AUDITORIA

INFORMATICA CON
LAS ESTRATEGIAS
IMPLEMENTADAS
POR COBIT
AUDITORIA INFORMATICA CON LAS ESTRATEGIAS
IMPLEMENTADAS POR COBIT

Objetivo General Objetivos Específicos

 Elaborar un plan que permita el desarrollo  Conocer sobre utilización y la aplicación de
de las políticas y buenas prácticas para el Cobit 4.5.
control de las tecnologías en toda  Analizar marco de acción donde se evalúan los
organización. criterios de información seguridad y calidad.

2
AUDITORIA INFORMATICA CON LAS ESTRATEGIAS
IMPLEMENTADAS POR COBIT

Justificación
Desarrollar un Gobierno de Tecnologías de Información (TI), es decir, alinear las tecnologías
de la información con las estrategias del negocio, va mucho más allá de una definición de
responsabilidades del Gerente de TI, una receta que descargamos de Internet o que
copiamos de un libro tratando de seguir cada paso. Tampoco debe ser visto como una moda o
algo que hay que cumplir porque hay exigencias de regulación.

Podemos implementar una adecuada gobernanza mediante el apoyo mejores prácticas,

como: COBIT (Objetivos de control para la información y tecnologías relacionadas) o ISO
38500 (Estándar para el Gobierno de TI). En este punto es fundamental que el estándar se
adapte a la organización, sus partes interesadas, objetivos estratégicos, los riesgos, recursos,
leyes y regulaciones y los beneficios que se espera percibir, y no que tratemos de adaptar la
organización a esa mejor práctica.

En Nicaragua, La Facultad Regional de Matagalpa, realizó seminario de graduación de

sistema de Control Interno con el objetivo de evaluar Control Interno de empresas nacionales,
obteniendo como resultados deficiencias de controles internos en la Asociación de Cafetaleros
de Matagalpa (Asocafemat) Molina, 2006.
3
AUDITORIA INFORMATICA CON LAS ESTRATEGIAS
IMPLEMENTADAS POR COBIT

Justificación
En Nicaragua, La Facultad Regional de Matagalpa, realizó informe de monografía de sistema
de Control Interno con el objetivo de evaluar Control Interno de empresas nacionales,
obteniendo como resultados deficiencias de controles internos de la Empresa Edimsa, S.A de
Matagalpa en el tercer trimestre del año 2002 (Mongrio, 2002).

En Nicaragua, El Colegio de Contadores Publico, realizó seminario de Control Interno

integrado COSO para las empresas con el objetivo de adoptar información con su contadores
públicos autorizado CCPA, 2003 En Nicaragua La Contraloría General de La Republica,
realizó normas de Control Interno para el sector público con el objetivo de aplicar normas de
Control Interno para el sector público. CGR, 2004.

Para muchas organizaciones la información y la tecnología que la soporta, representan los

activos más valiosos de las organizaciones.

Comprender los riesgos que se corren asociados con la tecnología puede ser controlado a
manera de implementar estrategias de control de la información haciendo uso de Cobit.
4
AUDITORIA INFORMATICA CON LAS ESTRATEGIAS
IMPLEMENTADAS POR COBIT

Antecedentes
El Instituto de Gobierno de TI fue formado por la Auditoría de Sistemas de Información y de la
Asociación de Control (ISACA) y su Fundación asociada en 1998 para avanzar en el
entendimiento y la adopción de principios de gobierno de TI. Con la adición de las Directrices
Gerenciales en la tercera edición de COBIT, su expansión y mayor cubrimiento sobre el
Gobierno de TI, el Instituto de Gobierno de TI adquirió un rol de liderazgo en el desarrollo de la
publicación.

COBIT se basó originalmente en los Objetivos de Control de la ISACF y ha sido mejorado con
los actuales y emergentes estándares internacionales a nivel técnico, profesional, regulatorio y
específicos de la industria. Los Objetivos de Control resultantes han sido desarrollados para
su aplicación en sistemas de información de toda la empresa. El término “generalmente
aplicable y aceptado” es utilizado explícitamente en el mismo sentido que los Principios de
Contabilidad Generalmente Aceptados (PCGA o GAAP, por sus siglas en inglés).

