COBIT (Herramienta de Auditora)

Tenemos que reconocer que las tecnologas de informacin juegan un rol muy importante en todo tipo de organizaciones, no solamente en aquellas que operan globalmente. La gran capacidad de almacenar, procesar y distribuir datos que tienen las computadoras actuales convierte a estos en elementos fundamentales en la gestin de cualquier tipo de organizacin; ya sea pequea o grande, estatal o privada, con fines de lucro, etc. Sin embargo, no podemos ser ingenuos y suponer que la tecnologa va a resolver los problemas automticamente. La estrategia de la tecnologa de informacin tiene que estar subordinada a la estrategia organizacional, la cual debe estar diseada en funcin de los objetivos organizacionales. Cada empresa debe decidir y trabajar con un mtodo que encaje con su estrategia y sus polticas internas. El grado de detalle y formalidad con la que se lleva a cabo este alineamiento depende principalmente del sector al cual pertenece la compaa y del grado de importancia que las TI tienen en las operaciones y la estrategia de negocio. La estructura organizacional de la empresa ocupa un papel importante para lograr el alineamiento estratgico. Esta estructura es quien define las posiciones gerenciales que tendr la compaa, los roles de cada uno de ellos y la forma que estos interaccionan con la Junta Directiva. COBIT da soporte al gobierno de TI al brindar un marco de trabajo que garantiza que la TI est alineada con la empresa, capacite y maximice los beneficios de la misma. Los recursos de TI se deben usar de manera responsable y los riesgos sean administrados apropiadamente. El Marco de Trabajo est orientado por el Negocio, los Procesos y es basado en Controles. Es orientado al negocio La orientacin a negocios es el tema principal de COBIT. Es decir, proporciona la informacin que la empresa requiere para lograr sus objetivos, la empresa necesita invertir, administrar y controlar los recursos de TI

utilizando un conjunto estructurado de procesos que proporcionen los servicios que entregan la informacin empresarial requerida. Para satisfacer los objetivos del negocio, la informacin necesita adaptarse a ciertos criterios de control, los cuales son referidos en COBIT como requerimientos de informacin del negocio. El primero es la efectividad, este tiene que ver con que la informacin sea relevante y pertinente a los procesos del negocio, y se proporcione de una manera correcta y utilizable. La eficiencia, consiste en que la informacin sea generada optimizando los recursos (es decir, ms productivo y econmico). La confidencialidad, la cual se refiere a la proteccin de informacin sensitiva contra revelacin no autorizada. La integridad est relacionada con la precisin y completitud de la informacin, as como con su validez de acuerdo a los valores y expectativas del negocio. Ladisponibilidad se refiere a que la informacin est disponible cuando sea requerida por los procesos del negocio en cualquier momento. El cumplimiento tiene que ver con acatar aquellas leyes, reglamentos y acuerdos contractuales a los cuales est sujeto el proceso de negocios, es decir, criterios de negocios impuestos externamente, as como polticas internas. Por ltimo, la confiabilidad, significa proporcionar la informacin apropiada para que la gerencia administre la entidad y ejercite sus responsabilidades. Existen algunos recursos de TI que se encuentran identificados en el COBIT como las aplicaciones las cuales incluyen los sistemas de usuario. La informacin (datos en su forma de entrada, procesados y generados por los sistemas de informacin). La infraestructura de la empresa, tanto en tecnologas como las instalaciones ya sea hardware, sistemas operativos, sistemas de administracin de base de datos, redes, etc., y las personas que son personal requerido para para planear, organizar, adquirir, implementar, entregar, soportar, monitorear y evaluar los sistemas y los servicios de informacin. Las personas son el personal requerido para planear, organizar, adquirir, implementar, entregar, soportar, monitorear y evaluar los sistemas y los servicios de informacin. Estas pueden ser internas, por outsourcing o contratadas, de acuerdo a como se requieran.

