Auditoria de Sistemas

Trabajo Colaborativo I
Individual

PRESENTADOR POR

Jos Gabriel Chima Mosquera cdigo 1.027.998.887

GRUPO
90168_65
TUTOR:
Francisco Nicols Solarte

UNIVERSIDAD ABIERTA Y A DISTANCIA

2015

DESARROLLO DE CONSULTA DE LA COBIT

PARA QU SIRVE
Independientemente de la realidad tecnolgica de cada caso concreto, COBIT
determina, con el respaldo de las principales normas tcnicas internacionales, un
conjunto de mejores prcticas para la seguridad, la calidad, la eficacia y la
eficiencia en TI que son necesarias para alinear TI con el negocio, identificar
riesgos, entregar valor al negocio, gestionar recursos y medir el desempeo, el
cumplimiento de metas y el nivel de madurez de los procesos de la organizacin.
Proporciona a gerentes, interventores, y usuarios TI con un juego de medidas
generalmente aceptadas, indicadores, procesos y las mejores prcticas para
ayudar a ellos en el maximizar las ventajas sacadas por el empleo de tecnologa
de informacin y desarrollo de la gobernacin apropiada TI y el control en una
empresa.
Proporciona ventajas a gerentes, TI usuarios, e interventores. La toma de
decisiones es ms eficaz porque COBIT ayuda la direccin en la definicin de un
plan de TI estratgico, la definicin de la arquitectura de la informacin, la
adquisicin del hardware necesario TI y el software para ejecutar una estrategia
TI, la aseguracin del servicio continuo, y la supervisin del funcionamiento del
sistema TI. Los usuarios de TI se benefician de COBIT debido al aseguramiento
proporcionado. COBIT beneficia a interventores porque esto les ayuda a identificar
cuestiones de control de TI dentro de la infraestructura TI de una empresa. Esto
tambin les ayuda a corroborar sus conclusiones de auditoria.
La misin COBIT es "para investigar, desarrollar, hacer pblico y promover un
juego autoritario, actualizado, internacional de objetivos de control de tecnologa
de informacin generalmente aceptados para el empleo cotidiano por directores
comerciales e interventores. Los gerentes, interventores, y usuarios se benefician
del desarrollo de COBIT porque esto les ayuda a entender sus sistemas TI y
decidir el nivel de seguridad (valor) y control que es necesario para proteger el
activo de sus empresas por el desarrollo de un modelo de gobernacin TI.

COBIT FAMILIA DE PRODUCTO

El paquete de programas de COBIT completo es un juego que consiste en seis
publicaciones:
1.
2.
3.
4.
5.

Resumen(Sumario) Ejecutivo
Marco
Objetivos de Control
Directrices de auditoria
Instrumento de puesta en prctica

a) Resumen Ejecutivo el cual, adicionalmente a esta seccin de antecedentes,

consiste en una Sntesis Ejecutiva (que proporciona a la alta gerencia
entendimiento y conciencia sobre los conceptos clave y principios de COBIT) y el
Marco Referencial (el cual proporciona a la alta gerencia un entendimiento ms
detallado de los conceptos clave y principios de COBIT e identifica los cuatro
dominios de COBIT y los correspondientes 34 procesos de TI).
b) Marco Referencial que describe en detalle los 34 objetivos de control de alto
nivel e identifica los requerimientos de negocio para la informacin y los recursos
de TI que son impactados en forma primaria por cada objetivo de control.
c) Objetivos de Control, los cuales contienen declaraciones de los resultados
deseados o propsitos a ser alcanzados mediante la implementacin de 302
objetivos de control detallados y especficos a travs de los 34 procesos de TI.
d) Directrices de Auditora, las cuales contienen los pasos de auditora
correspondientes a cada uno de los 34 objetivos de control de TI de alto nivel para
proporcionar asistencia a los auditores de sistemas en la revisin de los procesos
de TI con respecto a los 302 objetivos detallados de control recomendados para
proporcionar a la gerencia certeza o una recomendaciones de mejoramiento.
e) Conjunto de Herramientas de Implementacin, el cual proporciona lecciones
aprendidas por organizaciones que han aplicado COBIT rpida y exitosamente en
sus ambientes de trabajo.