COBIT ha tenido varias ediciones, siendo publicada la primera en 1996, la segunda edición en
1998, la tercera edición en 2000 (la edición on-line estuvo disponible en 2003), y la cuarta
edición en Diciembre de 2005, la versión 4.1 está disponible desde mayo de 2007, la versión
online de COBIT 5 ya está disponible. 5
AUDITORIA INFORMATICA CON LAS ESTRATEGIAS
IMPLEMENTADAS POR COBIT

CONCEPTO
COBIT es una herramienta que permite a los gerentes comunicarse y salvar la brecha
existente entre los requerimientos de control, aspectos técnicos y riesgos de negocio. COBIT
habilita el desarrollo de una política clara y de buenas prácticas de control de IT a través de
organizaciones, en el ámbito mundial. El objetivo de COBIT es proporcionar estos objetivos de
control, dentro del marco referencial definido, y obtener la aprobación y el apoyo de las
entidades comerciales, gubernamentales y profesionales en todo el mundo.

Por lo tanto, COBIT está orientado a ser la herramienta de gobierno de IT que ayude al
entendimiento y a la administración de riesgos asociados con tecnología de información y con
tecnologías relacionadas.

6
AUDITORIA INFORMATICA CON LAS ESTRATEGIAS
IMPLEMENTADAS POR COBIT

COBIT está diseñado para ser utilizado por tres audiencias

distintas:
Auditores de
Administración: Usuarios: sistemas de
información:
Para ayudarlos a Para obtener una Para brindar
lograr un balance garantía en soporte a las
entre los riesgos cuanto a la opiniones
y las inversiones seguridad y mostradas a la
en control en un controles de los administración
ambiente de servicios de sobre los
tecnología de tecnología de controles
información información internos.
frecuentemente proporcionados
impredecible. internamente o
por terceras
partes.
7
AUDITORIA INFORMATICA CON LAS ESTRATEGIAS
IMPLEMENTADAS POR COBIT

Orientado al negocio

Alineado con estándares y regulaciones

"de facto".
Características
del COBIT. Basado en una revisión crítica y analítica
de las tareas y actividades en TI.

Alineado con estándares de control y auditoria

(COSO, IFAC, IIA, ISACA, AICPA).

8
AUDITORIA INFORMATICA CON LAS ESTRATEGIAS
IMPLEMENTADAS POR COBIT

Principios del COBIT.

El enfoque del control en TI se lleva a cabo visualizando la información necesaria para dar
soporte a los procesos de negocio y considerando a la información como el resultado de la
aplicación combinada de recursos relacionados con las TI que deben ser administrados por
procesos de TI. Requerimientos de la información del negocio: Para alcanzar
los requerimientos de negocio, la información necesita satisfacer ciertos criterios:

 Requerimientos de  Confiabilidad
Calidad  Cumplimiento
 Requerimientos  Confidencialidad
Fiduciarios  Integridad
 Requerimientos de  Disponibilidad
seguridad

9
AUDITORIA INFORMATICA CON LAS ESTRATEGIAS
IMPLEMENTADAS POR COBIT

Misión del COBIT

Buscar, desarrollar, publicar y promover un autoritario y actualizado conjunto
internacional de objetivos de control de tecnologías de la información, generalmente
aceptadas, para el uso diario por parte de gestores de negocio y auditores.

Beneficios COBIT
 Mejor alineación basada en una focalización sobre el negocio.
 Visión comprensible de TI para su administración.
 Clara definición de propiedad y responsabilidades.
 Aceptabilidad general con terceros y entes reguladores.
 Entendimiento compartido entre todos los interesados basados en un
lenguaje común.
 Cumplimiento global de los requerimientos de TI planteados en el Marco de
Control Interno de Negocio COSO.
10
AUDITORIA INFORMATICA CON LAS ESTRATEGIAS
IMPLEMENTADAS POR COBIT

Que son las tecnologías de Información.

