Scribd Logo
Cargar

¡Te damos la bienvenida a Scribd!

  • Sistemas de Control Interno - COBIT

    Cargado por

    Luz Huaranca
    6 vistas27 páginas

    Derechos de autor

    © © All Rights Reserved

    Formatos disponibles

    PDF o lea en línea desde Scribd

    ¿Le pareció útil este documento?

    ¿Este contenido es inapropiado?

    Denunciar este documento

    Copyright:

    © All Rights Reserved
    Descargue como PDF o lea en línea desde Scribd
    Marcar por contenido inapropiado
    6 vistas27 páginas

    Sistemas de Control Interno - COBIT

    Cargado por

    Luz Huaranca

    Copyright:

    © All Rights Reserved
    Descargue como PDF o lea en línea desde Scribd
    Marcar por contenido inapropiado
    de 27
    CAPITULO dependiente Reino Unido, Sons Tne, Uh iris, Sonia a OBJETIVOS DE CONTROL PARA LA INFORMACION Y TECNOLOGIA RELACIONADA - COBIT La aparicién del COSO en 1992, representé un punto de quiebre en la evolucién del control interno en el mundo de los negocios. En los afios siguientes, se hizo mas no- toria la necesidad de un Marco de Referencia para la seguridad y el control de la Tec- nologia de Informacién (TI), debido a que hasta los eseépticos quedaron convencidos de que es un factor de éxito para las compafiias. En tal virtud, fue logico suponer que su desarrollo en una aldea global donde la informacién viaja en el “ciberespacio” sin restricciones de tiempo, distancia y velocidad, traerfa consigo nuevos retos y dificul- tades. En la actualidad, la informacién y la tecnologia que la soporta representan el ac- tivo de mayor valor en las compafifas, aunque algunas todavia no se han percatado que el uso eficiente de los “fierros” y el software tiene la virtud de maximizar los be- neficios, capitalizar las oportunidades, y obtener ventajas comparativas con relacin. otras compafifas que compiten en el mercado. Existen tres razones que sustentan la tesis de que TI es un activo valioso y son las siguientes: 219 Sistemas de Control Interno para Organizacio + en primer lugar, por el potencial que tiene TI para realizar cambios radicales en las pri ticas de los negocios y reducit los costos; en segundo lugar, por las vulnerabilidades que involucra el procesamiento de las oper ciones en forma computarizada y las amenazas derivadas de acciones de intrusién en lo sistemas; y, + en tercer lugar, porque cada vez es més notoria la dependencia que va en aumento en lo procesos del negocio que incorporan TI. Ahora bien, el gobierno de TI ha sido definido por el Chartered Institute of Manage: ment Accountants (CIMA) de Inglaterra, en los siguientes términos: “es el sistema mediante el cual Tl en las empresas esté dirigida y controlada. La estructura del gobierno de Tl especifica la distribucién de los deberes y responsa- bilidades entre los diferentes participantes, ya sea ta junta, y los administradores de TI, Por ello, también proporciona la estructura a través de la cual se estable- cen los objetivos de TI, los medios y los resultados del monitoreo”.' CobiT, es un acrénimo que se usa en vez de la denominacién mas extendida, Co trol Objectives for Information and Related Technology. Este marco de referencia se ha convertido con el tiempo en una herramienta importante de soporte, para document y comprender el control interno bajo el COSO. Aunque el énfasis inicial del CobiT es ‘tuvo orientado a la auditoria y el control de la tecnologfa de informacién, su marco de referencia ha sido ampliado en otros niveles del negocio. Esto ha permitido tener u mejor comprensién y uso de esta herramienta en la revisién y documentacién de los controles internos, en el contexto del gobierno corporativo de TI. Las normas y guias del CobiT son emitidas por T Governance Institute (IT y_ por Information, Systems Audit and Control Association (ISACA). Estas entid fueron antecedidas por la Asociacién de Auditores sobre Procesamiento Electrénico de Datos (EDP Auditor’s Association), creada en 1967 y conformada por auditor intemnos, quienes habian pertenecido al Institute of Internal Auditors, y