Universidad San Carlos de Guatemala

Facultad de Ciencias Económicas

Escuela de Auditoria

Curso de Auditoria V

TRABAJO DE INVESTIGACIÓN

COBIT

Guatemala 16 de abril de 2020

 NOMBRE CARNET

1. 9716149 Juan Francisco Morales

2. 200121189 Consuelo Beatriz Castillo Recinos

3. 200712847 Luis Antonio Pérez Yoc

4. 200811857 Sandra Fabiola Juárez Álvarez

5. 200912966 Edith Andrea López Cruz

6. 200019407 Cecilia Verónica B López Contreras

7. 201111087 Jorge Luis López EstradaPerez Yoc

Coordinadora:

Jackellin Lizeth Velasquez Cruz 200512903

 Índice General

INTRODUCCIÓN...........................................................................................................................I

1 ANTECEDENTES DEL CONTROL INTERNO...............................................................1

2 CONCEPTO DE CONTROL INTERNO...........................................................................5

3 MARCO INTEGRADO DE CONTROL COSO (PRINCIPIO 11)..................................6

4 METODOLOGIA DEL CONTROL INTERNO.................................................................9

5 QUE ES COBIT.................................................................................................................14

6 PRINCIPIOS DE COBIT...................................................................................................15

7 DIFERENCIAS CON COBIT 2019..................................................................................15

8 CONCLUSIONES..............................................................................................................16

9 RECOMENDACIONES.....................................................................................................17

10 BIBLIOGRAFÍA..................................................................................................................18

11 ANEXOS.............................................................................................................................19
 i

INTRODUCCIÓN
 1

1 ANTECEDENTES DEL CONTROL INTERNO

Si bien en un principio el Control interno comienza en las funciones de la administración pública, hay
indicios de que, en los pueblos de Egipto, Fenicia, Siria entre otros, se observaba la Contabilidad de
partida simple. Dichos controles los efectuaba el auditor, persona competente que escuchaba las
rendiciones de cuenta de los funcionarios y agentes, quienes por falta de instrucciones no podían
presentarlo por escrito. En la Edad Media aparecieron los libros de Contabilidad para controlar las
operaciones de los negocios, y es en Venecia en donde en 1494, el Franciscano Fray Lucas Paccioli o
Pacciolo, mejor conocido como Lucas di Borgo, escribió un libro sobre la Contabilidad de partida doble. 1
Es en la revolución industrial, cuando surge la necesidad de controlar las operaciones que por su
magnitud eran realizadas por máquinas manejadas por varias personas. Se piensa que el origen del
Control Interno, surge con la partida doble, una de las medidas de control, pero fue hasta fines del siglo
XIX que los hombres de negocios se preocupan por formar y establecer sistemas adecuados para la
protección de sus intereses. La causa principal que dio origen al Control Interno fue la "gran empresa" A
finales de este siglo, como consecuencia del notable aumento de la producción, los propietarios de los
negocios se vieron imposibilitados de continuar atendiendo personalmente los problemas productivos,
comerciales y administrativos, viéndose forzados a delegar funciones dentro de la organización
conjuntamente con la creación de sistemas y procedimientos que previeran o disminuyeran fraudes o
errores, debido a esto comenzó a hacerse sentir la necesidad de llevar a cabo un control sobre la gestión
de los negocios, ya que se había prestado más atención a la fase de producción y comercialización que a
la fase administrativa u organizativa, reconociéndose la necesidad de crear e implementar sistemas de
control como consecuencia del importante crecimiento operado dentro de las entidades; el desarrollo
industrial y económico de los negocios, propició una mayor complejidad en las entidades y en su
administración, surgiendo la imperiosa necesidad de establecer mecanismos 2, normas y procedimientos
de control que dieran respuesta a las nuevas situaciones.

Además, se dice que el Control Interno, es una herramienta surgida de la imperiosa necesidad de
accionar proactivamente a los efectos de suprimir y/o disminuir significativamente la multitud de riesgos
a las cuales se hayan afectadas los distintos tipos de organizaciones, sean estos privados o públicos, con

1
http://www.gestiopolis.com,Contabilidad y Finanzas, Control Interno
2
http://www.mailxmail.com/curso-auditoria-administracion-publica-control-interno/control-interno-
antecedentes-evolucion-1-2
 2

o sin fines de lucro. Las numerosísimas normas y reglamentaciones, sean éstas de carácter impositivas,
laborales, ecológicas, de consumidores, contables, bancarias, societarias, bursátiles entre otras,
provenientes de organismos nacionales (federales), provinciales (estaduales) y municipales, obligan a las
administraciones de las organizaciones a mantenerse muy alerta ante los riesgos, que la falta de
cumplimiento de las mismas significa para sus patrimonios. A ellos deben sumarse la necesidad de
constatar el cumplimiento tanto de las normativas internas, como de diversas normas en materia de
seguridad y control interno, como así también verificar la sujeción de las diversas áreas o sectores a las
políticas de la empresa. Desde la década de los 80 se comenzaron a ejecutar una serie de acciones en
diversos países desarrollados con el fin de dar respuesta a un conjunto de inquietudes sobre la
diversidad de conceptos, definiciones e interpretaciones que sobre el control interno existían en el
ámbito internacional, ajustados obviamente al entorno empresarial característico de los países
capitalistas.3
Esta justificación es aparente, ya que el objetivo real pretendida consistía en lograr brindar mayor
seguridad a los accionistas de las grandes empresas y corporaciones, y alcanzar mayor exactitud y
transparencia en la información financiera. La pretensión consistía en alcanzar una definición de un
nuevo marco conceptual para el control interno, que fuera capaz de integrar las diversas definiciones y
conceptos que habían venido siendo utilizadas sobre este concepto, con el objetivo de que las
organizaciones públicas o privadas, la auditoría interna o externa, así como los diferentes niveles
legislativos y académicos dispongan de un marco conceptual común, con una visión integradora que
pueda satisfacer las demandas generalizadas de todos los sectores involucrados con este concepto. El
control interno durante los últimos años ha estado adquiriendo mayor importancia en los diferentes
países, a causa de los numerosos problemas producidos por su ineficiencia. Una de las causas se
encuentra en el no haberse asumido de forma efectiva la responsabilidad sobre el mismo por parte de
todos los miembros de los Consejos de Administración de las diversas actividades económicas que se
desarrollan en cualquier país, de lo cual El Salvador no es una excepción, ya que generalmente se ha
considerado que el control interno, es un tema reservado solamente para los contadores.
En el mundo se le ha prestado una gran atención a la necesidad de elevar las exigencias en los Controles
Internos, a partir de la década del 70, por el descubrimiento de muchos pagos ilegales, malversaciones y
otras prácticas delictivas en los negocios, por lo que terceras personas quisieron conocer por qué los
Controles Internos de las entidades no habían prevenido a la administración de la ocurrencia de esas
ilegalidades. El Control Interno ha sido preocupación de la mayoría de las entidades, aunque con