Figura

pirmide

de

productos

COBIT

extrada

de

la

fuente:

http://asin0212.blogspot.com/

COBIT y OTRAS NORMAS

Las dos normas internacionales usadas hoy son COBIT Y ISO/IEC 17799:2005.
COBIT (Objetivos de Control para la Informacin y la Tecnologa relacionada) fue
liberado y usado principalmente por la comunidad TI. En 1998, las Directrices de
Direccin fueron aadidas, y COBIT se hizo el marco internacionalmente aceptado
para la gobernacin TI y el control. ISO/IEC 17799:2005 (el Cdigo de prctica
para la Seguridad de Informacin la Direccin) es tambin un estndar
internacional y es la mejor prctica para poner en prctica la direccin de
seguridad. Las dos normas no compiten el uno con el otro y en realidad
4

complementan el uno al otro. COBIT tpicamente cubre una ms amplia rea

mientras ISO/IEC 17799 profundamente es enfocado (concentrado) en el rea de
seguridad.

Figura N 2 Describe la interrelacin de las dos normas as como ISO/IEC 17799

puede

ser

integrado

con

COBIT.

Extrado

de

la

fuente:

http://www.monografias.com/trabajos38/cobit/cobit2.shtml
Otras publicaciones de ISACA basado en el marco de COBIT son:
Junta informativa para TI gobernanzas, 2 Edicin
COBIT y controles de aplicacin
Prcticas de Control de COBIT, 2da Edicin
Gua de Aseguramiento de TI: Uso de COBIT
Implementacin y continuamente mejorar la gobernanza
COBIT inicio rpido, 2 Edicin
COBIT Baseline Security, 2 Edicin
Los objetivos de control de la ley Sarbanes-Oxley, 2 Edicin
Los objetivos de control para Basilea II
COBIT Gua del usuario para directores de servicios
COBIT (Asignaciones de la norma ISO / IEC 27002 , CMMI , ITIL , TOGAF ,
PMBOK , etc)
5

COBIT Online
Ediciones
La primera edicin fue publicada en 1996; la segunda edicin en 1998; la tercera
edicin en 2000 (la edicin on-line estuvo disponible en 2003); y la cuarta edicin
en diciembre de 2005, y la versin est disponible desde mayo de 2007.
COBIT 4.1
En su cuarta edicin, COBIT tiene 34 objetivos de alto nivel que cubren 210
objetivos de control (especficos o detallados) clasificados en cuatro dominios:
Planificacin y Organizacin, Adquisicin e Implementacin, Entrega y Soporte, y,
Supervisin y Evaluacin. En ingls: Plan and Organize, Acquire and Implement,
Deliver and Support, and Monitor and Evaluate.
COBIT 5
Isaca lanz el 10 de abril del 2012 la nueva edicin de este marco de referencia.
COBIT 5 es la ltima edicin del framework mundialmente aceptado, el cual
proporciona una visin empresarial del Gobierno de TI que tiene a la tecnologa y
a la informacin como protagonistas en la creacin de valor para las empresas.
COBIT 5 se basa en COBIT 4.1, y a su vez lo ampla mediante la integracin de
otros importantes marcos y normas como Val IT y Risk IT, Information Technology
Infrastructure Library (ITIL) y las normas ISO relacionadas.
Beneficios
COBIT 5 ayuda a empresas de todos los tamaos a:

Mantener informacin de alta calidad para apoyar las decisiones de

negocios

Alcanzar los objetivos estratgicos y obtener los beneficios de negocio a

travs del uso efectivo e innovador de las TI

Lograr la excelencia operativa a travs de una aplicacin fiable y eficiente

de la tecnologa
Mantener los riesgos relacionados a TI bajo un nivel aceptable
Optimizar los servicios el coste de las TI y la tecnologa
Apoyar el cumplimiento de las leyes, reglamentos, acuerdos contractuales y
las polticas

