Auditoria de Sistemas –IS-547

Ingeniería de Sistemas

COBIT SEM
12 y 13

COBIT Y GOBIERNO DE TI

Las organizaciones deben cumplir con requerimientos de calidad, confianza y de seguridad,

tanto para su información, como para sus activos. La gerencia deberá además optimizar el
empleo de sus recursos disponibles (personal, instalaciones, tecnología, sistemas de aplicación
y datos).
Los Objetivos de Control para la Información y las Tecnologías Relacionadas (COBIT), ayudan a
satisfacer las múltiples necesidades de la administración estableciendo un puente entre los
riesgos del negocio, los controles necesarios y los aspectos técnicos. Provee buenas prácticas y
presenta actividades en una estructura manejable y lógica. Actualmente, la mayor parte de la
inversión en infraestructura y nuevas aplicaciones de TI, abarcan líneas y funciones del
negocio.
• IT Governance o Gobierno de TI. Es un término que representa el sistema que
establece la alta gerencia para asegurar el logro de los objetivos de una organización.
• Cobit como soporte
• TI está alineado con el negocio
• TI capacita el negocio y maximiza los beneficios
• Los recursos de TI se usen de manera responsable
• Los riesgos de TI se administren apropiadamente
MARCO DE REFERENCIA DEL COBIT
• Fusiona las expectativas con las responsabilidades de la dirección de TI
• La necesidad de control de TI: Directivos – Usuarios – Auditores
• Los usuarios necesitan COBIT para: Obtener confianza sobre la seguridad y controles
de productos y servicios proporcionados por personal interno y terceros
• Los auditores de SI necesitan COBIT para:
• Sustentar opiniones a la dirección sobre controles internos
• Contestar a la pregunta: ¿Qué mínimos controles son necesarios?
MARCO DE CONTROL
• Se basa en el principio de proporcionar la información que la empresa requiere para
lograr sus objetivos, la empresa necesita administrar y controlar los recursos de TI,
usando un conjunto estructurado de procesos que ofrezcan los servicios requeridos de
información.
• Por qué: La alta gerencia se da cuenta del impacto significativo que la información
puede tener en el éxito de una empresa
• Quién: Un marco de control requiere dar respuestas en muchos niveles
• Qué: debe satisfacer
• Controles???

EN RESUMEN COBIT ES:

 Es un marco de trabajo y un conjunto de herramientas de Gobierno de Tecnología de
Información.
 Permite a la gerencia cerrar la brecha entre los requerimientos de control, aspectos
técnicos y riesgos de negocios.
 Es una estructura de relaciones y procesos para dirigir y controlar a las organizaciones
con el fin que esta pueda cumplir sus metas dando valor agregado.

EGM Página 1 de 17
 Auditoria de Sistemas –IS-547
Ingeniería de Sistemas

 Busca asegurar que la información de la organización y las tecnologías relacionadas

soporten los objetivos del negocio.
 Se aplican en los sistemas de información de toda la organización, que nos brindan
buenas prácticas a través de un marco de trabajo de dominios y procesos.

EVOLUCION DEL COBIT

COBIT 4.1

En su cuarta edición, COBIT tiene 34 procesos que cubren 210 objetivos de control
(específicos o detallados) clasificados en cuatro (4) Dominios
DOMINIOS
Planificación y Organización (Plan and Organize))
Adquisición e Implementación (Acquire and Implement)
Entrega y Soporte (Deliver and Support)
Supervisión y Evaluación (Monitor and Evaluate) .