3
http://www.gestiopolis.com,Contabilidad y Finanzas, Control Interno
 3

diferentes enfoques y terminologías, lo cual se puede evidenciar al consultar los libros de texto de
auditoría, los artículos publicados por organizaciones profesionales, universidades y autores
individuales; generalmente el Control Interno se ha considerado como un tema reservado solamente
para los contadores.4
En 1985, en los Estados Unidos de América se crea un grupo de trabajo por la Treadway Commissión,
denominado Comisión Nacional de Informes Financieros Fraudulentos, bajo la sigla COSO (Committee of
Sponsoring Organization), 5 Comité de Organizaciones Patrocinadores de la Comisión Treadway, con el
objetivo de dar respuesta a lo anteriormente señalado, estando constituido por representantes de las
organizaciones siguientes: Asociación Norteamericana de Contabilidad (AAA); Instituto

 Norteamericano de Contadores Públicos Asociados (AICPA); Instituto

 Ejecutivo Financiero (FEI); Instituto de Auditores Internos (IIA); Instituto de
 Contabilidad Gerencial (IMA)

En 1992, tras varios años de trabajo y discusiones se publica en Estados Unidos el denominado Informe
COSO sobre Control Interno, cuya redacción fue encomendada a Coopers & Lybrand (versión en ingles),
y difundidos al mundo de habla hispana en asociación con el Instituto de Auditores Internos de España
(IAI) en 1997; sin embargo, y con anterioridad a plantear algunas de las principales definiciones
alcanzadas por dicho comité, resulta útil resumir los antecedentes que condujeron a este estudio en los
Estados Unidos de Norteamérica y que indiscutiblemente influyeron en otros estudios realizados y que
se realizan en diversos países del mundo.

4
http://www.mailxmail.com/curso-auditoria-administracion-publica-control-interno/control-interno-
antecedentes-evolucion-1-2
5
http://www.monografias.com/trabajos12/coso/coso.shtml
4
 5

2 CONCEPTO DE CONTROL INTERNO

Es un proceso de control integrado a las actividades operativas de las organizaciones, diseñado

para asegurar en forma razonable la fiabilidad de la información contable; los estados contables
conforman el objeto del examen en la auditoría externa de estados contables, esta relación entre
ambos muestra la importancia que tiene el sistema de control interno para la auditoría externa de
estados contables.
El Control Interno se define como el conjunto de normas, principios, fundamentos, procesos,
procedimientos, acciones, mecanismos, técnicas e instrumentos de Control que, ordenados,
relacionados entre sí y unidos a las personas que conforman una institución pública, se
constituye en un medio para lograr una función administrativa de Estado integra, eficaz y
transparente, apoyando el cumplimiento de sus objetivos institucionales y contribuyendo al
logro de la finalidad social del Estado.
Es una serie de acciones de control que ocurren de manera constante, a través del funcionamiento
y operación de cada institución pública, debiendo reconocerse como un componente integral de
cada sistema o parte inherente a la estructura administrativa y gestión de cada organismo y
entidad pública, y asistiendo a la Máxima Autoridad de manera permanente, en cuanto al manejo
de la institución y alcance de sus objetivos se refiere.

COBIT es precisamente un modelo para auditar la gestión y control de los sistemas de

información y tecnología, orientado a todos los sectores de una organización, es decir,
administradores IT, usuarios y por supuesto, los auditores involucrados en el proceso. COBIT es
un modelo de evaluación y monitoreo que enfatiza en el control de negocios y la seguridad IT y
que abarca controles específicos de IT desde una perspectiva de negocios.
Las siglas COBIT significan Objetivos de Control para Tecnología de Información y
Tecnologías relacionadas (Control Objectives for Information Systems and related Technology).
El modelo es el resultado de una investigación con expertos de varios países, desarrollado por
ISACA (Information Systems Audit and Control Association).
COBIT es un marco para el gobierno y la gestión de la información y la tecnología de la
empresa, dirigido a toda la empresa. COBIT define los componentes y los factores de diseño
para construir y mantener un sistema de gobierno que se ajuste mejor
6
 7

3 MARCO INTEGRADO DE CONTROL COSO (PRINCIPIO 11)

 El principio 11 del popular marco de referencia es una herramienta útil para que los
Contadores Públicos Certificados administren la tecnología.

 Una constante preocupación para los negocios que tratan de usar los avances en
tecnología para impulsar eficiencia y crecimiento es mantener los controles apropiados
de la Tecnología de la Información (TI).

 El principio 11 del marco de referencia del Comité de Organizaciones Patrocinadoras

de la Comisión Treadway (COSO, por sus siglas en inglés), recientemente actualizado
sobre controles internos, brinda los lineamientos para evaluar la efectividad de los
controles sobre TI. Como parte de la evaluación general del control interno de una
organización que se rige por el marco de referencia, el Principio 11 puede ayudar a
administrar la tecnología siempre cambiante. El Principio declara que la organización
selecciona y desarrolla actividades generales de control sobre la tecnología para
soportar el logro de objetivos. Los puntos importantes son:

 Determine la dependencia entre el uso de la tecnología en los procesos de

negocios y los controles generales de la tecnología.
 Establezca actividades relevantes de control de la infraestructura de la
tecnología.
 Establezca actividades relevantes de control en el proceso de administración de
la seguridad.
 Establezca actividades relevantes de control del proceso de adquisición,
desarrollo y mantenimiento de la tecnología.

