicio para determinar si la evaluación global (puntuación) representa un pase
(aprobación) o una descalificación del sistema de control de TI.
Imagine, por ejemplo, que un Director de Finanzas (CFO, Chief Financial Officer, por
sus siglas en inglés) de una compañía manufacturera hiciera uso del marco de
referencia de COSO para asegurar la efectividad de su sistema de control interno. El
CFO (o el contralor o el Auditor Interno) podrían usar este Cuadro para lograr el
entendimiento de todo el arreglo de controles de TI de la compañía.
Aunque algunas compañías usan el marco de referencia de COSO solo para vigilar sus
controles internos sobre la información financiera externa, el marco de referencia de
2013, recientemente revisado, también puede usarse para evaluar controles en
múltiples áreas operativas y en procesos internos que no sean de información
financiera como los sistemas de la compañía para correo electrónico, nómina y
procesamiento de Recursos Humanos, y diversos procesos de manufactura.
Referencia https://www.incp.org.co/principio-11-del-marco-de-referencia-del-coso-modelo-que-le-
ayudara-a-administrar-mejor-las-ti-en-los-procesos-de-su-empresa/
10
Herramientas de control:
Las herramientas de control, son de dos tipos lógicos y físicos, desde el punto lógico
son programas que brindan seguridad, las principales herramientas son las siguientes.
Análisis de Plataformas
Se trata de determinar la plataforma para la colocación del producto más tarde.
Análisis de Aplicación
Se trata de inventariar las necesidades de desarrollo de INTERFASES con el diferente
software de seguridad de las aplicaciones y bases de datos.
Administración de Seguridad
Es la observación de los diferentes productos para el control los cuales deben de tener;
reglas de control aplicables a todos los recursos del sistema, permitir al administrador
la seguridad de establecer un perfil de privilegios de acceso para el usuario,
designación de diferentes administradores, permitir el producto al administrador de
establecer privilegios a grupos y limitarlos en estas peticiones.
12
Single Sing On
Este concepto se define como la utilización de un software password para tener una
identificación para un usuario.
Seguridad
Está relacionado con la contraseña, la identificación, la contraseña mínima.
Organización
La integran las personas con funciones específicas y con actuaciones concretas,
procedimientos definidos metodológicamente y aprobados por la dirección de la
empresa. Sin el nada es posible.
Funciones
Procedimientos
Planes (seguridad, contingencia, Auditorías, etc.)
Metodologías
Son necesarias para desarrollar cualquier proyecto que nos propongamos de manera
ordenada y eficaz.
Objetivos de Control
Son los objetivos a cumplir en el control de procesos y solamente de un planteamiento
correcto de los mismos, saldrán unos procedimientos eficaces y realistas.
Procedimientos de Control
13
Son operativos de las distintas áreas de la empresa, obtenidos con una metodología
apropiada, para la consecución de uno o varios objetivos de control, y por lo tanto
deben estar documentados y aprobados por la Dirección.
Tecnología de Seguridad
Dentro de la tecnología de seguridad están los elementos, ya sean hardware o
software, que ayudaran a controlar un riesgo informático. (Cifradores, autentificadores,
equipos “tolerantes al fallo” etc.)
Herramientas de Control
Son elementos software que permiten definir uno o varios procedimientos de control
para cumplir una normativa y un objetivo de la Organización interna de la Seguridad
Informática.
Metodologías a evaluar:
Amenaza una persona o cosa vista como posible fuente de peligro o catástrofe
(inundación, incendio, robo de datos, sabotaje, agujeros publicados, etc.)
Vulnerabilidad la situación creada, por la falta de uno o varios controles, con los
que la amenaza pudiera afectar al entorno informático (falta de control de
14
bibliografía
5 QUE ES COBIT
COBIT 5
COBIT 5 es una guía de trabajo que le permite percibir la dirección y la gestión de las
tecnologías de información (TI) de una organización, así como también evaluar el
estado en que se encuentran las TI en la empresa.
También puede definirse como un grupo de equipos de soporte empleadas por la alta
gerencia para la reducción de espacio entre los requerimientos de control, los temas
técnicos y los riesgos del negocio.
Fue publicado en el año 2012, por lo que tiene casi 8 años. Por lo que a la fecha ha
evolucionado sufriendo algunas modificaciones sus formatos dando como resultado un
16
COBIT 2019
comparación con I & T, esta es toda la información que la empresa genera, procesa y
utiliza para lograr sus objetivos y la tecnología que la respalda en toda la empresa.
6 PRINCIPIOS DE COBIT 5
Los principios y habilitadores de Cobit 5 son genéricos y útiles para las organizaciones
de cualquier tamaño, bien sean comerciales, sin fines de lucro o en el sector público.
Permiten a la organización construir un marco efectivo de Gobierno y Administración
basado en una serie holística de siete habilitadores, que optimizan la inversión en
tecnología e información, así como su uso en beneficio de las partes interesadas
Satisfacer las necesidades de las partes interesadas:
Las empresas existen para crear valor para sus partes interesadas manteniendo el
equilibrio entre la realización de beneficios y la optimización de los riesgos y el uso de
recursos.