Dominio 1: PLANEAR Y ORGANIZAR (PO)

Este dominio cubre las estrategias y las tácticas, y tiene que ver con identificar la manera en
que TI puede contribuir de la mejor manera al logro de los objetivos del negocio. Además, la
realización de la visión estratégica requiere ser planeada, comunicada y administrada desde
diferentes perspectivas. Finalmente, se debe implementar una estructura organizacional y una
estructura tecnológica apropiada.
Este dominio cubre los siguientes cuestionamientos típicos de la gerencia:

EGM Página 2 de 17
 Auditoria de Sistemas –IS-547
Ingeniería de Sistemas

•¿Están alineadas las estrategias de TI y del negocio? ¿La empresa está alcanzando un
uso óptimo de sus recursos?
• ¿Entienden todas las personas dentro de la organización los objetivos de TI?
• ¿Se entienden y administran los riesgos de TI?
• ¿Es apropiada la calidad de los sistemas de TI para las necesidades del negocio?
PROCESOS
PO1 Definir un Plan Estratégico de TI
PO2 Definir la Arquitectura de la Información
PO3 Determinar la Dirección Tecnológica
PO4 Definir los Procesos, Organización y Relaciones de TI
PO5 Administrar la Inversión en TI
PO6 Comunicar las Aspiraciones y la Dirección de la Gerencia
PO7 Administrar Recursos Humanos de TI
PO8 Administrar la Calidad
PO9 Evaluar y Administrar los Riesgos de TI
PO10 Administrar Proyectos

Dominio 2: ADQUIRIR E IMPLEMENTAR (AI)

Para llevar a cabo la estrategia de TI, las soluciones de TI necesitan ser identificadas,
desarrolladas o adquiridas así como implementadas e integradas en los procesos del negocio.
Además, el cambio y el mantenimiento de los sistemas existentes está cubierto por este
dominio para garantizar que las soluciones sigan satisfaciendo los objetivos del negocio.

Este dominio, por lo general, cubre los siguientes cuestionamientos de la gerencia:

• ¿Es probable que los nuevos proyectos generan soluciones que satisfagan las
necesidades del negocio?
• ¿Es probable que los nuevos proyectos sean entregados a tiempo y dentro del
presupuesto?
• ¿Trabajarán adecuadamente los nuevos sistemas una vez sean implementados?
• ¿Los cambios no afectarán a las operaciones actuales del negocio?
PROCESOS
AI1 Identificar soluciones automatizadas
AI2 Adquirir y mantener el software aplicativo
AI3 Adquirir y mantener la infraestructura tecnológica
AI4 Facilitar la operación y el uso
AI5 Adquirir recursos de TI
AI6 Administrar cambios
AI7 Instalar y acreditar soluciones y cambios

Dominio 3: ENTREGAR Y DAR SOPORTE (DS)

Este dominio cubre la entrega en sí de los servicios requeridos, lo que incluye:

Prestación del servicio,
Administración de la seguridad y de la continuidad,
Soporte del servicio a los usuarios,
Administración de los datos
Instalaciones operativos.

Por lo general cubre las siguientes preguntas de la gerencia:

EGM Página 3 de 17
 Auditoria de Sistemas –IS-547
Ingeniería de Sistemas

• ¿Se están entregando los servicios de TI de acuerdo con las prioridades del negocio?
• ¿Están optimizados los costos de TI?
• ¿Es capaz la fuerza de trabajo de utilizar los sistemas de TI de manera productiva y
segura?
• ¿Están implantadas de forma adecuada la confidencialidad, la integridad y la
disponibilidad?

PROCESOS
DS1 Definir y administrar los niveles de servicio
DS2 Administrar los servicios de terceros
DS3 Administrar el desempeño y la capacidad
DS4 Garantizar la continuidad del servicio
DS5 Garantizar la seguridad de los sistemas
DS6 Identificar y asignar costos
DS7 Educar y entrenar a los usuarios
DS8 Administrar la mesa de servicio y los incidentes
DS9 Administrar la configuración
DS10 Administrar los problemas
DS11 Administrar los datos
DS12 Administrar el ambiente físico
DS13 Administrar las operaciones

Dominio 4: MONITOREAR Y EVALUAR (ME)

Todos los procesos de TI deben evaluarse de forma regular en el tiempo en cuanto a su calidad
y cumplimiento de los requerimientos de control. Este dominio abarca:
Administración del desempeño,
Monitoreo del control interno,
Cumplimiento regulatorio y
Aplicación del gobierno.
PROCESOS
ME1 Monitorear y Evaluar el Desempeño de TI
ME2 Monitorear y Evaluar el Control Interno
ME3 Garantizar el Cumplimiento Regulatorio
ME4 Proporcionar Gobierno de TI