El Cuadro muestra los pasos que pueden seguir los Contadores para el uso del
Principio 11 para entender el sistema de TI y sus controles, y evaluar su efectividad.
Este diagrama de flujo es bastante general para aplicarse a cualquier proceso de
negocios, grande y complejo o pequeño y sencillo. El primer paso es lograr el
entendimiento de la tecnología implicada, incluyendo:

La infraestructura y componentes de Tecnología de la Información.

Las áreas de computación de usuario final de laptops, aparatos móviles y hojas de

cálculo.

Aplicaciones de TI subcontratadas en la nube y otros proveedores de servicios

externos.

 Cómo se administra la función de la tecnología en toda la entidad.

 8

El entendimiento de estas cuatro áreas del sistema de tecnología se logra con el uso
de procedimientos que se describen en la Aclaración a la Norma de Auditoría AU-C
Sección 315 del Instituto Americano de Contadores Públicos Certificados (AICPA, por
sus siglas en inglés). Entendimiento de la entidad, su entorno y evaluación del riesgo
de representación errónea de importancia relativa:

Investigación con el personal.

Procedimientos analíticos.

Observación de procesos (es decir, inspecciones).

 Inspección de documentos y documentación.

Los últimos cuatro pasos (nodos) de la actividad muestran el análisis de controles de

aplicación y la evaluación de los riesgos de procesamiento de información que están
manejando, y luego un análisis de los controles generales de la tecnología que
protegen los controles de aplicación. Finalmente, el CPA usará un sistema con
procedimientos para asignar un valor a la probabilidad de que los controles prevengan
(o no) o detecten y corrijan el error.

 El último paso sugiere usar una matriz de controles (probablemente en una hoja de
cálculo) y un modelo de madurez para asignar la puntuación del control en una escala
de 0 a 5. Es un hecho para todo el mundo de la contabilidad y auditoría que debe
usarse el juicio para determinar si la evaluación global (puntuación) representa un pase
(aprobación) o una descalificación del sistema de control de TI.

 Imagine, por ejemplo, que un Director de Finanzas (CFO, Chief Financial Officer, por
sus siglas en inglés) de una compañía manufacturera hiciera uso del marco de
referencia de COSO para asegurar la efectividad de su sistema de control interno. El
CFO (o el contralor o el Auditor Interno) podrían usar este Cuadro para lograr el
entendimiento de todo el arreglo de controles de TI de la compañía.

Aunque algunas compañías usan el marco de referencia de COSO solo para vigilar sus
controles internos sobre la información financiera externa, el marco de referencia de
2013, recientemente revisado, también puede usarse para evaluar controles en
múltiples áreas operativas y en procesos internos que no sean de información
financiera como los sistemas de la compañía para correo electrónico, nómina y
procesamiento de Recursos Humanos, y diversos procesos de manufactura.

 Con el uso de este Cuadro, el CFO y el personal de contabilidad y auditoría podría

analizar todos los controles de aplicación de TI y controles generales para evaluar su
efectividad. ¿Asegura el sistema que autorizaciones, verificaciones, conciliaciones y
actividades de control físico están diseñadas y documentadas de manera apropiada y
 9

operando con efectividad en los procesos de operación y de información financiera de

la compañía? ¿Está debidamente asegurado el acceso a la información personal de los
empleados en los datos de nómina? Estas son preguntas que puede ayudar a
responder el Cuadro.

Al seguir evolucionando la tecnología e integrarla en más procesos de negocios, el

marco de referencia de COSO brinda una guía útil para controles efectivos. Aplicar el
marco de referencia y el Principio 11 de manera correcta es un paso importante hacia
el logro de un sistema sólido de control interno. 

Referencia https://www.incp.org.co/principio-11-del-marco-de-referencia-del-coso-modelo-que-le-

ayudara-a-administrar-mejor-las-ti-en-los-procesos-de-su-empresa/
 10

4 METODOLOGIA DEL CONTROL INTERNO

Métodos, procedimientos y herramientas

Control interno informático:

Cumplen funciones de control dual en los diferentes departamentos, que puede ser
normativa, marco jurídico.
las funciones del control interno son las siguientes.

 determinar los propietarios y los perfiles según la clase de información.

 permitir a dos personas intervenir como medida de control.
 realizar planes de contingencias.
 dictar normas de seguridad.
 informática, controla la calidad de software, los costos, calidad de servicio
informático.
 control de licencias, manejo de claves de cifrado, vigilan el cumplimiento de
normas y de controles, es clara que esta medida permite la seguridad
informática.

Metodologías de clasificación de información y de obtención de procedimientos de

control:
Es establecer cuáles son las entidades de información a proteger, dependiendo del
grado de importancia de la información para el establecimiento de contramedidas.

Herramientas de control:
Las herramientas de control, son de dos tipos lógicos y físicos, desde el punto lógico
son programas que brindan seguridad, las principales herramientas son las siguientes.

 seguridad lógica del sistema

 11

 seguridad lógica complementaria del sistema

 seguridad lógica en entornos distribuidos
 control de acceso físico,
 control de copias,
 gestión de soporte magnéticos,
 gestión de control de impresión y envío de listados por red,
 control de proyectos y versiones,
 gestión de independencia y control de cambios.

Análisis de Plataformas
Se trata de determinar la plataforma para la colocación del producto más tarde.

Catálogos de Requerimientos Previos de Implantación

Es determinar el inventario de lo que se va a conseguir y también lo necesario para la
implantación; acciones y proyectos, calendarizados y su duración y seguimiento.

