Estándar de Control y Auditoria

de Tecnologías de Información

Ing. César Elizondo Mora

 Historia ISACA
• Fundada in 1969, como EDP Auditors
Association
• Más de 26,000 miembros en más de 100
países
• Más de 160 capítulos alrededor del mundo
 Antecedentes
• El gremio de profesionales en TI se mostró
preocupado por la falta de una guía estándar
sobre el control en TI, que sirviera para
diferentes grupos de interés.
• LA ISACF, como órgano que agrupa a
profesionales de diferentes áreas interesados
en el control de TI, se dio a la tarea de
desarrollar un conjunto común de conceptos
sobre la materia.
 Antecedentes
• COBIT Integra y concilia normas y reglamentaciones
existentes como:
– ISO (9000-3)
– Códigos de Conducta del Consejo Europeo
– COSO, IFAC, IIA, AICPA y Otras
• Se publica por 1ra vez en Septiembre de 1996
• Se publica la 2a Edición en Abril de 1988
• Se publicó la 3a Edición en Marzo del 2000
 Definición
Control
OBjectives
for Information
and Related Technology
(Objetivos de control para la información y
tecnologías relacionadas)
 Misión

Investigar, desarrollar, publicar y promover

un conjunto internacional y actualizado de
objetivos de control para tecnología de
información que sea de uso cotidiano para
gerentes y auditores.
 Participantes
• La Gerencia:
Gerencia para apoyar sus decisiones de
inversión en TI y control sobre el rendimiento
de las mismas, analizar el costo beneficio del
control.
• Los Usuarios Finales:
Finales quienes obtienen una
garantía sobre la seguridad y el control de los
productos que adquieren interna y externamente
 Participantes
• Los Auditores : para soportar sus opiniones
sobre los controles de los proyectos de TI ,
su impacto en la organización y determinar
el control mínimo requerido.
• Los Responsables de TI: TI para identificar
los controles que requieren en sus áreas
 Características
• Orientado al negocio
• Alineado con estándares y regulaciones “de
facto”
• Basado en una revisión crítica y analítica de
las tareas y actividades en TI
• Alineado con estándares de control y auditoria
(COSO, IFAC, IIA, AICPA)
 Principios
REQUERIMIENTOS
DE INFORMACIÓN
DEL NEGOCIO

PROCESOS
DE TI

RECURSOS
DE TI
 Requerimientos de la
Información del Negocio
CobiT combina los principios contenidos por modelos existentes
y conocidos como COSO

Requerimientos Calidad.
de Calidad Costo.
Oportunidad.

Requerimientos Efectividad y eficiencia operacional.

Financieros Confiabilidad de los reportes financieros.
(COSO) Cumplimiento de leyes y regulaciones.

Requerimientos Confidencialidad.
de Seguridad Integridad.
Disponibilidad.
 PO1 Definir un plan estratégico de TI
Objetivos del PO2 Definir la arquitectura de información
Negocio PO3 Determinar la dirección tecnológica
PO4 Definir la organización y relaciones de TI
PO5 Manejo de la inversión en TI
MO1 Seguimiento de los procesos PO6 Comunicación de la directrices Gerenciales
MO2 Evaluar lo adecuado del control Interno PO7 Administración del Recurso Humano
MO3 Obtener aseguramiento independiente
MO4 Proveer una auditoria independiente
CobiT PO8 Asegurar el cumplir requerimientos externos
PO9 Evaluación de Riesgos
P10 Administración de Proyectos
P11 Administración de Calidad

Req. Información
Efectividad, Eficiencia,
Confidencialidad, Integridad,
Monitoreo Disponibilidad, Planeación y
Cumplimiento, Confiabilidad Organización

