[Mayo/2016]

M I A I A.
Modelo Integrado de
Auditoría Interna Auditool

Módulo 12 – Control sobre la información y

tecnologías relacionadas (COBIT)
www.auditool.org
MIAIA

12. CONTROL SOBRE LA INFORMACIÓN Y TECNOLOGÍAS RELACIONADAS

(COBIT)

Por todo lo que hemos comentado a lo largo de este vademécum, hoy en día es totalmente
imposible encontrar organizaciones empresariales en las que no estén presentes sistemas
o aplicaciones informáticas que permitan, de una u otra manera, apoyar la realización de
los procesos de gestión, no solo los de índole administrativa, sino también los netamente
operativos, y esta dependencia puede llegar, incluso, a límites extremos.

En este entorno, recordemos la convulsión que se produjo a finales del siglo pasado cuando
se acercaba el cambio de milenio y no había seguridad acerca de cómo iban a reaccionar
los sistemas informáticos ante el cambio del dígito representativo de la unidades de millar.
Hubo quien pronosticó, y no fueron solo consultores, que a las cero horas del día 1 de
enero de 2000 se colapsaría el mundo, los aviones se caerían, las bolsas se bloquearían,
y así un centenar de desgracias adicionales.

Para prevenirlas y evitarlas se emprendieron los costosos “Proyectos Millenium” y sus

correspondientes “Planes de contingencia” que los complementaban, ya que las dudas y
las preocupaciones eran tan fuertes que, en previsión de que lo que habíamos realizado
no resultara eficaz, teníamos que disponer de un Plan B que nos permitiera seguir
operando.

Afortunadamente, esta paranoia no se volverá a repetir hasta dentro de 90 años. Sin

embargo, debemos admitir que los avances tecnológicos que nos aportan las Tecnologías
de la Información no están exentos de riesgos, incluso importantes. Por este motivo deben
ocupar un espacio específico dentro de este módulo, pues resulta evidente la necesidad
de identificar y aplicar controles que aseguren que los riesgos informáticos están siendo
gestionados de forma adecuada, fundamentalmente cuando los nuevos modelos de
auditoría se basan en un monitoreo exhaustivo de datos obtenidos, normalmente, a través
de programas informáticos específicos.

Al mismo tiempo debemos señalar que el Gobierno de la Seguridad de la Información es

una tarea que requiere una elevada especialización. Dado que este módulo trata de los
riesgos clave que pueden presentarse en una Organización, entre los cuales están los de
TI, no podíamos obviarlos, aunque probablemente, no con la profundidad y detalle que se
podrá encontrar en publicaciones y fuentes mucho más especializadas.

A este respecto, en general, las organizaciones deben satisfacer altos niveles de calidad,
y los requerimientos fiduciarios y de seguridad de su información, así como de todos sus
activos. La Dirección también debe optimizar el uso de los recursos disponibles de TI,
incluyendo aplicaciones, información, infraestructura y personas. Para descargar estas
responsabilidades, así como para lograr sus objetivos, la Dirección debe entender el
estatus de su arquitectura empresarial para TI y decidir qué tipo de gobierno y de control
debe aplicar.
MIAIA

Uno de los estándares que más se están utilizando en el mundo como base para realizar
una metodología de control interno en el ambiente de tecnología informática y sistemas de
información es el denominado Control Objetives for Information and Related Technology
(COBIT), que constituye un marco de referencia y se fundamenta en los objetivos de control
existentes de la Information Systems Audit and Control Foundation (ISACF), y que ha sido
mejorado a partir de estándares internacionales técnicos, profesionales, regulatorios y
específicos para la industria.

El marco de referencia COBIT otorga especial importancia al impacto sobre los recursos
de tecnología informática, así como a los requerimientos de negocios en cuanto a
efectividad, eficiencia, confidencialidad, integridad, disponibilidad, cumplimiento y
confiabilidad que deben ser satisfechos. Además, proporciona definiciones para los
requerimientos de negocio que son derivados de objetivos de control superiores en lo
referente a calidad, seguridad y reportes fiduciarios en tanto se relacionen con tecnología
de información.