sentian que agrupacién profesional no brindaba la debida importancia a los sistemas y TI. 2QUE ES EL CobiT? CobiT, es un marco de referencia que describe las mejores pricticas que pueden utilizar las compafifas para controlar Ia informacién mediante la Tecnologia de In- formacién (TI) y los riesgos que conllevan. El CobiT fue divulgado por Information Systems Audit and Control Foundation (ISACA), en 1996, y ha sido actualizado | 220 endida, Cone erencia se ha documentar lel CobiT es- su marco de do tener una acién de log ‘inte (ITD) 2 entidades Blectrénico or auditores nian que su. T que pueden ogia de In- Information ualizado en ietivos de Control para Informacién y Tecnologia Relacionada - CobiT 98, 2000, 2005, habiéndose divulgado la versién 4.1 en el 2007. Para su operacién spi cubre cinco Areas de control, brindando un énfasis especial al gobierno de Alineaci6n estratégica. Los esfuerzos deberian estar en su lugar para alinear las opera- ciones de tecnologia de informacion y las actividades con otras operaciones de la com- pafia. Esto incluye asegurar los enlaces entre el negocio y los planes TI, definiendo, manteniendo y validando la calidad y los valores relacionados. Por este motivo, la ali- neacidn estratégica se enfoca en garantizar la alineacidn entre los planes de negocio y TI; definir, mantener y validar la propuesta de valor TI; y, alinear las operaciones de TI con las operaciones de la compaiiia. Entrega de valor. Este proceso debe asegurar que TI y otras unidades operativas obten- gan los beneficios prometidos a través del ciclo de entrega, mediante una estrategia que optimice los costos, enfatizando los valores intrinsecos de TI y las actividades relaciona- as, Por ello, el concepto de entrega de valor se refiere a ejecutar la propuesta de valor 2 todo lo largo del ciclo de entrega, asegurando que TI genere los beneficios prometidos ‘en la estrategia, concentrandose en optimizar los costos y brindar el valor intrinseco de la TL. Administracién de Recursos. Los recursos en tecnologia de informacién deberian ser invertidos de manera éptima, asi como la gestién apropiada de los recursos TI criticos, aplicaciones, informacion, infraestructura, y las personas. Por ello, la efectividad del gobierno TI depende de la optimizacién del conocimiento y Ia infraestructura. En tal sen- tido, la administracién de recursos trata sobre la inversién éptima, asi como respecto de la administracién adecuada de los recursos criticos de TI: aplicaciones, informacién, infraestructura y personas. Los temas clave se refieren a la optimizacién del conoci- miento y de la infraestructura, Administracién de riesgos. La gerencia en todos los niveles de la organizacién deberia tener una adecuada comprensién del apetito del riesgo, requerimientos de cumplimiento, y el impacto de los riesgos significativos TI y otras operaciones en la gestién de riesgos {que podrian impactar en forma individual o en toda la compaiiia en su conjunto. Por lo tanto, los altos ¢jecutivos deberian tener un claro entendimiento del apetito de riesgo que tiene la compaiifa, comprender los requerimientos de cumplimiento, transparencia de los riesgos significativos, y Ia inclusién de las responsabilidades de riesgos dentro de la organizacién, Medicién del desempeno. Es un proceso, a través del cual, se monitorea y rastrea la estra- tegia de implementacién, culminacién del proyecto, utilizacién de recursos, desempefio de los procesos, y la entrega del servicio. Los mecanismos de gobierno TI deben traducir Ia implementacién de estrategias y acciones de evaluacién, para el logro de los objetivos. De esta manera la medicién del desempeiio permite rastrear y monitorear la estrategia de implementaci6n, la terminacidn del proyecto, el uso de los recursos, el desempefio de los procesos y la entrega del servicio, por ejemplo, mediante la implementacién de balanced scorecard que traduce la estrategia en accién para lograr las metas medibles mis alla del registro convencional. 