EGM Página 4 de 17
 Auditoria de Sistemas –IS-547
Ingeniería de Sistemas

CUBO DEL COBIT

Para lograr los criterios de información

• Efectividad : tiene que ver con que la información sea relevante y pertinente a
los procesos del negocio, y se proporcione de una manera oportuna, correcta,
consistente y utilizable
• Eficiencia: consiste en que la información sea generada con el óptimo (más
productivo y económico) uso de los recursos
• Confidencialidad: se refiere a la protección de información sensitiva contra
revelación no autorizada
• Integridad: está relacionada con la precisión y completitud de la información,
así como con su validez de acuerdo a los valores y expectativas del negocio
• Disponibilidad: se refiere a que la información esté disponible cuando sea
requerida por los procesos del negocio en cualquier momento. También
concierne a la protección de los recursos y las capacidades necesarias asociadas
• Cumplimiento: tiene que ver con acatar aquellas leyes, reglamentos y acuerdos
contractuales a los cuales está sujeto el proceso de negocios, es decir, criterios
de negocios impuestos externamente, así como políticas internas
• Confiabildad: se refiere a proporcionar la información apropiada para que la
gerencia administre la entidad y ejerza sus responsabilidades fiduciarias y de
gobierno

Identificaciones Adicionales
• Metas
• Riesgos

EGM Página 5 de 17
 Auditoria de Sistemas –IS-547
Ingeniería de Sistemas

• Contingencias
• Indicadores
• Niveles de Madurez
• Controles

NIVEL de MADUREZ

COBIT 5

Los 5 Principios de COBIT 5

1. Satisfacer las
necesidades de
las partes
interesadas

5. Separar el Gobierno 2. Cubrir la Organización

de la Administración de forma integral

Principios
de COBIT 5

4. Habilitar un 3. Aplicar un solo

enfoque holistico marco integrado

EGM Página 6 de 17
 Auditoria de Sistemas –IS-547
Ingeniería de Sistemas

Los 7 Habilitadores de COBIT 5

COBIT 4.1 y COBIT 5.0

EGM Página 7 de 17
 Auditoria de Sistemas –IS-547
Ingeniería de Sistemas

COBIT 5.0: NUEVOS DOMINIOS

A nivel de estructura de Dominios y Procesos, esto es lo más relevante del comparativo

entre ambas versiones:

SCORECARD BALANCED ESTANDAR DE TI

Es una técnica evaluativa que puede aplicarse al proceso de gobierno del negocio de TI para
evaluar las funciones y los procesos de TI. El método va mas allá de la tradicional evaluación
financiera con medias que conciernen a la satisfacción del cliente (usuario), procesos internos
(operativos) y la capacidad de innovar. Estas medidas impulsan a la organización hacia el uso
optimo de TI, el cual esta alineado con las metas estratégicas de la organización, mientras
mantiene en balance todas las perspectivas relacionadas con la evaluación. Para aplicarlo en
TI.
Se usa tres capas:

EGM Página 8 de 17
 Auditoria de Sistemas –IS-547
Ingeniería de Sistemas

1 MISION (ejemplo)

• Convertirse en el proveedor preferido de SI

• Entregar aplicaciones y servicios de TI eficientes y efectivos
• Obtener una contribución razonable de las inversiones en TI para el negocio
• Desarrollar oportunidades que respondan a los futuros desafíos.