La orientación a negocios es el objetivo principal de COBIT. Está diseñado no sólo para

ser utilizado por usuarios y auditores, sino que, más importante, está diseñado para ser
utilizado como una lista de verificación detallada para los propietarios de los procesos de
negocio. De forma creciente, las prácticas de negocio requieren de una mayor delegación
y otorgamiento de autoridad de los dueños de procesos para que éstos posean total
responsabilidad de todos los aspectos relacionados con dichos procesos de negocio.
Particularmente, esto incluye proporcionar al propietario de procesos de negocio controles
adecuados y herramientas útiles que faciliten el cumplimiento de esta responsabilidad.

COBIT es un modelo para auditar la gestión y el control de los sistemas de información y

tecnología, orientado a todos los sectores de una organización, es decir, administradores
IT, usuarios y, por supuesto, los auditores involucrados en el proceso. Define un marco de
referencia que clasifica los procesos de las unidades de tecnología de información de las
organizaciones en cuatro “dominios” principales, a saber:

 Planificación y organización.
 Adquisición e implantación.
 Soporte y Servicios.
 Monitoreo.

Estos dominios agrupan objetivos de control de alto nivel, que cubren tanto los aspectos
de información, como los de la tecnología que la respalda. En conjunto, estos dominios y
los objetivos de control facilitan que la generación y procesamiento de la información
cumplan con las características de efectividad, eficiencia, confidencialidad, integridad,
disponibilidad, cumplimiento y confiabilidad. Asimismo, se deben tomar en cuenta los
recursos que proporciona la Tecnología de la Información, tales como datos, sistemas de
aplicación, tecnología (plataformas), instalaciones y el recurso humano.

La evolución de COBIT ha sido constante desde su aparición en el año 1996, como

podemos apreciar en la Figura 71. Los cambios venían justificados por los objetivos
perseguidos por las distintas versiones del mismo.
MIAIA

Figura 71. Evolución de COBIT

12.1. COBIT 4

Este protocolo tiene como finalidad “investigar, desarrollar, publicar y promover un conjunto
internacional y actualizado de objetivos de control en cuanto a tecnología de información,
generalmente aceptado para el uso cotidiano de gerentes de empresa y auditores”. Fue
propuesto por Informations Systems Audit and Control Association (ISACA),

Para iniciar nuestros comentarios recordemos que COBIT 4.0 pretende asegurar que las
Tecnologías y los Sistemas de Información cumplan los siguientes aspectos:

 Están alineadas con el negocio.

 Contribuyen a la maximización del beneficio de la empresa.
 Sus recursos, humanos y técnicos, se emplean responsablemente.
 Los riesgos son gestionados y dirigidos correctamente (COSO; IIA).

COBIT incide sobre las políticas, procedimientos, prácticas y estructuras organizacionales

diseñadas para proveer una razonable confiabilidad de que los objetivos del negocio serán
alcanzados y de que los eventos indeseables serán oportunamente prevenidos, o
detectados y corregidos. Su ámbito de actuación se representa en la Figura 72.
MIAIA

Figura 72. Esquema de operación de COBIT 4

Según este Marco, en orden a que TI proporcione la información que la organización

necesita para cumplir sus objetivos, los recursos informáticos deben ser administrados por
un conjunto de procesos agrupados en forma natural de acuerdo con las diferentes áreas
de responsabilidad: Planificar, construir, ejecutar y monitorear, divididas en los 34 procesos
incluidos en la figura anterior.

Normalmente, las gerencias requieren información para tomar sus decisiones. En el caso
concreto del gobierno de TI su preocupación se centrará en saber si el nivel de control y
de desempeño es el adecuado. Una respuesta a estos requerimientos viene de las
definiciones específicas de los siguientes conceptos en COBIT:

Benchmarking de la capacidad de los procesos de TI, expresada en Modelos de Madurez,

Metas y Métricas de los resultados y desempeño de los procesos de TI, basados en los
principios del Balanced Business Scorecard.

a) Modelos de madurez

Se recomienda su aplicación sobre cada uno de los 34 procesos. Su escala de medición

es creciente a partir de 0 hasta 5. Se usa para estimar el grado de desarrollo de los
procesos de la organización. Analiza aspectos tales como:

 El grado de formalidad con que se cumplen los procesos

 El reconocimiento de que existen problemas
 Las posibilidades de entrenamiento y capacitación
MIAIA

 El grado de automatización de los procesos

 El nivel de avance de la organización en materia de administración del conocimiento
relativo a buenas prácticas

La escala de evaluación es la siguiente:

0) Inexistente, cuando:

 Hay una absoluta carencia de procesos reconocibles.