Est orientado a los Procesos El marco de trabajo COBIT proporciona un modelo de procesos de referencia y un lenguaje comn para que todos en la empresa visualicen y administren las actividades de TI. Un modelo de procesos fomenta la propiedad de los procesos, permitiendo que se definan las responsabilidades. Para gobernar efectivamente TI, es importante determinar las actividades y los riesgos que requieren ser administrados. Normalmente se ordenan dentro de dominios de responsabilidad de plan, construir, ejecutar y monitorear. Est basado en controles Los objetivos de control de TI proporcionan un conjunto completo de requerimientos de alto nivel a considerar por la gerencia para un control efectivo de cada proceso de TI. Son sentencias de acciones de gerencia para aumentar el valor o reducir el riesgo, consisten en polticas, procedimientos, prcticas y estructuras organizacionales. Los controles estn diseados para proporcionar un aseguramiento razonable de que los objetivos de negocio se conseguirn y que los eventos no deseables se prevendrn, detectarn y corregirn. COBIT brinda un modelo genrico de procesos que representa todos los procesos que normalmente se encuentran en las funciones de TI, proporcionando un modelo de referencia general y entendible para la gerencia de las operaciones de TI y la gerencia de negocios. Para lograr un gobierno efectivo, se debe implementar los controles necesarios dentro de un marco de control definido para todos los procesos de TI ya que los objetivos de control de TI de COBIT estn organizados por procesos de TI, el marco de trabajo brinda vnculos claros entre los requerimientos de gobierno de TI, los procesos de TI y los controles de TI. El estado de los sistemas de TI es una necesidad que toda empresa debe entender, sta debe tomar decisiones sobre el nivel de administracin y controles que debe proporcionarle a la empresa.

Las empresas deben tomar en cuenta algunas mediciones como por ejemplo dnde estn ubicadas, donde es requerida una mejora de tal forma que se pueda implementar un juego de herramientas gerenciales para monitorear esta mejora. El COBIT aborda estos temas a travs de algunos elementos; como los modelos de madurez que facilitan la evaluacin (benchmarking) e identificacin de mejoras necesarias. Tambin estn las metas y mediciones de desempeo que son utilizadas principalmente para los procesos de TI, estos demuestran la forma en que los procesos satisfacen las necesidades de la empresa y de TI. Las metas de actividades se usan para facilitar el desempeo efectivo de los procesos. Los modelos de madurez son elementos que estn determinados dentro del COBIT, estos brindan un perfil genrico de las etapas a travs de las cuales evolucionan las empresas para la administracin y el control de los procesos de TI. Los modelos de madurez COBIT se enfocan en la capacidad, y no necesariamente en el desempeo. Se disearon para ser aplicables siempre, con niveles que brindan una descripcin que una empresa pueda reconocer como la mejor para sus procesos. El nivel correcto est determinado por el tipo de empresa, por su medio ambiente y por la estrategia. COBIT se basa en el anlisis y armonizacin de estndares y mejores prcticas de TI existentes y se adapta a principios de gobierno generalmente aceptados. Est posicionado a un nivel alto, impulsado por los requerimientos del negocio, cubre el rango completo de actividades de TI, y se concentra en lo que se debe lograr en lugar de como lograr un gobierno, administracin y control efectivos. La efectividad de los estndares y las mejores prcticas depende de cmo hayan sido implantados estos en realidad y de cmo se mantengan actualizados. Son ms tiles cuando se aplican como un conjunto de principios y como un punto de partida para adaptar procedimientos especficos. En el COBIT tambin se identifican los controles generales de TI y controles de aplicacin los cuales estn presentes en todos los procesos y servicios de la tecnologa de la informacin. Entre ellos esta el desarrollo de sistema, la administracin de cambios, la seguridad y la operacin del computador. En

los controles de aplicacin son los controles de proceso de negocios y se basan en la integridad, la precisin, la validez, la autorizacin y segregacin de funciones.