2 ESTRATEGIAS (ejemplo)
BSC ESTANDAR DE TI

• Desarrollar aplicaciones y operaciones superiores

• Desarrollar alianzas con los usuarios y mejores servicios para los clientes
• Proveer mejores niveles de servicio y de estructuras de precios
• Controlar los gastos de TI
• Proveer valor de negocio a los proyectos de TI
• Proveer nuevas capacidades de negocio
• Entregar y educar al personal de TI y promover excelencia
• Proveer soporte para la investigación y el desarrollo

3 MEDIDAS (ejemplo)

• Proveer un conjunto balanceado de medidas (es decir… KPIs) para guiar las decisiones
de TI orientados a negocios
• Desarrollar oportunidades que respondan a los futuros desafíos

El uso del BSC de TI es uno de los medios efectivos para ayudar al Comité de estrategia de TI y
a la gerencia a lograr el alineamiento de TI al negocio. Los objetivos son establecer un vehículo
para la información gerencial a la junta, comunicar el desempeño, los riesgos y las capacidades
de TI

EGM Página 9 de 17
 Auditoria de Sistemas –IS-547
Ingeniería de Sistemas

EGM Página 10 de 17
 Auditoria de Sistemas –IS-547
Ingeniería de Sistemas

MODELO DE CAPACIDAD DE COBIT 5.0 (PAM)

EGM Página 11 de 17
 Auditoria de Sistemas –IS-547
Ingeniería de Sistemas

MODELO DE EVALUACION DE CAPACIDAD DE COBIT 5.0 (PAM)

EGM Página 12 de 17
 Auditoria de Sistemas –IS-547
Ingeniería de Sistemas

NIVEL DE CAPACIDAD EJECUTADO 1

EGM Página 13 de 17
 Auditoria de Sistemas –IS-547
Ingeniería de Sistemas

NIVEL DE CAPACIDAD GSTIONADO 2

EGM Página 14 de 17
 Auditoria de Sistemas –IS-547
Ingeniería de Sistemas

EJEMPLOS DE ESTRUCTURA DE AUDITORIA

 AUDITORIA INFORMATICA DE CONTROLES GENERALES

1. Alcance: Realización de un diagnostico general de todo el entorno tecnológico
de la organización, incluyendo los servicios tercerizados.

EGM Página 15 de 17
 Auditoria de Sistemas –IS-547
Ingeniería de Sistemas

2. Objetivo Principal: Evaluacion de los controles existentes e identificar los

puntos de mejora para minimizar su exposición al riesgo
3. Metodologia a utilizar: COBIT 5
4. Equipo de trabajo
Lider del proyecto (descripción de su experiencia)
Dos auditores
5. Herramientas
6. Tiempo de duración de la auditoria (cronograma)
7. Lista de requerimientos de las áreas a auditar
8. Encuesta a usuarios (automatizado)
9. Entrevista a personal de TI y usuarios claves
10. Borrador del Informe

 AUDITORIA DE INFRAESTRUCTURA TECNOLOGICA

1. Alcance: Efectuar una revisión de toda la infraestructura tecnológica existente
en la organizacion.
2. Objetivo Principal: Evaluacion de los controles existentes en la administración
de los activos TI
3. Metodologia a utilizar: COBIT 5
4. Equipo de trabajo
Lider del proyecto (descripción de su experiencia)
Dos auditores
5. Herramientas
6. Tiempo de duración de la auditoria (cronograma)
7. Listado de los activos: hardware y software
8. Servidores principales
9. Descripcion de las redes
10. Esquemas de replicación de datos
11. Arquitectura de base de datos
12. Encuesta a usuarios (automatizado)
13. Arquitectura de los sistemas de seguridad
14. Entrevista a personal de TI y usuarios claves
15. Borrador del Informe

INFORME DE LA AUDITORIA

1. Identificar claramente los riesgos potenciales a los cuales la organización se

expone
2. Mejorar el ambiente de control
3. Tener recomendaciones y un plan de acción para cada recomendación
4. Tener un plan de seguimiento y su monitoreo constante
5. Reflejar el compromiso de la Alta gerencia y de la Junta Directiva

EGM Página 16 de 17
 Auditoria de Sistemas –IS-547
Ingeniería de Sistemas

INFORME
….Objetivo de control
….. Observaciones
……. Riesgo asociado a cada observación

EJEMPLO:

Anexo N° 4
SI NO NO
Aplica

EGM Página 17 de 17