Está en la página 1de 4

COBIT: MODELO PARA AUDITORIA Y

CONTROL DE SISTEMAS DE INFORMACIÓN


10 DE MAYO 2007 BOLETIN 54

La evaluación de los
requerimientos del negocio, los COBIT se aplica a los
recursos y procesos IT, son sistemas de información de
puntos bastante importantes toda la empresa, incluyendo
para el buen funcionamiento de los computadores personales
una compañía y para el y las redes. Está basado en
aseguramiento de su la filosofía de que los
supervivencia en el mercado. recursos TI necesitan ser
administrados por un
El COBIT es precisamente un conjunto de procesos
modelo para auditar la gestión y naturalmente agrupados
control de los sistemas de para proveer la información
información y tecnología, pertinente y confiable que
orientado a todos los sectores de requiere una organización
una organización, es decir, para lograr sus objetivos.
administradores IT, usuarios y
por supuesto, los auditores La estructura del modelo
involucrados en el proceso. COBIT propone un marco de
acción donde se evalúan los
El COBIT es un modelo de criterios de información,
evaluación y monitoreo que como por ejemplo la
enfatiza en el control de negocios seguridad y calidad, se
y la seguridad IT y que abarca auditan los recursos que
controles específicos de IT desde comprenden la tecnología de
una perspectiva de negocios. información, como por
ejemplo el recurso humano,
Las siglas COBIT significan instalaciones, sistemas,
Objetivos de Control para entre otros, y finalmente se
Tecnología de Información y realiza una evaluación sobre
Tecnologías relacionadas (Control los procesos involucrados en
Objectives for Information la organización.
Systems and related Área de Auditoria y
Technology). El modelo es el Control
resultado de una investigación “La adecuada
con expertos de varios países, implementación de un
desarrollado por ISACA modelo COBIT en una
(Information Systems Audit and organización, provee una
Control Association). herramienta automatizada,
para evaluar de manera ágil
y consistente el
COBIT, lanzado en 1996, es una cumplimiento de los
herramienta de gobierno de TI objetivos de control y
que ha cambiado la forma en que controles detallados, que
trabajan los profesionales de aseguran que los procesos y
tecnología. Vinculando tecnología recursos de información y
informática y prácticas de tecnología contribuyen al
control, el modelo COBIT logro de los objetivos del
consolida y armoniza estándares negocio en un mercado cada
de fuentes globales prominentes vez más exigente, complejo
en un recurso crítico para la y diversificado.
gerencia, los profesionales de
control y los auditores.
COBIT : MODELO PARA AUDITORIA Y Página 2
CONTROL DE SISTEMAS DE INFORMACIÓN

suficiencia en cuanto a los requerimientos


de control.

Estos dominios agrupan objetivos de


control de alto nivel, que cubren tanto
los aspectos de información, como de la
tecnología que la respalda. Estos
dominios y objetivos de control facilitan
que la generación y procesamiento de la
información cumplan con las
características de efectividad, eficiencia,
El conjunto de lineamientos y estándares internacionales
confidencialidad, integridad,
conocidos como COBIT, define un marco de referencia
disponibilidad, cumplimiento y
que clasifica los procesos de las unidades de tecnología de
confiabilidad.
información de las organizaciones en cuatro “dominios”
principales, a saber:
USUARIOS:
PLANIFICACION Y ORGANIZACION:
• La Gerencia: para apoyar sus decisiones
de inversión en TI y control sobre el
Este dominio cubre la estrategia y las tácticas y se refiere
rendimiento de las mismas, analizar el costo
a la identificación de la forma en que la tecnología de
beneficio del control.
información puede contribuir de la mejor manera al logro
de los objetivos del negocio. Además, la consecución de la
• Los Usuarios Finales: quienes obtienen
visión estratégica necesita ser planeada, comunicada y
una garantía sobre la seguridad y el control
administrada desde diferentes perspectivas. Finalmente,
de los productos que adquieren interna y
deberán establecerse una organización y una
externamente.
infraestructura tecnológica apropiadas.
• Los Auditores: para soportar sus
opiniones sobre los controles de los
- ADQUISION E IMPLANTACION:
proyectos de TI, su impacto en la
organización y determinar el control mínimo
Para llevar a cabo la estrategia de TI, las soluciones de TI
requerido.
deben ser identificadas, desarrolladas o adquiridas, así
como implementadas e integradas dentro del proceso del
• Los Responsables de TI: para identificar
negocio. Además, este dominio cubre los cambios y el
los controles que requieren en sus áreas.
mantenimiento realizados a sistemas existentes.
También puede ser utilizado dentro de las
empresas por el responsable de un proceso
- SOPORTE Y SERVICIOS:
de negocio en su responsabilidad de
controlar los aspectos de información del
En este dominio se hace referencia a la entrega de los
proceso, y por todos aquellos con
servicios requeridos, que abarca desde las operaciones
responsabilidades en el campo de la TI en
tradicionales hasta el entrenamiento, pasando por
las empresas.
seguridad y aspectos de continuidad. Con el fin de
proveer servicios, deberán establecerse los procesos de
soporte necesarios. Este dominio incluye el procesamiento
CARACTERISTICAS:
de los datos por sistemas de aplicación, frecuentemente
clasificados como controles de aplicación.
• Orientado al negocio
• Alineado con estándares y regulaciones
- MONITOREO:
"de facto"
• Basado en una revisión crítica y analítica
Todos los procesos necesitan ser evaluados regularmente
de las tareas y actividades en TI
a través del tiempo para verificar su calidad y
• Alineado con estándares de control y
auditoria (COSO, IFAC, IIA, ISACA, AICPA)
Página 3 BOLETIN 54

PRINCIPIOS
El enfoque del control en TI se lleva a cabo visualizando la información necesaria para dar soporte a los
procesos de negocio y considerando a la información como el resultado de la aplicación combinada de
recursos relacionados con las TI que deben ser administrados por procesos de TI.