Análisis de Aplicación
Se trata de inventariar las necesidades de desarrollo de INTERFASES con el diferente
software de seguridad de las aplicaciones y bases de datos.

Inventario de Funcionalidades y Propietarios

Es determinar los controles que se deben tener por parte de los usuarios de las
aplicaciones como de los del sistema y permite establecer que el nuevo esquema de
control no pierda los objetivos de control.

Administración de Seguridad
Es la observación de los diferentes productos para el control los cuales deben de tener;
reglas de control aplicables a todos los recursos del sistema, permitir al administrador
la seguridad de establecer un perfil de privilegios de acceso para el usuario,
designación de diferentes administradores, permitir el producto al administrador de
establecer privilegios a grupos y limitarlos en estas peticiones.
 12

Single Sing On
Este concepto se define como la utilización de un software password para tener una
identificación para un usuario.

Facilidad de uso Y Reporting

Trata de la interfaz y la calidad de interfaz (interfaz gráfica, menús, etc.).

Seguridad
Está relacionado con la contraseña, la identificación, la contraseña mínima.

Organización
La integran las personas con funciones específicas y con actuaciones concretas,
procedimientos definidos metodológicamente y aprobados por la dirección de la
empresa. Sin el nada es posible.
Funciones
Procedimientos
Planes (seguridad, contingencia, Auditorías, etc.)

Metodologías
Son necesarias para desarrollar cualquier proyecto que nos propongamos de manera
ordenada y eficaz.

Objetivos de Control
Son los objetivos a cumplir en el control de procesos y solamente de un planteamiento
correcto de los mismos, saldrán unos procedimientos eficaces y realistas.

Procedimientos de Control
 13

Son operativos de las distintas áreas de la empresa, obtenidos con una metodología
apropiada, para la consecución de uno o varios objetivos de control, y por lo tanto
deben estar documentados y aprobados por la Dirección.

Tecnología de Seguridad
Dentro de la tecnología de seguridad están los elementos, ya sean hardware o
software, que ayudaran a controlar un riesgo informático. (Cifradores, autentificadores,
equipos “tolerantes al fallo” etc.)

Herramientas de Control
Son elementos software que permiten definir uno o varios procedimientos de control
para cumplir una normativa y un objetivo de la Organización interna de la Seguridad
Informática.

Metodologías de Evaluación De Sistemas

Metodologías a evaluar:

Auditoría Informática solo identifica el nivel de “exposición” por falta de controles.

Análisis de Riesgos facilita la “evaluación” de los riesgos y recomienda acciones en

base al costo-beneficio de las mismas.

Definiciones para profundizar en estas metodologías

 Amenaza una persona o cosa vista como posible fuente de peligro o catástrofe
(inundación, incendio, robo de datos, sabotaje, agujeros publicados, etc.)
 Vulnerabilidad la situación creada, por la falta de uno o varios controles, con los
que la amenaza pudiera afectar al entorno informático (falta de control de
 14

acceso lógico, de versiones, inexistencia de un control de soporte magnético,

etc.).
Definiciones para profundizar en estas metodologías

 Riesgo la probabilidad de que una amenaza llegue a acaecer por una

vulnerabilidad (los datos estadísticos de cada evento de una base de datos de
incidentes).
Exposición o Impacto la evaluación del efecto del riesgo. (es frecuente evaluar el
impacto en términos económicos, aunque no siempre lo es, como vidas humanas,
imágenes de la empresa, honor, etc.).

bibliografía

Libro de auditoria informática un enfoque práctico (Mario Piattine)

 15

5 QUE ES COBIT

COBIT es un modelo de gobierno para implementar la auditoria, la gestión y el control

de los sistemas informáticos y tecnológicos, dirigido a todas las empresas, en donde se
definen factores, de diseño para la construcción y el mantenimiento y la administración
de los sistemas, definiéndose como un modelo de evaluación y monitoreo que enfatiza
en el control de negocios y la seguridad IT y que que se extiende a los controles
específicos de IT desde una perspectiva de negocios.
También se puede definir a COBIT como los objetivos de control para tecnologías de
información y tecnologías relacionadas (Control Objectives for information Sistems adn
relates Technology).
Esto como el resultado de una serie de investigaciones con personal experto en la
materia de varios países desarrollado por ISACA (Information Sistems Audit and
Control Association).
Fue lanzado en el año de 1996, como una herramienta de dirección de TI, que ha
venido a colaborar con la forma en la que trabajan los profesionales de la tecnología,
relacionado con tecnología informática y la practicas de control, este modelo unifica y
crea estándares como un recurso critico para la gerencia, los profesionales de control y
los auditores

COBIT 5

COBIT 5 es una guía de trabajo que le permite percibir la dirección y la gestión de las
tecnologías de información (TI) de una organización, así como también evaluar el
estado en que se encuentran las TI en la empresa.

También puede definirse como un grupo de equipos de soporte empleadas por la alta
gerencia para la reducción de espacio entre los requerimientos de control, los temas
técnicos y los riesgos del negocio.
Fue publicado en el año 2012, por lo que tiene casi 8 años. Por lo que a la fecha ha
evolucionado sufriendo algunas modificaciones sus formatos dando como resultado un
 16

panorama diferente. La incorporación de nuevas tecnologías y tendencias comerciales

en el uso de TI (por ejemplo, transformación digital, DevOps) no se ha incorporado a
COBIT, lo que requiere una realineación. 

Es necesario que COBIT continúe evolucionando y demande actualizaciones más

frecuentes y fluidas. La flecha roja simboliza esta noción de evolución
continua. Además, para garantizar un control de versiones efectivo, todas las
actualizaciones futuras se estamparán con el año correspondiente al lanzamiento de la
guía más actualizada. En donde se puede desarrollar una política clara que permite el
control de las TI en la organización. el cumplimiento regulado ayuda a incrementar el
valor agrupado al área de TI de la organización. Desde su inicio, COBIT 5 ha
evolucionado desde su uso para la auditoría de TI, para luego pasar por el control, la
gestión de TI, el gobierno de TI, llegando a su versión actual que es un enfoque del
gobierno corporativo de TI.