Recursos de TI
Datos, Aplicaciones
ES1 Definición del nivel de servicio
ES2 Administración del servicio de terceros
Tecnología, Instalaciones, Adquisición e
ES3 Adm. de la capacidad y el desempeño Recurso Humano Implementación
ES4 Asegurar el servicio continuo
ES5 Garantizar la seguridad del sistema
ES6 Identificación y asignación de costos
ES7 Capacitación de usuarios
ES8 Soporte a los clientes de TI
ES9 Administración de la configuración Entrega y AI1 Identificación de soluciones
AI2 Adquisición y mantenimiento de SW aplicativo
ES10 Administración de problemas e incidentes
ES11 Administración de datos
Soporte AI3 Adquisición y mantenimiento de arquitectura TI
ES12 Administración de Instalaciones AI4 Desarrollo y mantenimiento de Procedimientos de TI
ES13 Administración de Operaciones AI5 Instalación y Acreditación de sistemas
AI6 Administración de Cambios
 Requerimientos de la
Información del Negocio
• Efectividad:
Efectividad La información debe ser relevante y pertinente
para los procesos del negocio y debe ser proporcionada en
forma oportuna, correcta, consistente y utilizable
• Eficiencia:
Eficiencia Se debe proveer información mediante el empleo
óptimo de los recursos (la forma más productiva y económica)
• Confidencialidad:
Confidencialidad Protección de la información sensitiva contra
divulgación no autorizada
• Integridad:
Integridad Refiere a lo exacto y completo de la información así
como a su validez de acuerdo con las expectativas de la
empresa.
 Requerimientos de la
Información del Negocio
• Disponibilidad:
Disponibilidad accesibilidad a la información cuando
sea requerida por los procesos del negocio y la
salvaguarda de los recursos y capacidades asociadas a
los mismos.
• Cumplimiento:
Cumplimiento de las leyes, regulaciones y compromisos
contractuales con los cuales está comprometida la
empresa.
• Confiabilidad:
Confiabilidad proveer la información apropiada para que
la administración tome las decisiones adecuadas para
manejar la empresa y cumplir con las responsabilidades
de los reportes financieros y de cumplimiento normativo.
 Recursos de TI
• Datos:
Datos Todos los objetos de información. Considera información
interna y externa, gráficas, sonidos, etc.
• Aplicaciones:
Aplicaciones entendido como los sistemas de información,
que integran procedimientos manuales y sistematizados.
• Tecnología:
Tecnología incluye hardware y software básico, sistemas
operativos, sistemas de administración de bases de datos, de
redes, telecomunicaciones, multimedia, etc.
• Instalaciones:
Instalaciones incluye los recursos necesarios para alojar y dar
soporte a los sistemas de información.
• Recurso Humano:
Humano Por la habilidad, conciencia y productividad
del personal para planear, adquirir, prestar servicios, dar
soporte y monitorear los sistemas de Información.
 Procesos de TI
- Los Tres Niveles
Agrupación Natural de procesos,
Dominios normalmente corresponden a un
dominio o una responsabilidad
organizacional
Procesos
Conjuntos o series de actividades
unidas con delimitación o cortes de
control.

Actividades Acciones requeridas para lograr un

o tareas resultado medible.
 Procesos de TI
- Dominios
• Planeación y Organización (Planning and
Organization)
• Adquisición e implementación
(Acquisition and Implementation)
• Entrega y Soporte (Delivery and Support)
• Monitoreo (monitoring)
 Procesos de TI
- Procesos
Planeación y PO1 Definir un plan estratégico de TI
Organización PO2 Definir la arquitectura de información
PO3 Determinar la dirección tecnológica
PO4 Definir la organización y relaciones de TI
PO5 Manejo de la inversión en TI
PO6 Comunicación de la directrices Gerenciales
PO7 Administración del Recurso Humano
PO8 Asegurar el cumplir requerimientos externos
PO9 Evaluación de Riesgos
PO10 Administración de Proyectos
PO11 Administración de Calidad