COBIT para la seguridad de la informacin

En el mes de junio del 2012, ISACA lanz "COBIT 5 para la seguridad de la
informacin", actualizando la ltima versin de su marco a fin de proporcionar una
gua prctica en la seguridad de la empresa, en todos sus niveles.
COBIT 5 para seguridad de la informacin puede ayudar a las empresas a reducir
sus perfiles de riesgo a travs de la adecuada administracin de la seguridad. La
informacin especfica y las tecnologas relacionadas son cada vez ms
esenciales para las organizaciones, pero la seguridad de la informacin es
esencial para la confianza de los accionistas
Val IT
Recientemente, ISACA ha publicado Val IT, que relaciona los procesos de COBIT
con los procesos de la gerencia mayor requeridos para conseguir un buen valor
de las inversiones en tecnologas de la informacin.
COBIT 5 una nueva versin del ya conocido estndar para el cumplimiento de
objetivos de control para el CIO y su rea. Esta versin, profundamente revisada y
mejorada, provee un marco de referencia integral que contribuye en la
organizacin al logro de los objetivos y entrega de valor a travs de un efectivo
gobierno y gestin de la TI empresarial. A partir de su participacin en la crtica
objetiva en los borradores preliminares del modelo, en este artculo, Sergio
Sperat, socio de Estratega y profesional certificado en el gobierno de TI
7

empresarial (CGEIT), responde las preguntas que el CIO se hace al acercarse a

este nuevo estndar para ayudarle a descubrir cmo le puede ayudar a mejorar su
gestin.
Cul es el propsito de COBIT?
COBIT fue creado para ayudar a las organizaciones a obtener el valor ptimo de
TI manteniendo un balance entre la realizacin de beneficios, la utilizacin de
recursos y los niveles de riesgo asumidos. COBIT 5 posibilita que TI sea
gobernada y gestionada en forma holstica para toda la organizacin, tomando en
consideracin el negocio y reas funcionales de punta a punta as como los
interesados internos y externos. COBIT 5 se puede aplicar a organizaciones de
todos los tamaos, tanto en el sector privado, pblico o entidades sin fines de
lucro.
Quin utiliza COBIT?
COBIT es empleado en todo el mundo por quienes tienen como responsabilidad
primaria los procesos de negocio y la tecnologa, aquellos de quien depende la
tecnologa y la informacin confiable, y los que proveen calidad, confiabilidad y
control de TI.
Qu ocurri con los objetivos de control en COBIT 5?
Al basarse en 5 principios y 7 habilitadores, COBIT 5 utiliza prcticas de gobierno
y gestin para describir las acciones que son ejemplo de mejores prcticas de su
aplicacin. COBIT 5 ha cambiado su enfoque de objetivos de control a una visin
por proceso, descripta en detalle por uno de los principales redactores del nuevo
estndar, Erik Guidentops, en su artculo Where Have All The Control Objectives
Gone?
Cules son los 5 principios de COBIT 5?

1.
2.
3.
4.
5.

Satisfacer las necesidades del accionista

Considerar la empresa de punta a punta
Aplicar un nico modelo de referencia integrado
Posibilitar un enfoque holstico
Separar gobierno de la gestin.

Cules son los 7 habilitadores de COBIT 5?

1.
2.
3.
4.
5.
6.
7.

Principios, polticas y modelos de referencia

Procesos
Estructuras organizacionales
Cultura, tica y comportamiento
Informacin
Servicios, infraestructura y aplicaciones
Gente, habilidades y competencias.

Qu hay de la separacin entre Gobierno y Gestin?