 La organización no ha reconocido que haya una necesidad de acciones en ese
sentido.
1) Inicial/Ad Hoc, siempre que:

 Hay evidencia de que la organización ha reconocido que existen problemas y

necesitan ser tratados.
 No hay procesos estandarizados sino que por el contrario hay acercamientos
puntuales que tienden a ser aplicados sólo por un individuo o a un caso concreto.
 La aproximación global de la Gerencia al tema no es planificada ni proactiva.

2) Repetitivo pero intuitivo, cuando:

 Los procesos se encuentran en una etapa en la cual diversos grupos que emprenden
la misma tarea siguen procedimientos similares.
 No hay ningún entrenamiento formal o comunicación estándar de procedimientos
 La responsabilidad descansa en los individuos.
 Hay un alto grado de confianza en el conocimiento de los individuos y por lo tanto los
errores son probables.
3) Definido, siempre que:

 Los procedimientos están estandarizados y se han documentado.

 Se han comunicado mediante el entrenamiento.
 Los individuos deciden seguir o no estos procesos.
 Es difícil que las desviaciones sean detectadas.
 Los procedimientos en sí mismos no son sofisticados sino que son la formalización
de prácticas existentes.
4) Administrado:

 Es posible vigilar y medir el cumplimiento de los procedimientos y tomar acciones en

los casos en los que los procesos resultan no trabajar con eficacia.
 Los procesos están bajo mejora constante y proporcionan buenas prácticas
aplicables.
 La automatización y las herramientas se utilizan de una manera limitada o de modo
parcial.
MIAIA

5) Optimizado:

 Los procesos de TI se han refinado al nivel de la mejor práctica, basándose los

resultados en la mejora continua y las iniciativas en materia de madurez que toma
como modelo a otras organizaciones.
 La tecnología se utiliza como un camino integrado para automatizar el proceso de
trabajo, proporcionando calidad y eficacia a las herramientas para mejorar, haciendo
que la empresa se adapte rápidamente a los cambios.

b) Metas y Métricas

COBIT utiliza dos tipos de métricas: indicadores de metas e indicadores de desempeño.

Los indicadores de metas definen mediciones para informar a la Gerencia respecto de si
un proceso, después de realizado, alcanzó los requerimientos del negocio, y se expresan
en términos de criterios de información:

 Disponibilidad de información precisa para cubrir las necesidades del negocio

 Ausencia de riesgos de integridad y confidencialidad
 Rentabilidad de procesos y operaciones
 Confirmación de confiabilidad, efectividad y cumplimiento

Los indicadores clave de desempeño definen las mediciones que determinan la forma
como se está desempeñando el proceso de IT para alcanzar las metas. Son indicadores
que miden los resultados de las actividades, es decir, las acciones que el responsable del
proceso debe realizar para lograr un resultado efectivo. Las métricas a emplear, para ser
efectivas, deben tener las siguientes características:

 Una elevada correlación entendimiento-esfuerzo. La comprensión del desempeño y

del logro de las metas en contraste con el esfuerzo de lograrlos
 Deben ser comparables internamente. Se debe construir una serie histórica
 Comparables externamente sin matizar por el tamaño de la empresa o industria
 Es preferible tener pocas métricas buenas que una gran lista de poca calidad
 Debe ser fácil de medir y no debe confundirse con las metas

Las metas se deben organizar de arriba abajo. Son los objetivos del negocio los que definen
las metas que deben exigirse a IT. Estas decidirán las diferentes necesidades de los
objetivos de los procesos, y cada meta del proceso establecerá las de las actividades.