COBIT 5 facilita que tecnología de información sea administrada y gestionada en forma

simple para toda la organización, tomando en consideración el negocio y áreas
funcionales de punta a así como los interesados internos y externos, puede aplicarse
en las organizaciones de todos los tamaños, tanto en el sector privado, público o
entidades sin fines de lucro.COBIT es el único que se ocupa de los controles
específicos de TI desde la perspectiva del negocio. COBIT 5 se basa en ISO/IEC
15504 e ITIL.  No se pretende que COBIT reemplace estos modelos de control, se
destacan son los elementos de gobierno y gestión y las prácticas necesarias para crear
valor para la compañía.

COBIT 2019

COBIT 2019, el marco se denomina GOBIERNO DE LA INFORMACIÓN Y

TECNOLOGÍA DE LAS EMPRESAS (EGIT). No es lo mismo que I y T. TI, se refiere al
departamento de organización con responsabilidad principal por la tecnología, en
 17

comparación con I & T, esta es toda la información que la empresa genera, procesa y
utiliza para lograr sus objetivos y la tecnología que la respalda en toda la empresa.

COBIT 2019, lo que se busca es resaltar la importancia de la información en la

empresa y la tecnología necesaria, además del cambio de nombre, ha habido una serie
de cambios notables, que solo puedo reproducir aquí en la descripción general, esto
contribuye a garantizar un EGIT eficaz, facilitando una implementación más fácil y
personalizada, fortaleciendo el papel continuo de COBIT como un importante impulsor
de la innovación y la transformación empresarial.

¿QUÉ TÍTULOS SE INCLUYEN EN LA FAMILIA DE PRODUCTOS COBIT 2019?

 
 Marco COBIT 2019: Introducción y metodología: una introducción a los
conceptos clave de COBIT 2019.
 
 Marco COBIT 2019: Objetivos de gobierno y gestión: describe de manera
exhaustiva los 40 objetivos centrales de gobernanza y gestión, los procesos
contenidos en él y otros componentes relacionados. Esta guía también hace
referencia a otros estándares y marcos.

 Guía de diseño de COBIT 2019: diseño de una solución de gobierno de

información y tecnología: esta guía explora los factores de diseño que pueden influir
en el gobierno e incluye un flujo de trabajo para planificar un sistema de gobierno
personalizado para la empresa.

 Guía de implementación de COBIT 2019: Implementación y optimización de una

solución de gobierno de información y tecnología: este título representa una evolución
de la guía de implementación de COBIT 5 y desarrolla una hoja de ruta para la mejora
continua del gobierno. Se puede usar en combinación con la Guía de diseño COBIT
2019.
 18

La familia de productos COBIT 2019 busca el desarrollo de nuevas orientaciones,

capacitación y recursos para respaldar la familia de productos COBIT 2019 se evaluará
continuamente en función de la demanda del mercado y se gestionará a través de la
hoja de ruta de productos de ISACA.

¿COBIT 2019 SE ALINEA CON OTROS ESTÁNDARES Y MARCOS

INTERNACIONALES?
En este contexto, alineación significa:
 COBIT 2019 no contradice ninguna guía en los estándares relacionados.

 COBIT 2019 no copia el contenido de estas normas relacionadas.

 COBIT 2019 proporciona declaraciones equivalentes o referencias a guías

relacionadas.
 19

6 PRINCIPIOS DE COBIT 5

 Satisfacer las necesidades del accionista

 Considerar la empresa de punta a punta
 Aplicar un único modelo de referencia integrado
 Posibilitar un enfoque holístico
 Separar gobierno de la gestión.

Los cinco principios de COBIT 5

 20

Los principios y habilitadores de Cobit 5 son genéricos y útiles para las organizaciones
de cualquier tamaño, bien sean comerciales, sin fines de lucro o en el sector público.
Permiten a la organización construir un marco efectivo de Gobierno y Administración
basado en una serie holística de siete habilitadores, que optimizan la inversión en
tecnología e información, así como su uso en beneficio de las partes interesadas
Satisfacer las necesidades de las partes interesadas:
 Las empresas existen para crear valor para sus partes interesadas manteniendo el
equilibrio entre la realización de beneficios y la optimización de los riesgos y el uso de
recursos.
COBIT 5 provee todos los procesos necesarios y otros catalizadores para permitir la
creación de valor del negocio mediante el uso de TI. Dado que toda empresa tiene
objetivos diferentes, una empresa puede personalizar COBIT 5 para adaptarlo a su
propio contexto mediante la cascada de metas, traduciendo metas corporativas de alto
nivel en otras metas más manejables, específicas, relacionadas con TI y mapeándolas
con procesos y prácticas específicas.
Cubrir la organización de forma integral o de punta a punta:
 COBIT 5 integra el gobierno y la gestión de TI en el gobierno corporativo:
–  Cubre todas las funciones y procesos dentro de la empresa; COBIT 5 no se enfoca
sólo en la “función de TI”, sino que trata la información y las tecnologías relacionadas
como activos que deben ser tratados como cualquier otro activo por todos en la
empresa.
–  Considera que los catalizadores relacionados con TI para el gobierno y la gestión
deben ser a nivel de toda la empresa y de principio a fin, es decir, incluyendo a todo y
todos – internos y externos – los que sean relevantes para el gobierno y la gestión de la
información de la empresa y TI relacionad
Aplicar un solo marco integrado:
Hay muchos estándares y buenas prácticas relativos a TI, ofreciendo cada uno ayuda
para un subgrupo de actividades de TI. COBIT 5 se alinea a alto nivel con otros
estándares y marcos de trabajo relevantes, y de este modo puede hacer la función de
marco de trabajo principal para el gobierno y la gestión de las Ti de la empresa.
 21