El gobierno asegura que los objetivos empresariales se logran evaluando las
necesidades de los accionistas, las condiciones y opciones; establecer la
direccin a travs de la priorizacin y la toma de decisiones; y monitorear el
desempeo, el cumplimiento y el progreso versus la direccin y objetivos
acordados (EDM, por Evaluar, Dirigir, Monitorear).
Por su parte la gestin se ocupa de planificar, construir, ejecutar y monitorear las
actividades alineadas con la direccin establecida por el organismo de gobierno
para el logro de los objetivos empresariales (PBRM Planificar, Construir,
Ejecutar y Monitorear, por su sigla en ingls).
La siguiente imagen sintetiza muy bien estos dos conceptos, muchas veces
confundidos:

Figura

Necesidades

del

negocio,

extraida

de

la

fuente:

http://francoitgrc.wordpress.com/2012/06/07/it-grc-segun-cobit-5-parte-1-itgovernance/
Es COBIT 5 un modelo superior a otros modelos de control aceptados?
La mayora de los ejecutivos conocen la importancia de los marcos generales de
control en relacin con la responsabilidad fiduciaria, tales como COSO, Cadbury,
CoCo, Sarbanes-Oxley. Sin embargo, no necesariamente son conscientes del
nivel de detalle de cada uno. Por otro lado, los ejecutivos cada vez ms conocen
la importancia de guas tcnicas como ITIL (para la gestin de servicios de TI) e
ISO 27001 (para seguridad de informacin).
Si bien estos estndares y modelos enfatizan el control del negocio y la seguridad
y servicio de TI, COBIT es el nico que se ocupa de los controles especficos de
TI desde la perspectiva del negocio. De hecho, COBIT 5 se basa en ISO/IEC
15504 e ITIL. No se pretende que COBIT reemplace estos modelos de control,

10

sino lo que se destacan son los elementos de gobierno y gestin y las prcticas
necesarias para crear valor para la compaa.
Cul es la forma ms rpida y efectiva de presentar COBIT a los
ejecutivos?
La cultura empresarial es de vital importancia. Una cultura proactiva ser ms
receptiva que una que no lo es. Sin embargo, hay que considerar el nfasis que
COBIT hace en la creacin de valor para el accionista por estar guiado por los
objetivos del negocio, la alineacin con estndares internacionales reconocidos y
su simplicidad. Las reas de gobierno y gestin emanan de tan slo 5 principios y
7 habilitadores.
Al establecer la lista de requerimientos, COBIT combina los principios contenidos
en los modelos referenciales existentes y conocidos:
a) Requerimientos de Calidad: Calidad, Costo y Entrega (de servicio).
b) Requerimientos fudiciarios Coso: Efectividad & eficiencia de
operaciones, Confiabilidad de la informacin y Cumplimiento de las
leyes & regulaciones.
c) Requerimientos de Seguridad:

Confidencialidad, Integridad,

Disponibilidad
La Calidad ha sido considerada principalmente por su aspecto negativo (no fallas,
confiable, etc.), lo cual tambin se encuentra contenido en gran medida en los
criterios de Integridad. Los aspectos positivos pero menos tangibles de la calidad
(estilo, atractivo, ver y sentir14, desempeo ms all de las expectativas, etc.) no
fueron, por un tiempo, considerados desde un punto de vista de Objetivos de
Control de TI. A continuacin se muestran las definiciones de trabajo de COBIT:
a) Efectividad: Se refiere a que la informacin relevante sea pertinente para
el proceso del negocio, as como a que su entrega sea oportuna, correcta,
consistente y de manera utilizable.
b) Eficiencia: Se refiere a la provisin de informacin a travs de la utilizacin
ptima (ms productiva y econmica) de recursos.
11

c) Confidencialidad: Se refiere a la proteccin de informacin sensible contra

divulgacin no autorizada.
d) Integridad: Se refiere a la precisin y suficiencia de la informacin, as
como a su validez de acuerdo con los valores y expectativas del negocio.
e) Disponibilidad: Se refiere a la disponibilidad de la informacin cuando sta
es requerida por el proceso de negocio ahora y en el futuro. Tambin se
refiere a la salvaguarda de los recursos necesarios y capacidades
asociadas.
f) Cumplimiento: Se refiere al cumplimiento de aquellas leyes, regulaciones
y acuerdos contractuales a los que el proceso de negocios est sujeto, por
ejemplo, criterios de negocio impuestos externamente.
g) Confiabilidad de la Informacin: Se refiere a la provisin de informacin
apropiada para la administracin con el fin de operar la entidad y para
ejercer sus responsabilidades de reportes financieros y de cumplimiento.