COBIT 5 provee todos los procesos necesarios y otros catalizadores para permitir la
creación de valor del negocio mediante el uso de TI. Dado que toda empresa tiene
objetivos diferentes, una empresa puede personalizar COBIT 5 para adaptarlo a su
propio contexto mediante la cascada de metas, traduciendo metas corporativas de alto
nivel en otras metas más manejables, específicas, relacionadas con TI y mapeándolas
con procesos y prácticas específicas.
Cubrir la organización de forma integral o de punta a punta:
COBIT 5 integra el gobierno y la gestión de TI en el gobierno corporativo:
– Cubre todas las funciones y procesos dentro de la empresa; COBIT 5 no se enfoca
sólo en la “función de TI”, sino que trata la información y las tecnologías relacionadas
como activos que deben ser tratados como cualquier otro activo por todos en la
empresa.
– Considera que los catalizadores relacionados con TI para el gobierno y la gestión
deben ser a nivel de toda la empresa y de principio a fin, es decir, incluyendo a todo y
todos – internos y externos – los que sean relevantes para el gobierno y la gestión de la
información de la empresa y TI relacionad
Aplicar un solo marco integrado:
Hay muchos estándares y buenas prácticas relativos a TI, ofreciendo cada uno ayuda
para un subgrupo de actividades de TI. COBIT 5 se alinea a alto nivel con otros
estándares y marcos de trabajo relevantes, y de este modo puede hacer la función de
marco de trabajo principal para el gobierno y la gestión de las Ti de la empresa.
21
y el progreso en función con los objetivos acordados. La gestión está más relacionada
con la planificación, la construcción, la ejecución y el monitoreo de las actividades
alineadas con la dirección establecida por el organismo de gobierno para el logro de los
objetivos empresariales. https://www.esan.edu.pe/apuntes-empresariales/2016/06/los-
cinco-principios-de-cobit-5/
COBIT 5 ha conocido 5 principios, que deben cumplir con un buen marco y sistema de
gobierno. Aquí los principios más precisos en la nueva versión. (Cobit 2019)
Los siguientes seis (6) principios son los requisitos principales de un sistema de
gobierno para administrar la información y la tecnología corporativa.
Cada empresa necesita un sistema de gobierno para satisfacer las necesidades de los
interesados y agregar valor mediante el uso de TI.
Un sistema de gobierno para Enterprise I & T consta de una serie de componentes que
pueden ser de diferentes tipos y trabajar juntos de manera integral.
Un sistema de gobierno debe ser dinámico. Esto significa que cualquier cambio en uno
o más factores de diseño debe tener en cuenta el impacto de estos cambios en el
sistema EGIT.
Un sistema de gobierno debe distinguir claramente entre el gobierno y las actividades y
estructuras de gestión.
Un sistema de gobierno debe adaptarse a las necesidades de la empresa, utilizando un
conjunto de factores de diseño como parámetros para adaptar y priorizar los
componentes del sistema de gobierno.
23
Los siguientes tres (3) principios establecen los principios básicos para un marco de
gobierno que se puede utilizar para construir un sistema de gobierno corporativo:
Un marco de gobierno debe basarse en un modelo conceptual que identifique los
componentes clave y las relaciones entre los componentes para maximizar la
coherencia y permitir la automatización.
Un marco de gobierno debe ser abierto y flexible. Debe permitir la adición de nuevo
contenido y brindar la oportunidad de abordar nuevos problemas de la manera más
flexible posible, a la vez que se mantiene la integridad y la coherencia.
Un marco de gobierno debe adaptarse a los estándares relevantes, marcos y
regulaciones relevantes
Estos principios pueden parecer un tanto abstractos a primera vista, pero han abordado
conceptos interesantes que ayudan a abordar los aspectos de alguna manera
importantes de la gobernabilidad en los equipos de auto organización a veces difíciles
de controlar de hoy.
24
Egrafía
- https://www.esan.edu.pe/apuntes-empresariales/2016/06/los-cinco-principios-de-cobit-
5/
- DARWIN, publicado el 15 SEPTIEMBRE, 2015,
https://chae1700911004.wordpress.com/2015/09/15/principios-cobit-5/
-Pepe González, publicado Nov 30, 2018, https://medium.com/@ppglzr/cobit-2019-el-
nuevo-modelo-de-gobierno-empresarial-para-informaci%C3%B3n-y-tecnolog
%C3%ADa-a7bf92b7288b
La versión anterior COBIT 5 se remonta a 2012 y ahora tiene casi 7 años. Como todos
sabemos, el mundo de la informática y la digitalización ha cambiado bastante. Se han
establecido nuevos métodos y modelos de prestación de servicios, que eran difíciles de
abordar con el marco COBIT 5 existente. Desafortunadamente, con la versión anterior,
ISACA aún no ha podido sacar a COBIT del área de auditoría de TI y colocar el marco
como un modelo de gobierno general para la empresa.