c) Cuadros de Mando

Según la Norma UNE 66175 Guía para la implantación de sistemas de indicadores, un

cuadro de mando es una “herramienta de gestión que facilita la toma de decisiones, y que
recoge un conjunto coherente de indicadores que proporcionan una visión comprensible
del negocio o área de responsabilidad, que permitirá enfocar y alinear los equipos
directivos, las unidades de negocio, los recursos y los procesos con las estrategias de la
Organización”.
MIAIA

De acuerdo con esta definición, lo que resulta básico para la eficacia de un cuadro de
mando es la fijación de objetivos claros para la Organización, alcanzables mediante las
diferentes actuaciones que se incorporan en los procesos, los cuales tendrán su reflejo en
unas variables claves controladas a través de indicadores. Por consiguiente, las líneas
maestras de un cuadro de mando serán:

 Presentar solo aquella información que sea adecuada, sencilla y resumida

 Destacar lo realmente importante
 No olvidar la ayuda que pueden ofrecer los gráficos, tablas, evolución ratios
 La uniformidad en la presentación que posibilite el contraste de resultados

En resumen, la información que se incorpore a un cuadro de mando debe ser oportuna,

clara, analítica y veraz (imparcial, objetiva, verificable y precisa), es decir, deberá contener
las variables más adecuadas a controlar en cada momento, los indicadores con los que
podamos cuantificar cada una de las variables seleccionadas, las desviaciones se vayan
produciendo y las soluciones a tomar en cada caso.

12.2 COBIT 5

El 10 de abril de 2012 el ISACA publicó COBIT 5, denominado Un marco de negocio para

el Gobierno y la Gestión de las TI de la Empresa, en el que se integran los protocolos
desarrollados y publicados previamente por ISACA, además de considerar para sus
procesos otros estándares internacionales, mejores prácticas y marcos de referencia como
COSO, ISO-9000, ISO-31000, ISO-38500, e ISO-27000, entre otros.

El objetivo de esta nueva versión es ayudar a las organizaciones de todos los tamaños y
de cualquier sector a obtener el valor óptimo de las tecnologías de información, tratando
de satisfacer las necesidades de las “partes interesadas internas y externas” mediante la
creación de valor para la empresa a través de las tecnologías de información. Esto se
realiza con un enfoque de gestión holística de extremo a extremo, cumpliendo de la mejor
manera posible con las leyes, regulaciones, políticas, y basándose en buenas prácticas
internacionales.

Según se recoge en el prólogo del propio marco “La información es un recurso clave para
todas las empresas y desde el momento en que la información se crea hasta que es
destruida, la tecnología juega un papel importante. La tecnología de la información está
avanzando cada vez más y se ha generalizado en las empresas y en entornos sociales,
públicos y de negocios”. Como resultado, hoy más que nunca, las empresas y sus
ejecutivos se esfuerzan por:

 Mantener información de alta calidad para soportar las decisiones del negocio.
 Generar valor al negocio con las inversiones en TI, por ejemplo, alcanzando metas
estratégicas y generando beneficios al negocio a través de un uso de las TI eficaz e
innovador.
 Alcanzar la excelencia operativa a través de una aplicación de la tecnología fiable y
eficiente.
 Mantener los riesgos relacionados con TI en un nivel aceptable.
MIAIA

 Optimizar el costo de los servicios y tecnologías de TI.

 Cumplir con las constantemente crecientes leyes, regulaciones, acuerdos
contractuales y políticas aplicables.

COBIT 5 reúne los cinco principios que permiten a las empresas construir una
gobernabilidad efectiva y un marco de gestión basado en un conjunto holístico de siete
facilitadores que optimiza la información y la inversión en tecnología y el uso para el
beneficio de las partes interesadas. Veámoslos de forma gráfica en la siguiente figura.

Figura 1. Principios de COBIT 5

En tanto que los Facilitadores reconocidos son los que se representan en la siguiente
figura.

Figura 2. Recursos según COBIT 5 - Fuente: COBIT ® 5, figure 12. © 2012 ISACA®
MIAIA

Veamos a continuación el alcance de cada uno de estos Principios y Facilitadores, según

los describe el propio marco:

 Principio 1: Satisfacer las Necesidades de las Partes Interesadas. Las empresas

existen para crear valor para sus partes interesadas manteniendo el equilibrio entre
la consecución de beneficios y la optimización de los riesgos y el uso de recursos.

