INVESTIGACION SOBRE COBIT

PRESENTADO POR:
ANDREA ANILLO CHAMORRO

DOCENTE: FREDY MEJIA

AUDITORIA DE SISTEMAS II
GRUPO I

CONTADURIA PUBLICA
FACULTAD DE CIENCIAS ECONOMICAS

UNIVERSIDAD DEL ATLANTICO

2022
 COBIT
Control Objetives for Information and Related Technology

COBIT es un marco de trabajo (framework) para el gobierno y la gestión de las tecnologías

de la información (TI) empresariales y dirigido a toda la empresa.

Ha sido promovido por ISACA desde su primera versión en 1996 y actualmente se

encuentra disponible la versión COBIT 2019. ISACA es el acrónimo de Information
Systems Audit and Control Association, una asociación internacional que apoya y patrocina
el desarrollo de metodologías y certificaciones para la realización de actividades de
auditoría y control en sistemas de información. En la primera versión del marco de trabajo,
COBIT se estableció como un acrónimo que significa Control Objetives for Information
and Related Technology (Objetivos de Control para la Información y Tecnología
Relacionada) y su público objetivo inicial eran los auditores de TI. La versión actual
considera diversas partes interesadas, no solamente la función de TI de una empresa, sino a
otros interesados como la Junta Directiva, Dirección Ejecutiva, Auditoría, etc.

La TI empresarial significa toda la tecnología y procesamiento de la información que una

empresa utiliza para lograr sus objetivos, independientemente de dónde ocurra dentro de la
empresa. En otras palabras, la TI empresarial no se limita al departamento de TI de una
organización.

¿Para qué sirve?

COBIT sirve para proveer gobierno y gestión para la función de TI y hace una clara

distinción entre estas dos disciplinas que abarcan distintos tipos de actividades, requieren
distintas estructuras organizativas y sirven a diferentes propósitos.
 EL GOBIERNO ASEGURA QUE:

- Las necesidades, condiciones y opciones de las partes interesadas se evalúan

para determinar objetivos empresariales equilibrados y acordados.
- La dirección se establece a través de la priorización y la toma de decisiones.
- El desempeño y el cumplimiento se monitorean en relación con la dirección
y los objetivos acordados.

PRINCIPIOS COBIT

- Satisfacer las necesidades de las partes interesadas

- Cubrir la organización de forma integral
- Aplicar un solo marco integrado
- Habilitar un enfoque holístico
- Separar el Gobierno de la Gestión

VERSIONES DE COBIT

En 1996, la primera edición de COBIT fue publicada. Esta incluía la colección y análisis de
fuentes internacionales reconocidas y fue realizada por equipos en Europa, Estados Unidos
y Australia.

En 1998, fue publicada la segunda edición; su cambio principal fue la adición de las guías
de gestión. Para el año 2000, la tercera edición fue publicada y en el 2003, la versión en
línea ya se encontraba disponible en el sitio de ISACA.

Fue posterior al 2003 que el marco de referencia de COBIT fue revisado y mejorado para
soportar el incremento del control gerencial, introducir el manejo del desempeño y mayor
desarrollo del Gobierno de TI.
En diciembre de 2005, la cuarta edición fue publicada y en mayo de 2007, se liberó la
versión 4.1.

La versión número 5 de COBIT fue liberada en el año 2012. En esta edición se consolida e
integran los marcos de referencia de COBIT 4.1, Val IT 2.0 y Risk IT. Este nuevo marco de
referencia viene integrado principalmente del Modelo de Negocios para la Seguridad de la
Información y el Marco de Referencia para el Aseguramiento de la Tecnología de la
Información. Y la versión más reciente COBIT del 2019 complementaria a COBIT 5 busca
ayudar en la gestión empresarial a través de información y tecnologías independientemente
del lugar de origen. ISACA, publica COBIT 2019, una actualización que agrega factores de
diseño y áreas de enfoque para hacerlo más práctico y personalizable. COBIT 2019 a los 25
años de desarrollo ha sembrado el proceso de comprensión, diseño e implementación de la
gobernanza empresarial de TI.

IMPLEMETACION DE COBIT

Como COBIT está orientado al negocio, se lo puede utilizar directamente para comprender
los objetivos de control de TI para administrar los riesgos del negocio relacionados con TI:
Comience en la Estructura con sus objetivos del negocio Seleccione de los Objetivos de
Control, los procesos y objetivos de control de TI apropiados para su empresa Opere desde
su plan de negocios Evalúe con las guías de Auditoría los procedimientos y resultados
Evalúe con las Guías de Administración el estado de su organización, identifique las
actividades críticas conducentes al éxito y mida el desempeño para alcanzar los objetivos
de la empresa.