Aplicar un único modelo de referencia integrado: COBIT 5 integra los mejores marcos

de Information Systems Audit and Control Association (ISACA) como Val IT, que
relaciona los procesos de COBIT con los de la gerencia requeridos para conseguir un
buen valor de las inversiones en TI. También se relaciona con Risk IT, lanzado por
ISACA para ayudar a organizaciones a equilibrar los riesgos con los beneficios.
Se considera el uso de Business Model for Information Security (BMIS) e IT Assurance
Framework (ITAF). Además permite alinearse con los principales estándares o marcos
como Information Technology Infrastructure Library (ITIL), The Open Group
Architecture Forum (TOGAF), Project Management Body of Knowledge (PMBOK),
PRojects IN Controlled Environments 2 (PRINCE2), Committee of Sponsoring
Organizations of the Treadway Commission (COSO) y estándares ISO.
https://www.esan.edu.pe/apuntes-empresariales/2016/06/los-cinco-principios-de-cobit-
5/
Habilitar un enfoque holístico:
Un gobierno y gestión de las TI de la empresa efectivo y eficiente requiere de un
enfoque holístico que tenga en cuenta varios componentes interactivos. COBIT 5 define
un conjunto de catalizadores (enablers) para apoyar la implementación de un sistema
de gobierno y gestión global para las TI de la empresa.

Separar el Gobierno de la Administración: 

El marco de trabajo COBIT 5 establece una clara distinción entre gobierno y gestión.
Estas dos disciplinas engloban diferentes tipos de actividades, requieren diferentes
estructuras organizativas y sirven a diferentes propósitos. La visión de COBIT 5 en esta
distinción clave entre gobierno y gestión.
Otro concepto según apuntes empresariales de Separar el Gobierno de la gestión es:
COBIT 5 distingue con claridad los ámbitos del gobierno de TI y la gestión de TI. Se
entiende por gobierno de TI las funciones relacionadas con la evaluación, la dirección y
el monitoreo de las TI. El gobierno busca asegurar el logro de los objetivos
empresariales y también evalúa las necesidades de los accionistas, así como las
condiciones y las opciones existentes. La dirección se concreta mediante la priorización
y la toma efectiva de decisiones. Y el monitoreo abarca el desempeño, el cumplimiento
 22

y el progreso en función con los objetivos acordados. La gestión está más relacionada
con la planificación, la construcción, la ejecución y el monitoreo de las actividades
alineadas con la dirección establecida por el organismo de gobierno para el logro de los
objetivos empresariales. https://www.esan.edu.pe/apuntes-empresariales/2016/06/los-
cinco-principios-de-cobit-5/

Principios COBIT 2019

6 principios del sistema de gobierno y tres principios del marco de

gobierno Cobit 2019.

COBIT 5 ha conocido 5 principios, que deben cumplir con un buen marco y sistema de
gobierno. Aquí los principios más precisos en la nueva versión. (Cobit 2019)

Los siguientes seis (6) principios son los requisitos principales de un sistema de
gobierno para administrar la información y la tecnología corporativa.
Cada empresa necesita un sistema de gobierno para satisfacer las necesidades de los
interesados y agregar valor mediante el uso de TI.
Un sistema de gobierno para Enterprise I & T consta de una serie de componentes que
pueden ser de diferentes tipos y trabajar juntos de manera integral.
Un sistema de gobierno debe ser dinámico. Esto significa que cualquier cambio en uno
o más factores de diseño debe tener en cuenta el impacto de estos cambios en el
sistema EGIT.
Un sistema de gobierno debe distinguir claramente entre el gobierno y las actividades y
estructuras de gestión.
Un sistema de gobierno debe adaptarse a las necesidades de la empresa, utilizando un
conjunto de factores de diseño como parámetros para adaptar y priorizar los
componentes del sistema de gobierno.
 23

Un sistema de gobierno debe cubrir a toda la empresa, centrándose no solo en la

función de TI, sino en toda la tecnología y el procesamiento de información que la
empresa utiliza para lograr sus objetivos.

Los siguientes tres (3) principios establecen los principios básicos para un marco de
gobierno que se puede utilizar para construir un sistema de gobierno corporativo:
Un marco de gobierno debe basarse en un modelo conceptual que identifique los
componentes clave y las relaciones entre los componentes para maximizar la
coherencia y permitir la automatización.
Un marco de gobierno debe ser abierto y flexible. Debe permitir la adición de nuevo
contenido y brindar la oportunidad de abordar nuevos problemas de la manera más
flexible posible, a la vez que se mantiene la integridad y la coherencia.
Un marco de gobierno debe adaptarse a los estándares relevantes, marcos y
regulaciones relevantes
Estos principios pueden parecer un tanto abstractos a primera vista, pero han abordado
conceptos interesantes que ayudan a abordar los aspectos de alguna manera
importantes de la gobernabilidad en los equipos de auto organización a veces difíciles
de controlar de hoy.
 24

Egrafía

- https://www.esan.edu.pe/apuntes-empresariales/2016/06/los-cinco-principios-de-cobit-
5/
- DARWIN, publicado el 15 SEPTIEMBRE, 2015,
https://chae1700911004.wordpress.com/2015/09/15/principios-cobit-5/
-Pepe González, publicado Nov 30, 2018, https://medium.com/@ppglzr/cobit-2019-el-
nuevo-modelo-de-gobierno-empresarial-para-informaci%C3%B3n-y-tecnolog
%C3%ADa-a7bf92b7288b

7 DIFERENCIAS CON COBIT 2019

La versión anterior COBIT 5 se remonta a 2012 y ahora tiene casi 7 años. Como todos
sabemos, el mundo de la informática y la digitalización ha cambiado bastante. Se han
establecido nuevos métodos y modelos de prestación de servicios, que eran difíciles de
abordar con el marco COBIT 5 existente. Desafortunadamente, con la versión anterior,
ISACA aún no ha podido sacar a COBIT del área de auditoría de TI y colocar el marco
como un modelo de gobierno general para la empresa.