221 Los cinco objetivos globales del control interno en el CobiT cubren un amplio raq go de actividades en la organizacién y estén enfocados en areas que forman parte de marco de referencia para el gobierno de TI, asi como sirven para comprender y doct mentar los controles internos en todos los niveles. MARCO DE REFERENCIA DEL COBIT Un hecho que no requiere comprobacién es que los procesos de tecnologia de infor macién, son esenciales para soportar las aplicaciones (software) y los dispositivas para transmisién de informacién en tiempo real. Si una empresa dedicada al “retail” tiene interés en efectuar el seguimiento de sus inventarios en todas las tiendas de} pafs, pequefia o grande, en ambos casos, requeriré que todas sus unidades de nego: cios estén interconectadas por una red de procesos TI con las operaciones del nego cio. Las relaciones que se dan entre los altos niveles de la organizacién y los proceso: de negocios, proporcionan los elementos que se necesitan para construir los proceso TIque operan en todo el negocio; sin embargo, TI no puede decirle a la compafiia q tipo de procesos debe usar, dado que ella es a quien le corresponde determinar cuales son sus necesidades de informaci6n. El CobiT incorpora para su desarrollo los siguientes elementos: + Marco de referencia que explica como se organiza la gestién del gobiemo de TI, lo objetivos de control y las mejoras prdcticas por dominios y procesos, enlazados con lo requerimientos de la organizacién. Descripciones de los 34 procesos que cubren las éreas de responsabilidad de TI, desde cl inicio hasta el fin. Objetivos de control que proporcionan las mejores pricticas generales de los objetiv de gestion para los procesos de TL Directrices gerenciales que ofrecen herramientas para asignar responsabilidad, medici6n de desempefio, benchmark y brechas de direccionamiento en capacidad: matrices RAC metas y méfricas. Modelos de madurez que proporcionan perfiles de procedimientos TI que describen po: sibles estados actuales y futuros. Las metas de TI en el nivel global deberian alinearse con los requerimientos de informacién que determinan las metas del negocio. Las metas de TI se dividen actividades clave que sirven para operar el CobiT y utilizan matrices RACI para terminar el marco de trabajo organizacional y las responsabilidades. Los Procesos TI son controlados por objetivos de control que pueden ser auditables, mediante pruebas de controles, de cuya ejecucién es posible implementar mejoras en las practicas de com | 222 Relacionada - CobiT jetivos de Control para Informacion y Tecnoloy ‘1 Al mismo tiempo, estos procesos son medidos dentro del CobiT a través de indica- de desempeiio denominados métricas y modelos de madurez. Tales indicadores, jten identificar las practicas mas apropiadas para evaluar y mejorar los procesos de pearrollo del software, sin perjuicio de que las Metas globales de TI puedan también alvarse. En la figura N° 6-1, se muestra las responsabilidades que asume la TI sobre pprocesos por dreas.* ud de TI, desde: € los objetivas Fuente: Adaptado de Cobit 4.1., IT Governance Institute, p. 8 ‘dad, medicién oatices RACI, desctben po- Alguien podria preguntarse entonces {si tengo una adecuada comprension del "marco de referencia del COSO y se esté implementando, para que necesito recurrir a otro marco de referencia? Para responder esta pregunta debe sefialarse, en primer lugar, que el CobiT se enfoca en desarrollar el concepto de controles internos conec- tados con la Tecnologia de Informacién (TI), el que no puede apreciarse con mucha claridad en los componentes, actividades de control ¢ informacién y comunicacién del COSO, y en segundo lugar, porqué los recursos y soporte del CobiT permiten a la gerencia asumir una mayor responsabilidad en la salvaguarda de los activos soporta- dos en TI, se encuentren automatizados 0 no. 223 Sistemas de Control Interno para Organizac Por este motivo, el marco de referencia del CobiT se sustenta en el principio, segi el cual, para proporcionar la informacién que la compafiia requiere y lograr sus obj tivos, debe invertir, administrar y