La tecnología de información (TI) según lo definido por la asociación de la tecnología de información
de América (por sus siglas en Ingles ITAA) es “el estudio, diseño, desarrollo, implementación, soporte
o dirección de los sistemas de información computarizados, en particular de software de aplicación y
hardware de computadoras.” Se ocupa del uso de las computadoras y su software para convertir,
almacenar, proteger, procesar, transmitir y recuperar la información.
Hoy en día, el término “tecnología de información” se suele mezclar con muchos aspectos de la
computación y la tecnología y el término es más reconocible que antes.
La tecnología de la información puede ser bastante amplia, cubriendo muchos campos. Los
profesionales TI realizan una variedad de tareas que van desde instalar aplicaciones a diseñar
complejas redes de computación y bases de datos.
Algunas de las tareas de los profesionales TI incluyen, administración de datos, redes,
ingeniería de hardware, diseño de programas y bases de datos, así como la administración y dirección
de los sistemas completos. Cuando las tecnologías de computación y comunicación se combinan, el
resultado es la tecnología de la información o “infotech”. La Tecnología de la Información (TI) es un
término general que describe cualquier tecnología que ayuda a producir, manipular, almacenar,
comunicar, y/o esparcir información.

11
AUDITORIA INFORMATICA CON LAS ESTRATEGIAS
IMPLEMENTADAS POR COBIT

Tipos de tecnologías de información (TI).

El término “tecnología de información” se ha expandido para abarcar muchos aspectos de
computadora y de la tecnología, este es más reconocible que antes. El mundo de la tecnología
de información puede ser absolutamente grande, cubriendo muchos campos.
Los profesionales realizan una variedad de deberes que se extienden desde instalar
aplicaciones, a diseñar redes de ordenadores y bases de datos complejas de la información.
Algunos de los deberes que los profesionales realizan pueden incluir:

 Gerencia de datos
 Establecimiento de una red de la computadora
 Diseño de los sistemas de la base de datos
 Diseño del software
 Sistemas de información de gerencia
 Gerencia de sistemas

12
AUDITORIA INFORMATICA CON LAS ESTRATEGIAS
IMPLEMENTADAS POR COBIT

Las prácticas sanas de COBIT

Representan el consenso de los expertos (le ayudarán a optimizar la inversión en información, pero
aún más importante, representan aquello sobre lo que usted será juzgado si las cosas salen mal.
Las organizaciones deben cumplir con requerimientos de calidad, de reportes fiduciarios y de
seguridad, tanto para su información, como para sus activos. La administración deberá
obtener un balance adecuado en el empleo de sus recursos disponibles, los cuales incluyen: personal,
instalaciones, tecnología, sistemas de aplicación y datos. Para cumplir con esta responsabilidad,
así como para alcanzar sus expectativas, la administración deberá establecer un sistema adecuado de
control interno. Por lo tanto, este sistema o marco referencial deberá existir para proporcionar
soporte a los procesos de negocio y debe ser preciso en la forma en la que cada actividad individual
de control satisface los requerimientos de información y puede impactar a los recursos de IT. El
impacto en los recursos de IT es enfatizado en el Marco Referencial de COBIT conjuntamente a los
requerimientos de información del negocio que deben ser alcanzados: efectividad, eficiencia,
confidencialidad, integridad, disponibilidad, cumplimiento y confiabilidad. El control, que incluye
políticas, estructuras, prácticas y procedimientos organizacionales, es responsabilidad de la
administración.

13
AUDITORIA INFORMATICA CON LAS ESTRATEGIAS
IMPLEMENTADAS POR COBIT

Las prácticas sanas de COBIT

Un Objetivo de Control en IT es una definición del resultado o propósito que se desea alcanzar
implementando procedimientos de control específicos dentro de una actividad de IT.
La orientación a negocios es el tema principal de COBIT. Este diseñado no solo para ser utilizado
por usuarios y auditores, sino que en forma más importante, está diseñado para ser utilizado

14
AUDITORIA INFORMATICA CON LAS ESTRATEGIAS
IMPLEMENTADAS POR COBIT
En resumen de los 34 procesos que COBIT, se detallan de la
siguiente manera:
Planear y organizar.