Ahora que los datos y la información están a la vanguardia de todos los esfuerzos de
digitalización, ven la oportunidad de colocar el gobierno en el más alto nivel corporativo,
dada la información y la tecnología (I & T) que necesitan, en lugar de la responsabilidad
olvidable. COBIT 5 se definió como un marco para establecer un sistema de gestión y
gestión de TI para la empresa. Bajo COBIT 2019, el marco se denomina GOBIERNO
DE LA INFORMACIÓN Y TECNOLOGÍA DE LAS EMPRESAS (EGIT). No es lo mismo
que I y T. TI: a menudo se refiere al departamento de organización con responsabilidad
principal por la tecnología, en comparación con I & T, esta es toda la información que la
empresa genera, procesa y utiliza para lograr sus objetivos y la tecnología que la
respalda en toda la empresa. Con COBIT 2019, queremos enfatizar la importancia de la
información en la empresa y la tecnología necesaria.
 25

Además del cambio de nombre, ha habido una serie de cambios notables, que solo
puedo reproducir aquí en la descripción general:

8 Ahora hay 6 principios del sistema de gobierno y tres principios del marco de
gobierno.

COBIT 5 ha conocido 5 principios, que deben cumplir con un buen marco y sistema de
gobierno. Los siguientes seis (6) principios son los requisitos principales de un sistema
de gobierno para administrar la información y la tecnología corporativa.

 Cada empresa necesita un sistema de gobierno para satisfacer las necesidades de

los interesados y agregar valor mediante el uso de TI.

 Un sistema de gobierno para Enterprise I & T consta de una serie

de componentes que pueden ser de diferentes tipos y trabajar juntos de manera
integral.

 Un sistema de gobierno debe ser dinámico. Esto significa que cualquier cambio en
uno o más factores de diseño debe tener en cuenta el impacto de estos cambios en
el sistema EGIT.

 Un sistema de gobierno debe distinguir claramente entre el gobierno y las

actividades y estructuras de gestión.

 Un sistema de gobierno debe adaptarse a las necesidades de la empresa, utilizando

un conjunto de factores de diseño como parámetros para adaptar y priorizar los
componentes del sistema de gobierno.

 Un sistema de gobierno debe cubrir a toda la empresa, centrándose no solo en la

función de TI, sino en toda la tecnología y el procesamiento de información que la
empresa utiliza para lograr sus objetivos.
 26

Los siguientes tres (3) principios establecen los principios básicos para un marco de
gobierno que se puede utilizar para construir un sistema de gobierno corporativo:

 Un marco de gobierno debe basarse en un modelo conceptual que identifique los

componentes clave y las relaciones entre los componentes para maximizar la
coherencia y permitir la automatización.

 Un marco de gobierno debe ser abierto y flexible. Debe permitir la adición de nuevo
contenido y brindar la oportunidad de abordar nuevos problemas de la manera más
flexible posible, a la vez que se mantiene la integridad y la coherencia.

 Un marco de gobierno debe adaptarse a los estándares relevantes, marcos y

regulaciones relevantes

Los habilitadores se convirtieron en “componentes”. Siempre se ha criticado de alguna

manera que COBIT 5 haya tratado ampliamente con los «procesos» de habilitador (y
también con la «Información» del Habilitador), pero ha omitido a los otros facilitadores
no menos importantes.

Esta circunstancia se ha tenido debidamente en cuenta. El PRM “modelo de referencia

de proceso” ya no existe en este formulario. Hay algo mucho mejor: el “Objetivo de
Gobernanza y Gestión”.
 27

A primera vista, este “gráfico de objetivos” puede parecer similar al mapa del proceso
COBIT 5. Pero hay mucho más: detrás de cada uno de los más de 40 “Objetivos de
gobierno y administración” que se muestran, no solo se describen los procesos, sino los
7 componentes, así como todo el sistema de destino en cascada, incluidas las métricas.
Por ejemplo, esto incluye los aspectos relevantes para cada tema, como políticas
relevantes, estructuras organizativas, flujos de información y habilidades necesarias
basadas en el “Marco de habilidades para la era de la información V6”, las herramientas
necesarias (Componente: Servicios, Infraestructura y Aplicaciones).
 28

9 Factores de diseño

Un nuevo componente clave de COBIT 2019 son los factores de diseño. Estos factores
influyen en el diseño del sistema de gobierno de una empresa y contribuyen al éxito de
la información y la tecnología utilizada.
 29

 Estrategia empresarial: las empresas pueden seguir diferentes estrategias que

pueden expresarse como uno o más de los arquetipos. Las organizaciones
usualmente tienen una estrategia primaria y, a lo sumo, una estrategia secundaria.

 Objetivos de la empresa para apoyar la estrategia corporativa — La estrategia de

la empresa se realiza mediante el logro (una serie de objetivos de negocio). Estos
objetivos se definen en el marco COBIT, estructuradas de acuerdo con las
dimensiones del cuadro de mando integral (BSC), e incluyen los elementos
mostrados.

 Perfil de riesgo de la empresa y los problemas actuales relacionados con I & T — El

perfil de riesgo identifica el tipo de riesgo relacionados con el T I y a la que se
suspende la actualidad la empresa e indica qué áreas de riesgo más allá del apetito
por el riesgo.

 Problemas relacionados con I&T: una metodología relacionada para una

evaluación de riesgos de I&T para la empresa es examinar los problemas
relacionados con I&T a los que actualmente se enfrenta, o, en otras palabras, qué
riesgo corre para I & T.

 Panorama de amenazas: el panorama de amenazas en el que opera la empresa se

puede clasificar como una amenaza alta o normal.

 Requisitos de cumplimiento: los requisitos de cumplimiento a los que está sujeta la

empresa pueden clasificarse como requisitos de cumplimiento alto, medio o bajo.

 Función de TI: la función de TI para la empresa se puede clasificar como soporte,

entrega, fábrica o estrategia.