controlar los recursos de TI, utilizando un conjuy estructurado de procesos que provean los servicios que entregan la informacién, CobiT esta constituido por tres (3) dimensiones: + Criterios de control (Requerimientos del negocio), integrado por siete (7) objetivos y criterios de contro. + Procesos TI, integrado por cuatro (4) dominios y treinta y cuatro (34) procesos. + Recursos TI, integrado por aplicaciones, informacién, infraestructura y personas. Cada dimensién se posiciona sobre diversos aspectos de los criterios de control querimientos del negocio), especificamente, en cuanto a los sistemas TI y los recurso de soporte relacionados con los procesos que a desarrollar. Esto permite a la gerend enfocarse sobre los aspectos que le interesa conocer o mejorar, sobre todo, en aquella relativos a la calidad, costo y la adquisicién apropiada de los recursos relaciona intercontectados entre si. Criterios de control (Requerimientos del negocio) Para satisfacer los objetivos del negocio, la informacién necesita adaptarse a ci criterios de control, los que se ubican en la parte mas alta del cubo del CobiT. dimensién del CobiT comprende siete (7) criterios que podrian denominarse ol vos a lograr:* . + Ffectividad, Tiene que ver con que la informacién sea relevante y pertinente a lo procesos del negocio, y se proporcione de una manera oportuna, correcta, consistents y.utilizable. + Fficiencia, Consiste en que la informacién sea generada con el ptimo (mas productivo y econémico) uso de los recursos. + Confidencialidad. Se refiere a la proteccién de informacién sensitiva contra revelacién no autorizada. + Integridad, Est relacionada con la precisién y la totalidad de la informacién, asi como con su validez de acuerdo con los valores y expectativas del negocio. + Disponibilidad. Se refiere a que la informacién esté disponible cuando sea requeri por los procesos del negocio en cualquier momento. También, concierne a la prot cin de los recursos y las capacidades necesatias asociadas. € + Cumplimiento, Tiene que ver con cumplir las leyes, reglamentos y acuerdos co tuales a los cuales esti sujeto el negocio, es decir, criterios de negocios impuestos externamente, asi como politicas intemas. + Confiabilidad, Consiste en proporcionar informacion apropiada para que la gerenci desempeie sus responsabilidades fiduciarias y de gobierno corporativo. | 224 (os de Control para Informacién y Tecnologia Relacionada - CobiT vrincipio, seg ograr sus ob do un conjup aformacién, j Todos los sistemas y procesos TI deberian ser evaluados, para considetar si cumplen on cada uno de los criterios antes expuestos. Por ello, el énfasis de cada criterio varia funcién al tipo de proceso, en tanto que las funciones del negocio podrfan estable- arse de acuerdo con sus requerimientos y necesidades. 1) objetive fecursos TI pel cubo del CobiT, la compaiiia en su conjunto se representa en tres dimensiones, una de ellas, esti referida a los recursos TI que incluye: personas, infraestructura, informacion (data), y aplicaciones. A fin de responder a los requerimientos que de- de control (rg da TI, la compaiiia deberia invertir en los recursos necesarios para disponer de la la gerencia Los recursos del CobiT que comprenden aplicaciones, informacién, infraestructura Y personas, pueden ser identificados en la figura N° 6-2. 225 a eee t—t— Sistemas de Control interno para Organizacion Fuente: Adaptado de Cobit 4.1., 1T Governance Institute, p.25. Procesos TI La tercera dimension del CobiT se denomina “Procesos TI” y esté integrada por (3) componentes o elementos: Dominios, Procesos, y Actividades. BI modelo de '4) Dominios que son agrupados, con el propé cesos del CobiT establece cuatro ( fe armonizar las éreas de responsabilidad organizacional. Estos dominios son ¢ salentes a las areas tradicionales de TI de planear, construir,ejecutar y monitoreas definen las responsabilidades. para que todos viswalicen y administren las acl dades de TI, y lleven a cabo la medicién y el monitoreo de su desempenio, La incor '

    También podría gustarte