 Principio 2: Cubrir la Empresa Extremo-a-Extremo, para ello se debe integrar el

Gobierno y la Gestión de TI en el Gobierno Corporativo:

 Cubriendo todas las funciones y procesos dentro de la empresa; COBIT 5 no se

enfoca sólo en la “función de TI”, sino que trata la información y las tecnologías
relacionadas como activos que deben ser tratados como cualquier otro activo por
todos en la empresa.
 Considera que los catalizadores relacionados con TI para el gobierno y la gestión
deben ser a nivel de toda la empresa y de principio a fin, es decir, incluyendo a
todo y todos – internos y externos – los que sean relevantes para el gobierno y
la gestión de la información de la empresa y TI relacionadas.

 Principio 3: Aplicar un solo Marco de Referencia Integrado. Existiendo muchos

estándares y buenas prácticas relativos a TI, que ofrecen cada uno ayuda para un
subgrupo de actividades de TI, COBIT 5 se alinea a alto nivel con otros estándares y
marcos de trabajo relevantes, y de este modo puede hacer la función de marco de
trabajo principal para el Gobierno y la Gestión de las Ti de la empresa.
 Principio 4: Hacer posible un Enfoque Holístico. Un Gobierno y Gestión de las TI
de la empresa efectivo y eficiente requiere de un enfoque holístico que tenga en
cuenta varios componentes interactivos.
 Principio 5: Separar el Gobierno de la Administración. COBIT 5 define un
conjunto de catalizadores para apoyar la implementación de un sistema de gobierno
y gestión global para las TI de la empresa. Los catalizadores se definen en líneas
generales como cualquier cosa que puede ayudar a conseguir las metas de la
empresa.

Por lo que respecta a los Facilitadores, estos se describen de la siguiente manera:

1. Principios, políticas y marcos. Son los vehículos para trasladar el comportamiento

deseado en una guía práctica para conducir las tareas de gestión TI en el día a día.
2. Procesos. Constituyen un conjunto organizado de prácticas y actividades para
orientadas a alcanzar los objetivos establecidos respecto a las tecnologías de la
información.
3. Estructura organizacional. Son las entidades de la organización que toman las
decisiones críticas.
MIAIA

4. Cultura, Ética y Comportamiento. Tanto de los individuos como de la organización.

Muy a menudo se subestima su influencia en la consecución de los objetivos de
Gobierno establecidos.
5. Información. La información invade todos los ámbitos de la organización. Esta la
necesita para operar y para la toma de decisiones. También puede ser el resultado
de la actividad de la organización.
6. Servicios, Infraestructura y Aplicaciones. Es la parte más cercana a los
profesionales de las TIC.
7. Personas, habilidades y competencias. Se asocia a las personas necesarias para
realizar las actividades, tomar decisiones y realizar tareas correctivas.

En resumen, COBIT 5 ofrece unas buenas prácticas y herramientas para el seguimiento y

la gestión de las actividades de TI. También ayuda a los ejecutivos a comprender y
gestionar las inversiones en TI durante todo su ciclo de vida y evaluar si los servicios de TI
y las nuevas iniciativas están cumpliendo con las exigencias corporativas y si generan los
beneficios. Es un marco de trabajo para el control de los Sistemas de Información (TI)
globalmente aceptado basado en estándares de la industria y mejores prácticas. Una vez
implantado, los ejecutivos pueden asegurarse de que la Tecnología de la Información (TI)
se encuentran alineada con los objetivos corporativos de manera eficaz y de que el uso de
TI está correctamente orientado hacia la obtención de ventajas competitivas.

Además, provee a los ejecutivos un lenguaje común para comunicar las metas, objetivos y
resultados a los profesionales de auditoría, de TI y a otros profesionales. COBIT ofrece
unas buenas prácticas y herramientas para el seguimiento y la gestión de las actividades
de TI. También ayuda a los ejecutivos a comprender y gestionar las inversiones en TI
durante todo su ciclo de vida y proporciona un método para evaluar si los servicios de TI y
las nuevas iniciativas están cumpliendo con las exigencias corporativas y si generarán los
beneficios esperados.