Para definir los requerimientos del negocio, la definición de un conjunto de metas genéricas
de negocio y de TI ofrece una base más refinada y relacionada con el negocio para el
establecimiento de requerimientos de negocio y para el desarrollo de métricas que permitan
la medición con respecto a estas metas. Toda empresa usa TI para habilitar iniciativas del
negocio y estas pueden ser representadas como metas del negocio para TI.
Las estrategias de la empresa se deben traducir por parte del negocio en objetivos
relacionados con iniciativas habilitadas por TI (Las metas de negocio para TI).

Estos objetivos a su vez, deben conducir a una clara definición de los propios objetivos de
TI (las metas de TI), y luego éstas a su vez definir los recursos y capacidades de TI (la
arquitectura empresarial para TI) requeridos para ejecutar, de forma exitosa la parte que le
corresponde a TI de la estrategia empresarial. Para que el cliente entienda las metas y los
Scorecard de TI, todos estos objetivos y sus métricas asociadas se deben expresar en
términos de negocio significativos para el cliente, y esto, combinado con una alineación
efectiva de la jerarquía de objetivos, asegurará que el negocio pueda confirmar que TI
puede, con alta probabilidad, dar soporte a las metas del negocio

El éxito de la Organización depende en gran medida de que se entienden los riesgos y se

aprovechan los beneficios de las TI, para ello, se necesita:

- Alinear la estrategia de las TI con la estrategia del negocio

- Lograr que toda la estrategia de las TI, así como las metas fluyan de forma
gradual a toda la empresa
- Proporcionar estructuras organizativas que faciliten la implementación de las
metas del negocio
- Crear las comunicaciones efectivas entre el negocio y las TI, y con los
socios externos
- Medir el desempeño de las TI.

La COBIT es un marco de referencia que entrega un modelo de procesos y un lenguaje

común para que cada quién en la organización pueda visualizar y gestionar las actividades
de la TI:

Planificar y Organizar (PO) Este dominio abarca la estrategia y la táctica, y su

preocupación es identificar las maneras como las TI muden contribuir, de la mejor forma
posible, al logro de los objetivos de negocios de la empresa. La ejecución de la visión
estratégica requiere de planificación, difusión y gestión para diferentes perspectivas. Una
organización adecuada y una plataforma tecnológica acorde son necesarias. De modo que
en este dominio típicamente se tratan las siguientes interrogantes.

- ¿Están las TI alineadas con la estrategia de negocios?

- ¿Está la empresa utilizando a un nivel óptimos sus recursos informáticos?
- ¿Entiende todo el mundo de la empresa los objetivos de las TI?
- ¿Son comprendidos los riesgos TI y son debidamente gestionados?
- ¿Es la calidad de los sistemas informáticos adecuados a las necesidades del
negocio?

Este dominio considera los procesos:

PO1 Define a strategic IT plan.

PO2 Define the information architecture.

PO3 Determine technological direction.

PO4 Define the IT processes, organisation and relationships.

PO5 Manage the IT investment.

PO6 Communicate management aims and direction.

PO7 Manage IT human resources.

PO8 Manage quality.

PO9 Assess and manage IT risks.

PO10 Manage projects.

Adquirir e Implementar (AI)Para materializar la estrategia TI, las soluciones TI necesitan

ser identificadas, desarrolladas o adquiridas, como asimismo es necesario implementarlas e
integrarlas a los procesos de negocios. Adicionalmente, todo sistema requiere de cambios y
mantenimiento para asegurarse que durante su operación continúa satisfaciendo los
requerimientos del negocio. Para este dominio surgen las preguntas:
 - ¿Los nuevos proyectos tienen el potencial para entregar soluciones que
satisfagan las necesidades del negocio?
- ¿Es factible que los nuevos proyectos se ejecuten de acuerdo a los plazos y
presupuestos convenidos?
- ¿Los nuevos sistemas operaran adecuadamente una vez implementados?
- ¿Los cambios podrán hacerse sin poner en riesgo la operación del negocio?

Este dominio considera los procesos:

AI1 Identify automated solutions.

AI2 Acquire and maintain application software.

AI3 Acquire and maintain technology infrastructure.

AI4 Enable operation and use.

AI5 Procure IT resources.

AI6 Manage changes.

AI7 Install and accredit solutions and changes.

Proveer y Soportar (DS) Este dominio tiene que ver con la entrega de los servicios que
son requeridos, esto incluye: la provisión del servicio, la gestión de seguridad y
continuidad, el soporte a los usuarios, la administración de los datos y la gestión de las
instalaciones de plataforma tecnológica. Para estos efectos es necesario formularse las
preguntas siguientes:

- ¿Se están proveyendo los servicios TI de acuerdo con las prioridades del
negocio?
- ¿Están los costos de TI optimizados?
- ¿Está en condiciones la fuerza de trabajo de utilizar los sistemas TI
productivamente y con seguridad?
- ¿Se maneja adecuadamente la confidencialidad, integridad y disponibilidad
de los sistemas TI?
Este dominio considera los procesos:

DS1 Define and manage service levels.