Adquisición e AI1 Identificación de soluciones

Implementación AI2 Adquisición y mantenimiento de SW aplicativo
AI3 Adquisición y mantenimiento de arquitectura TI
AI4 Desarrollo y mantenimiento de procedimientos de TI
AI5 Instalación y Acreditación de sistemas
AI6 Administración de Cambios
 Procesos de TI
- Procesos
Entrega y ES1 Definición del nivel de servicio
Soporte ES2 Administración del servicio de terceros
ES3 Administración de la capacidad y el desempeño
ES4 Asegurar el servicio continuo
ES5 Garantizar la seguridad del sistema
ES6 Identificación y asignación de costos
ES7 Capacitación de usuarios
ES8 Soporte a los clientes de TI
ES9 Administración de la configuración
ES10 Administración de problemas e incidentes
ES11 Administración de datos
ES12 Administración de instalaciones
ES13 Administración de operaciones
Monitoreo
MO1 Seguimiento de los procesos
MO2 Evaluar lo adecuado del control Interno
MO3 Obtener aseguramiento independiente
MO4 Proveer una auditoria independiente
 Estructura de

EVENTOS INFORMACIÓN

Objetivos de Datos Efectividad

negocio Eficiencia
Aplicaciones
Oportunidades Confidencialidad
Tecnología
de negocio Integridad
Instalaciones Disponibilidad
Requerimientos Recurso Humano
externos Cumplimiento
Regulación Confiabilidad
Riesgos
 Estructura de
Lo que usted
Procesos del Lo que Usted
Obtiene Negocio Necesita

Criterios
Efectividad
Información Eficiencia
Confidencialidad
Integridad
Disponibilidad
Cumplimiento
Recursos de TI Confiabilidad

Datos
Aplicaciones
Tecnología
Instalaciones
Recurso Humano
 Como Producto
• Resumen Ejecutivo
• Marco de Referencia (Framework)
• Objetivos de Control
• Guías de Auditoria
• Guías de Administración
• Herramientas de implementación
• CD-ROM
 - Resumen Ejecutivo
• Documento dirigido a la alta gerencia
• Presenta los antecedentes y la estructura
básica de COBIT.
• Describe de manera general los procesos,
los recursos y los criterios de información,
los cuales conforman la “Columna
Vertebral” de COBIT.
 - Marco de Referencia
• Incluye la introducción contenida en el
resumen ejecutivo
• Presenta las guías de navegación para que los
lectores se orienten en la exploración del
material de COBIT.
• Hace una presentación detallada de los 34
procesos contenidos en los cuatro dominios.
 - Objetivos de Control
• Integran en su contenido lo expuesto tanto en
el resumen ejecutivo como en el marco de
referencia
• Presenta los objetivos de control detallados
para cada uno de los 34 procesos.
• En total se describen 318 objetivos de control
repartidos entre los procesos
 - Guías de Auditoría
• Se hace una presentación del proceso de auditoria
generalmente aceptado (evaluación de control,
evaluación de cumplimiento y evidenciación de
los riesgos).
• Este documento incluye guías detalladas para
auditar cada uno de los 34 procesos teniendo en
cuenta los 318 objetivos de control detallados.
 Guías de Administración
• Se enfoca de manera similar a los otros productos
• Integra los principios del Balanced Business
Scorecard.
• Para ayudar a determinar cuales son los adecuados
niveles de seguridad y control integra los
conceptos de:
– Modelo de madurez CMM (prácticas de Control)
– Indicadores claves de desempeño
– Indicadores claves de meta
– Factores críticos de éxito a tener en cuenta para
mantener bajo control los procesos de TI.
 Herramientas de
Implementación
• Muestra algunas de las lecciones aprendidas por
aquellas organizaciones que han aplicado CobiT
• Incluye una guía de implementación con dos
herramientas: Diagnóstico de conciencia
Administrativa y Diagnóstico de Control en TI
• Respuestas a las 25 preguntas mas frecuentes
sobre CobiT
 CD-ROM
• El CD-ROM de CobiT contiene toda la
información relacionada con los objetivos
de Control y guías de Auditoria, facilitando.
su búsqueda y acceso.
• Permite contar con las guías por objetivo de
control de una manera fácil y oportuna
cuando se están realizando labores de
auditoria.
¿ Preguntas ?