Los recursos de TI identificados en COBIT pueden explicarse/definirse como

se muestra a continuacin:
a) Datos: Los elementos de datos en su ms amplio sentido, (por ejemplo,
externos e internos), estructurados y no estructurados, grficos, sonido, etc.
b) Aplicaciones: Se entiende como sistemas de aplicacin la suma de
procedimientos manuales y programados.
c) Tecnologa: La tecnologa cubre hardware, software, sistemas operativos,
sistemas de administracin de bases de datos, redes, multimedia, etc.
d) Instalaciones: Recursos para alojar y dar soporte a los sistemas de
informacin.
e) Personal: Habilidades

del

personal,

conocimiento,

conciencia

productividad para planear, organizar, adquirir, entregar, soportar y

monitorear servicios y sistemas de informacin

Dominios de Cobit

12

Las definiciones para los dominios mencionados son las siguientes:

a) Planeacin y Organizacin: Este dominio cubre la estrategia y las tcticas
y se refiere a la identificacin de la forma en que la tecnologa de
informacin puede contribuir de la mejor manera al logro de los objetivos
del negocio. Adems, la consecucin de la visin estratgica necesita ser
planeada, comunicada y administrada desde diferentes perspectivas.
Finalmente, debern establecerse una organizacin y una infraestructura
tecnolgica apropiadas.
b) Adquisicin e Implementacin: Para llevar a cabo la estrategia de TI, las
soluciones de TI deben ser identificadas, desarrolladas o adquiridas, as
como implementadas e integradas dentro del proceso del negocio. Adems,
este dominio cubre los cambios y el mantenimiento realizados a sistemas
existentes.
c) Entrega y Soporte: En este dominio se hace referencia a la entrega de los
servicios requeridos, que abarca desde las operaciones tradicionales hasta
el entrenamiento, pasando por seguridad y aspectos de continuidad. Con el
fin de proveer servicios, debern establecerse los procesos de soporte
necesarios. Este dominio incluye el procesamiento de los datos por
sistemas de aplicacin, frecuentemente clasificados como controles de
aplicacin.
d) Monitoreo: Todos los procesos necesitan ser evaluados regularmente a
travs del tiempo para verificar su calidad y suficiencia en cuanto a los
requerimientos de control. En resumen, los Recursos de TI necesitan ser
administrados por un conjunto de procesos agrupados en forma natural,
con el fin de proporcionar la informacin que la empresa necesita para
alcanzar sus objetivos.
En la figura No. 4 se muestra la interaccin de estos tems.

13

Acerca del autor de este artculo

Sergio Sperat es socio de Estratega y tiene una trayectoria de ms de 20 aos
como consultor en estrategia de reas de TI y negocios, desarrollada en una
amplia variedad de industrias en Argentina, Chile, Mxico y Estados Unidos. Es
Licenciado en Anlisis de Sistemas de la Facultad de Ingeniera de la Universidad
de Buenos Aires, hizo su Programa de Direccin de Empresas en el IAE Business
School en 1995, complet su Maestra en Administracin de Empresas en IDEA y
London Business School, en Inglaterra en 2001. Fue profesor adjunto del
postgrado del Master en Administracin de Empresas de IDEA.
Sergio est certificado en COBIT y CGEIT (ISACA) y se desempea como
responsable de Aseguramiento de Calidad y Direccin de Proyectos de Estratega.
Sergio est certificado como consultor Blue Ocean Strategy Practitioner por el
Blue Ocean Strategy Institute (Reino Unido).

14

Figura No. 4: Procesos de It de Cobit definidos dentro de los cuatro dominios

15

REFERENCIAS BIBLIOGRAFICAS

http://www.buenastareas.com/ensayos/El-Cobit/129027.html.

http://msaffirio.wordpress.com/2007/03/03/la-cobit-y-la-organizacion-delarea-informatica/.

http://es.wikipedia.org/wiki/Objetivos_de_control_para_la_informaci
%C3%B3n_y_tecnolog%C3%ADas_relacionadas.

Comit Directivo de Cobit: COBIT Directrices de Auditoria; abril 1998, 2da

edicin.

16