DS2 Manage third-party services.

DS3 Manage performance and capacity.

DS4 Ensure continuous service

DS5 Ensure systems security.

DS6 Identify and allocate costs.

DS7 Educate and train users.

DS8 Manage service desk and incidents.

DS9 Manage the configuration.

DS10 Manage problems.

DS11 Manage data.

DS12 Manage the physical environment.

DS13 Manage operations.

Monitorear y Evaluar (ME)Todos los procesos TI necesitan periódicamente que se

verifique mediante controles su calidad y conformidad. En este dominio se tratan la gestión
de performance, el monitoreo de los controles internos, las regulaciones que tiene que ver la
conformidad y la gobernabilidad. Las preguntas típicas de este dominio son:

- ¿Los sistemas de medición de performance TI permiten detectar a tiempo los

problemas?
- ¿La gestión asegura que los controles internos son efectivos y eficientes?
- ¿Puede la performance TI relacionarse con los objetivos de negocios?
- ¿Están siendo medidos e informados los riesgos, el control, la conformidad y
la performance?

Este dominio considera los procesos:

ME1 Monitor and evaluate IT performance.

ME2 Monitor and evaluate internal control.

ME3 Ensure regulatory compliance.

ME4 Provide IT governance.

Maturity Model

Es modelo es el que en definitiva posibilita que los procesos que establece la COBIT sean
auditables, esto es procesos que se pueden verificar primero si se cumplen y ejecutan de
acuerdo a lo que la empresa declaró –ocurre la declaración cuando se publica y difunde el
proceso- y, por otro parte este modelo permite establecer cual es el nivel de desarrollo que
tiene el proceso en la empresa. Para esto define 6 estados o niveles, cuya definición
genérica es la se incluye en la lista siguiente, no obstante, para cada uno de los 34 procesos
que conforman la COBIT existe su propio y único Matutity Model.

De modo que es este modelo, a mi juicio, el que ha llevado que la COBIT sea marco de
referencia preferido de las grandes compañías mundiales de auditoría.

La siguiente es la descripción genérica de los estados del Maturity Model:

Inexistente, se carece totalmente de un proceso. La empresa no ha reconocido la necesidad.

- Inicial, existe evidencia que la empresa ha reconocido la necesidad del

proceso. No existe un proceso formal – estandarizado – si no que existe
enfoques ad-hoc que se aplican de manera individual o caso a caso. La
gestión de este es desorganizada.
- Repetible, el proceso se encuentra en un nivel de desarrollo tal que distintas
personas ejecutan más o menos los mismos procedimientos. No existe una
comunicación ni entrenamiento formal de los procedimientos, y la
responsabilidad se mantiene individual. Existe una gran dependencia del
conocimiento que tiene los individuos y, por tanto, existe una probabilidad
de error importante.
- Definido, el proceso esta estandarizado, documentado y difundido mediante
entrenamiento. Sin embargo, se deja a voluntad de los individuos la
 aplicación de los procedimientos del proceso y es poco probable que se
detecten las desviaciones en su uso. Los procedimientos en sí no son
sofisticados y corresponden a la formalización de las prácticas existentes.

- Gestionado, es posible monitorear y medir la conformidad en la aplicación

de los procedimientos del proceso y es posible tomar acciones cuando el
proceso no está operando adecuadamente. Los procesos están mejorándose
continuamente. Se dispone de automatizaciones y de herramientas que son
usadas de una manera limitada o fragmentada.

- Optimizado, el proceso ha sido refinado al nivel de las mejores prácticas,

basado en los resultados del mejoramiento continuo y de los modelos ya
maduros de otras compañías. Las TI son usadas integralmente para
automatizarworkflow, entregando herramientas que mejoran la calidad y
efectividad, aumentando la capacidad de adaptación de le empresa.

CONCLUSION

Claramente la COBIT es un marco de referencia para profesionalizar el área informática de

una compañía, que cuenta con capacidades propias o tercerizadas para la implementación
de proyectos típicamente soportados con ERP de clase mundial, que tiene un área de
operación con varias decenas de servidores que dan servicios a más de una locación, y que
cuenta con áreas de mantenimiento y soporte. Y, más importante los Sistemas Informáticos
son reconocidos por el directorio como un componente clave en el éxito comercial de la
compañía y, por lo mismos que implican riesgos para el negocio.
 BIBLIOGRAFIA

- https://www.globalsuitesolutions.com/es/que-es-cobit/

- https://sites.google.com/site/auditoriaeninformaticacun/cobit-1/historia

- https://es.wikipedia.org/wiki/Objetivos_de_control_para_la_informaci
%C3%B3n_y_tecnolog%C3%ADas_relacionadas

- https://www.monografias.com/trabajos105/cobit-implantado-empresa/cobit-
implantado-empresa