Requerimientos de la información del negocio:


Para alcanzar los requerimientos de negocio, la información necesita satisfacer ciertos criterios:

Requerimientos de Calidad: Calidad, Costo y Entrega.


Requerimientos Fiduciarios: Efectividad y Eficiencia operacional, Confiabilidad de los reportes financieros
y Cumplimiento le leyes y regulaciones.

EFECTIVIDAD EFICIENCIA
La información debe ser relevante y pertinente Se debe proveer información mediante el
para los procesos del negocio y debe ser empleo óptimo de los recursos (la forma más
proporcionada en forma oportuna, correcta, productiva y económica).
consistente y utilizable.

CONFIABILIDAD CUMPLIMIENTO
proveer la información apropiada para que la de las leyes, regulaciones y compromisos
administración tome las decisiones adecuadas contractuales con los cuales está
para manejar la empresa y cumplir con sus comprometida la empresa.
responsabilidades.

Requerimientos de Seguridad: Confidencialidad, Integridad y Disponibilidad

CONFIDENCIALIDAD INTEGRIDAD
Protección de la información sensible contra Refiere a lo exacto y completo de la
divulgación no autorizada. información así como a su validez de acuerdo
con las expectativas de la empresa.

DISPONIBILIDAD

accesibilidad a la información cuando sea requerida por los procesos del negocio y la salvaguarda
de los recursos y capacidades asociadas a la misma.

En COBIT se establecen los siguientes recursos en TI necesarios para alcanzar los objetivos de
negocio:

DATOS APLICACIONES
Todos los objetos de información. Considera Entendidas como sistemas de información, que
información interna y externa, estructurada o integran procedimientos manuales y
no, gráficas, sonidos, etc. sistematizados.
Página 1 BOLETIN 54

TECNOLOGÍA INSTALACIONES
incluye hardware y software básico, sistemas Incluye los recursos necesarios para alojar y
operativos, sistemas de administración de dar soporte a los sistemas de información.
bases de datos, de redes, telecomunicaciones,
multimedia, etc.

RECURSO HUMANO
Por la habilidad, conciencia y productividad del personal para planear, adquirir, prestar servicios,
dar soporte y monitorear los sistemas de Información, o de procesos de TI.

TECNOLOGIAS DE INFORMACIÓN

Un elemento crítico para el éxito y la supervivencia Bajo este escenario, una adecuada administración de
de las organizaciones, es la administración efectiva los recursos de TI es fundamental para mejorar la
de la información y de la Tecnología de Información calidad de los productos y servicios brindados por el
(TI) relacionada. En esta sociedad global (donde la área, lo que se reflejará en mejoras en los procesos
información viaja a través del “ciberespacio” sin las que respalda, y en el nivel de seguridad y control con
restricciones de tiempo, distancia y velocidad) esta el cual se trabaja, elevando su capacidad para
criticidad emerge de: satisfacer los objetivos de cumplimiento definidos en
la estructura d e control interno de la organización,
> La creciente dependencia en información y en los reduciendo además los costos administrativos
sistemas que proporcionan dicha información asociados al entorno informático.
> La creciente vulnerabilidad y un amplio espectro de
amenazas, tales como las “ciber amenazas” y la (COBIT), define un marco de referencia que clasifica
guerra de información los procesos de las unidades de tecnología de
> El costo de las inversiones actuales y futuras en información de las organizaciones en cuatro (4)
información y en tecnología de información; y “dominios” principales, a saber:
> El potencial que tienen las tecnologías para - Planificación y organización
cambiar radicalmente las organizaciones y las - Adquisición e implantación
prácticas de negocio, crear nuevas oportunidades y - Soporte y Servicios
reducir costos. - Monitoreo

Para muchas organizaciones, la información y la Estos dominios agrupan objetivos de control de alto
tecnología que la respalda, representan los activos nivel, que cubren tanto los aspectos de información,
más valiosos de la empresa, por lo que la gestión de como de la tecnología que la respalda. En conjunto,
los riesgos asociados de la Tecnología de estos dominios y los objetivos de control, facilitan que
Información, o Gobernabilidad de TI (IT Governance), la generación y procesamiento de la información
ha ganado notoriedad en tiempos recientes como un cumplan con las características de efectividad,
aspecto clave de la gobernabilidad corporativa, dada eficiencia, confidencialidad, integridad, disponibilidad,
su capacidad de proporcionar valor agregado al cumplimiento y confiabilidad. Asimismo, se deben
negocio, balanceando la relación entre el riesgo y el tomar en cuenta los recursos que proporciona la
retorno de la inversión sobre TI y sus procesos. Estos Tecnología de Información, tales como: datos,
aspectos se enfatizan en el Marco de referencia sistemas de aplicación, tecnología (plataformas),
COBIT, el cual se define como conjunto de Objetivos instalaciones y el recurso humano.
de Control para la Información y Tecnologías
Relacionadas.