 Modelo de adquisiciones para TI: el modelo de adquisiciones que utiliza la

empresa puede clasificarse como Outsourcing, Cloud, Insourced, híbrido.

 Métodos de implementación de TI: los métodos que utiliza la empresa se pueden

clasificar como Agile, DevOps, tradicional, híbrido.
 30

 Estrategia para adoptar la tecnología (estrategia de adaptación): la estrategia de

adopción de tecnología se puede clasificar como primer motor, seguidor, adaptador
lento.

 Tamaño de la empresa: Se definen dos categorías (grande, PYME) para el diseño

del sistema de gobierno de una empresa.

Debido a la influencia del factor de diseño, algunos objetivos de gobierno y gestión

pueden llegar a ser más importantes que otros, en la medida en que se vuelven
insignificantes. En la práctica, esto significa que se deben establecer niveles más altos
de madurez para estas áreas. Algunos factores de diseño pueden afectar la importancia
de uno o más componentes o requerir variaciones específicas. Esto hace que sea
mucho más fácil adaptar un sistema de gobierno a su propia realidad.

Nuevo sistema de evaluación de capacidades.

Con COBIT 5, se ha introducido un nuevo modelo de evaluación de procesos basado en

la norma ISO15504 o el nuevo ISO / IEC 33000. Esto también publicó un Modelo de
Evaluación de Procesos, un PAM, que cumple exactamente con los requisitos del
Estándar de Evaluación. COBIT se ha limitado deliberadamente a una evaluación de
capacidad, que permite una evaluación de un solo proceso. Una evaluación de
madurez, que permite una madurez a nivel organizacional, fue deliberadamente no
publicado.

En marzo de 2016, ISACA adquirió el proveedor líder de Evaluaciones de Capacidad y

Madurez, CMMI, del Instituto de Ingeniería de Software SEI. El modelo CMMI es
bastante diferente en términos de clasificación y definición de madurez que el estándar
ISO / IEC33000. Ha sido sorprendente durante mucho tiempo cómo estos dos mundos
pueden unirse.
 31

Ahora el gato está fuera de la caja: COBIT se aleja de ISO / IEC 33000 e introduce un
sistema de “Gestión de rendimiento COBIT” compatible con CMMI. El modelo CPM está
ampliamente adaptado y extendido a los conceptos de CMMI® Development V2.0201:

 Las actividades del proceso están vinculadas a niveles de habilidad. Esto se incluye
en el marco COBIT®2019: Guía de objetivos de gobierno y gestión.

 Para otros tipos de componentes de gobierno y administrativos (por ejemplo,

estructuras organizativas, información), también se pueden definir los niveles de
habilidad definidos en futuras directrices.

 Los niveles de madurez se asocian con áreas de enfoque (es decir, una colección de
objetivos de gobierno y gestión y componentes subyacentes) y se logran cuando se
alcanzan todas las capacidades requeridas.

Esto significa que los niveles de madurez de madurez a nivel organizativo son tales que
todos los procesos de gestión y gestión dentro de un área de enfoque pueden tener un
cierto grado de madurez individual y, si existen todos los procesos, alcanzar un nivel de
madurez definido.

10 Nuevo sistema de evaluación de capacidades.

Con COBIT 5, se ha introducido un nuevo modelo de evaluación de procesos basado en

la norma ISO15504 o el nuevo ISO / IEC 33000. Esto también publicó un Modelo de
Evaluación de Procesos, un PAM, que cumple exactamente con los requisitos del
Estándar de Evaluación. COBIT se ha limitado deliberadamente a una evaluación de
capacidad, que permite una evaluación de un solo proceso. Una evaluación de
madurez, que permite una madurez a nivel organizacional, fue deliberadamente no
publicado.

En marzo de 2016, ISACA adquirió el proveedor líder de Evaluaciones de Capacidad y

Madurez, CMMI, del Instituto de Ingeniería de Software SEI. El modelo CMMI es
 32

bastante diferente en términos de clasificación y definición de madurez que el estándar

ISO / IEC33000. Ha sido sorprendente durante mucho tiempo cómo estos dos mundos
pueden unirse.

Ahora el gato está fuera de la caja: COBIT se aleja de ISO / IEC 33000 e introduce un
sistema de “Gestión de rendimiento COBIT” compatible con CMMI. El modelo CPM está
ampliamente adaptado y extendido a los conceptos de CMMI® Development V2.0201:

 Las actividades del proceso están vinculadas a niveles de habilidad. Esto se incluye
en el marco COBIT® 2019: Guía de objetivos de gobierno y gestión.

 Para otros tipos de componentes de gobierno y administrativos (por ejemplo,

estructuras organizativas, información), también se pueden definir los niveles de
habilidad definidos en futuras directrices.

 Los niveles de madurez se asocian con áreas de enfoque (es decir, una colección de
objetivos de gobierno y gestión y componentes subyacentes) y se logran cuando se
alcanzan todas las capacidades requeridas.

Esto significa que los niveles de madurez de madurez a nivel organizativo son tales que
todos los procesos de gestión y gestión dentro de un área de enfoque pueden tener un
cierto grado de madurez individual y, si existen todos los procesos, alcanzar un nivel de
madurez definido.
 33

Por supuesto, incluso después de que se pueda analizar la norma ISO / IEC33000 y
debería funcionar en principio. Pero no habrá un modelo de evaluación de procesos
PAM separado para COBIT 2019.

COBIT 2019 se ha convertido en un marco de gobierno completo. La nueva versión

proporciona a las empresas la flexibilidad para desarrollar soluciones prácticas de
gobierno que se adaptan a los objetivos y el contexto de su organización.
 34

COBIT siempre ha sido una joya entre los marcos. Es de esperar que con la versión de
COBIT 2019, sobresalga un poco más de la sombra de Auditoria de TI y puedan
levantarse los tesoros reales en las diferentes organizaciones.
 35

11 CONCLUSIONES
 36

12 RECOMENDACIONES
 37

13 BIBLIOGRAFÍA
 38

14 ANEXOS