 PO1 Definir un Plan Estratégico de Tecnología de Información

 PO2 Definir la Arquitectura de Información
 PO3 Determinar la dirección tecnológica
 PO4 Definir los procesos de TI, su Organización y las Relaciones de TI PO5 Manejar la
Inversión en TI
 PO6 Comunicar la dirección y aspiraciones de la gerencia
 PO7 Administrar Recursos Humanos
 PO8 Administrar con Calidad
 PO9 Evaluar y administrar los Riesgos
 PO10 Administrar proyectos

15
AUDITORIA INFORMATICA CON LAS ESTRATEGIAS
IMPLEMENTADAS POR COBIT
En resumen de los 34 procesos que COBIT, se detallan de la
siguiente manera:
Adquirir e Implementar

 DS1 Definir y administrar Niveles de Servicio

 DS2 Administrar Servicios prestados por Terceros
 DS3 Administrar Desempeño y Capacidad
 DS4 Asegurar un Servicio Continuo
 DS5 Garantizar la Seguridad de Sistemas
 DS6 Identificar y Asignar Costos
 DS7 Educar y Entrenar a Usuarios

16
AUDITORIA INFORMATICA CON LAS ESTRATEGIAS
IMPLEMENTADAS POR COBIT
En resumen de los 34 procesos que COBIT, se detallan de la
siguiente manera:
Entregar y Soportar

 DS8 Administrar la Mesa de Servicio y los Incidentes

 DS9 Administrar la Configuración DS10 Administrar Problemas DS11 Administrar Datos
 DS12 Administrar el ambiente físico
 DS13 Administrar Operaciones

Monitorear y Evaluar

 ME1 Monitorear y Evaluar el desempeño de TI ME2 Monitorear y Evaluar el Control Interno

 ME3 Asegurar el cumplimiento con Requerimientos externos.

17
AUDITORIA INFORMATICA CON LAS ESTRATEGIAS
IMPLEMENTADAS POR COBIT

ANALISIS DE RESULTADO
Los procedimientos son estandarizados y documentados y comunicados a través de capacitaciónes.
Sin embargo, los individuos dejan de cumplir los procesos y es improbable que las desviaciones
serán detectadas.
Los procesos están bajo constante mejoramiento y proveen de buenas prácticas. La automatización y
herramientas son utilizadas en forma limitada. Los procesos son refinado al nivel de mejores
prácticas, basado en el resultado de mejoramiento continuo y modelamiento de madurez.
La TI es usada como una forma integrada para automatizar los flujos de trabajo, entregando
herramientas para mejorar la calidad y la efectividad, permitiendo a la empresa adaptarse.

18
AUDITORIA INFORMATICA CON LAS ESTRATEGIAS
IMPLEMENTADAS POR COBIT

CONCLUSION
Si bien COBIT es un marco general, su flexibilidad y versatilidad nos permite adaptarlo a cualquier
tipo y tamaño de empresa, realizando una implementación gradual y progresiva acorde a los recursos
disponibles y acompasando la estrategia empresarial.
Es parte de la misión de ISACA, la divulgación de COBIT y apoyo en la implementación como
forma de promover la eficiencia y buena gestión de los procesos de tecnología que nos permita
compararnos y mejorar día a día en pos de la concreción de los Objetivos de Negocio. En el futuro,
continuaremos viendo el crecimiento de COBIT en sus facetas de administración y dirección de los
recursos de tecnología. Aparecerán nuevas herramientas de la familia de productos COBIT y nuevos
recursos con los cuales mejorar la administración. Se continuará refinando el producto en sí,
mejorando la calidad de sus referencias cruzadas, su relacionamiento con otros modelos, estándares
y normas. Se procurará institucionalizar y mejorar la calidad de las versiones en otras lenguas y, sin
duda, continuará el esfuerzo fundamental del ITGI en la difusión del uso de esta importante base de
dirección.

19