Ahora que los datos y la información están a la vanguardia de todos los esfuerzos de
digitalización, ven la oportunidad de colocar el gobierno en el más alto nivel corporativo,
dada la información y la tecnología (I & T) que necesitan, en lugar de la responsabilidad
olvidable. COBIT 5 se definió como un marco para establecer un sistema de gestión y
gestión de TI para la empresa. Bajo COBIT 2019, el marco se denomina GOBIERNO
DE LA INFORMACIÓN Y TECNOLOGÍA DE LAS EMPRESAS (EGIT). No es lo mismo
que I y T. TI: a menudo se refiere al departamento de organización con responsabilidad
principal por la tecnología, en comparación con I & T, esta es toda la información que la
empresa genera, procesa y utiliza para lograr sus objetivos y la tecnología que la
respalda en toda la empresa. Con COBIT 2019, queremos enfatizar la importancia de la
información en la empresa y la tecnología necesaria.
25
Además del cambio de nombre, ha habido una serie de cambios notables, que solo
puedo reproducir aquí en la descripción general:
8 Ahora hay 6 principios del sistema de gobierno y tres principios del marco de
gobierno.
COBIT 5 ha conocido 5 principios, que deben cumplir con un buen marco y sistema de
gobierno. Los siguientes seis (6) principios son los requisitos principales de un sistema
de gobierno para administrar la información y la tecnología corporativa.
Un sistema de gobierno debe ser dinámico. Esto significa que cualquier cambio en
uno o más factores de diseño debe tener en cuenta el impacto de estos cambios en
el sistema EGIT.
Los siguientes tres (3) principios establecen los principios básicos para un marco de
gobierno que se puede utilizar para construir un sistema de gobierno corporativo:
Un marco de gobierno debe ser abierto y flexible. Debe permitir la adición de nuevo
contenido y brindar la oportunidad de abordar nuevos problemas de la manera más
flexible posible, a la vez que se mantiene la integridad y la coherencia.
A primera vista, este “gráfico de objetivos” puede parecer similar al mapa del proceso
COBIT 5. Pero hay mucho más: detrás de cada uno de los más de 40 “Objetivos de
gobierno y administración” que se muestran, no solo se describen los procesos, sino los
7 componentes, así como todo el sistema de destino en cascada, incluidas las métricas.
Por ejemplo, esto incluye los aspectos relevantes para cada tema, como políticas
relevantes, estructuras organizativas, flujos de información y habilidades necesarias
basadas en el “Marco de habilidades para la era de la información V6”, las herramientas
necesarias (Componente: Servicios, Infraestructura y Aplicaciones).
28
9 Factores de diseño
Un nuevo componente clave de COBIT 2019 son los factores de diseño. Estos factores
influyen en el diseño del sistema de gobierno de una empresa y contribuyen al éxito de
la información y la tecnología utilizada.
29
Ahora el gato está fuera de la caja: COBIT se aleja de ISO / IEC 33000 e introduce un
sistema de “Gestión de rendimiento COBIT” compatible con CMMI. El modelo CPM está
ampliamente adaptado y extendido a los conceptos de CMMI® Development V2.0201:
Las actividades del proceso están vinculadas a niveles de habilidad. Esto se incluye
en el marco COBIT®2019: Guía de objetivos de gobierno y gestión.
Los niveles de madurez se asocian con áreas de enfoque (es decir, una colección de
objetivos de gobierno y gestión y componentes subyacentes) y se logran cuando se
alcanzan todas las capacidades requeridas.
Esto significa que los niveles de madurez de madurez a nivel organizativo son tales que
todos los procesos de gestión y gestión dentro de un área de enfoque pueden tener un
cierto grado de madurez individual y, si existen todos los procesos, alcanzar un nivel de
madurez definido.
Ahora el gato está fuera de la caja: COBIT se aleja de ISO / IEC 33000 e introduce un
sistema de “Gestión de rendimiento COBIT” compatible con CMMI. El modelo CPM está
ampliamente adaptado y extendido a los conceptos de CMMI® Development V2.0201:
Las actividades del proceso están vinculadas a niveles de habilidad. Esto se incluye
en el marco COBIT® 2019: Guía de objetivos de gobierno y gestión.
Los niveles de madurez se asocian con áreas de enfoque (es decir, una colección de
objetivos de gobierno y gestión y componentes subyacentes) y se logran cuando se
alcanzan todas las capacidades requeridas.
Esto significa que los niveles de madurez de madurez a nivel organizativo son tales que
todos los procesos de gestión y gestión dentro de un área de enfoque pueden tener un
cierto grado de madurez individual y, si existen todos los procesos, alcanzar un nivel de
madurez definido.
33
Por supuesto, incluso después de que se pueda analizar la norma ISO / IEC33000 y
debería funcionar en principio. Pero no habrá un modelo de evaluación de procesos
PAM separado para COBIT 2019.
COBIT siempre ha sido una joya entre los marcos. Es de esperar que con la versión de
COBIT 2019, sobresalga un poco más de la sombra de Auditoria de TI y puedan
levantarse los tesoros reales en las diferentes organizaciones.
35
11 CONCLUSIONES
36
12 RECOMENDACIONES
37
13 BIBLIOGRAFÍA
38
14 ANEXOS