COBIT

Dominios y Procesos
Auditora De Sistema
 Es un marco de trabajo y un conjunto de
herramientas de Gobierno de Tecnologa de
COBIT Informacin(TI) que permite a la Gerencia cerrar
Concepto e la brecha entre los requerimientos de control,
aspectos tcnicos y riesgos de negocios. COBIT
Historia habilita el desarrollo de polticas claras y buenas
prcticas para el control de TI a lo largo de las
organizaciones.

COBIT fue publicado por primera vez por ITGI en

abril de 1996.
 Efectividad
CRITERIOS DE
INFORMACIN Eficiencia
DE COBIT Confidencialidad
Para satisfacer los objetivos del
negocio, la informacin necesita
adaptarse a ciertos criterios de Integridad
control, los cuales son referidos en
COBIT como requerimientos de
informacin del negocio. Con base
en los requerimientos ms amplios
Disponibilidad
de calidad, fiduciarios y de
seguridad, se definieron los
siguientes siete criterios de Cumplimiento
informacin:

Confiabilidad
 Recursos De TI

Aplicaciones Informacin Persona Infraestructura

Los recursos de TI identificados en
COBIT se pueden definir como
sigue:
 Actividades De TI
Definidas Por COBIT
 Planear y
Organizar (PO)

Adquirir E
implementar
(AI)
COBIT define las Entregar y Dar
actividades de TI en Soporte (DS)
un modelo de 34
procesos genricos Monitorear y
agrupados en 4 Evaluar (ME)
dominios:
 Este dominio cubre las estrategias y las tcticas, y tiene que ver con
identificar la manera en que TI puede contribuir de la mejor manera
al logro de los objetivos del negocio. Adems, la realizacin de la
visin estratgica requiere ser planeada, comunicada y
administrada desde diferentes perspectivas. Este dominio cubre los
siguientes cuestionamientos tpicos de la gerencia:
Estn alineadas las estrategias de TI y del negocio?
PLANEAR Y La empresa est alcanzando un uso ptimo de sus recursos?
ORGANIZAR Entienden todas las personas dentro de la organizacin los
(PO) objetivos de TI?
Se entienden y administran los riesgos de TI?
Es apropiada la calidad de los sistemas de TI para las necesidades
del negocio?
 Para llevar a cabo la estrategia de TI, las soluciones de TI necesitan
ser identificadas, desarrolladas o adquiridas as como
implementadas e integradas en los procesos del negocio. Adems,
el cambio y el mantenimiento de los sistemas existentes est
cubierto por este dominio para garantizar que las soluciones sigan
satisfaciendo los objetivos del negocio. Este dominio, por lo general,
cubre los siguientes cuestionamientos de la gerencia:
ADQUIRIR E Es probable que los nuevos proyectos generan soluciones que
IMPLEMENTAR satisfagan las necesidades del negocio?

(AI) Es probable que los nuevos proyectos sean entregados a tiempo y

dentro del presupuesto?
Trabajarn adecuadamente los nuevos sistemas una vez sean
implementados?
Los cambios no afectarn a las operaciones actuales del negocio?
 Este dominio cubre la entrega en s de los servicios requeridos, lo
que incluye la prestacin del servicio, la administracin de la
seguridad y de la continuidad, el soporte del servicio a los
usuarios, la administracin de los datos y de las instalaciones
operativos. Por lo general cubre las siguientes preguntas de la
gerencia:
ENTREGAR Y Se estn entregando los servicios de TI de acuerdo con las
prioridades del negocio?
DAR SOPORTE
Estn optimizados los costos de TI?
(DS)
Es capaz la fuerza de trabajo de utilizar los sistemas de TI de
manera productiva y segura?
Estn implantadas de forma adecuada la confidencialidad, la
integridad y la disponibilidad?
 Todos los procesos de TI deben evaluarse de forma regular en el
tiempo en cuanto a su calidad y cumplimiento de los
requerimientos de control. Este dominio abarca la administracin
del desempeo, el monitoreo del control interno, el cumplimiento
regulatorio y la aplicacin del gobierno. Por lo general abarca las
siguientes preguntas de la gerencia:
Se mide el desempeo de TI para detectar los problemas antes
de que sea demasiado tarde?
MONITOREAR La Gerencia garantiza que los controles internos son efectivos y
Y EVALUAR eficientes?
(ME) Puede vincularse el desempeo de lo que TI ha realizado con las
metas del negocio?
Se miden y reportan los riesgos, el control, el cumplimiento y el
desempeo?
El Cubo De
COBIT
 PO1 Definir el plan estratgico de TI.
PO2 Definir la arquitectura de la informacin
PO3 Determinar la direccin tecnolgica.
Procesos: PO4 Definir procesos, organizacin y relaciones de TI.
planear y PO5 Administrar la inversin en TI.
organizar (PO) PO6 Comunicar las aspiraciones y la direccin de la gerencia.
PO7 Administrar recursos humanos de TI.
 AI1 Identificar soluciones automatizadas.
AI2 Adquirir y mantener el software aplicativo.
AI3 Adquirir y mantener la infraestructura tecnolgica
AI4 Facilitar la operacin y el uso.
Procesos: AI5 Adquirir recursos de TI.
adquirir e AI6 Administrar cambios.
implementar(ai) AI7 Instalar y acreditar soluciones y cambios.
 DS1 Definir y administrar niveles de servicio.
DS2 Administrar servicios de terceros.
DS3 Administrar desempeo y capacidad.
DS4 Garantizar la continuidad del servicio.
DS5 Garantizar la seguridad de los sistemas.
DS6 Identificar y asignar costos.
DS7 Educar y entrenar a los usuarios.
Procesos: DS8 Administrar la mesa de servicio y los incidentes.
entregar y dar DS9 Administrar la configuracin.
soporte (ds) DS10 Administrar los problemas.
DS11 Administrar los datos.
DS12 Administrar el ambiente fsico.
DS13 Administrar las operaciones.
 ME1 Monitorear y evaluar el desempeo de TI.
ME2 Monitorear y evaluar el control interno

Procesos: ME3 Garantizar cumplimiento regulatorio.

monitorear y ME4 Proporcionar gobierno de TI.

evaluar (me)
 Una necesidad bsica de toda empresa es entender el estado de
sus propios sistemas de TI y decidir qu nivel de administracin y
control debe proporcionar. Para decidir el nivel correcto, la
gerencia debe preguntarse: Hasta dnde debemos ir?, y est el
costo justificado por el beneficio?
La obtencin de una visin objetiva del nivel de desempeo propio
de una empresa no es sencilla. Qu se debe medir y cmo? Las
empresas deben medir dnde se encuentran y dnde se requieren
Importancia de mejoras, e implementar un juego de herramientas gerenciales
para monitorear esta mejora. COBIT atiende estos temas a travs
la Medicin de:
Metas de
actividades

Metas y
mediciones

Modelos de madurez
 Desempeo real Dnde se encuentra la
de la empresa empresa hoy

El estatus actual
Modelos de de la industria
La comparacin
Madurez
Utilizando los modelos de madurez
El objetivo de
desarrollados para cada uno de los Dnde desea estar la
34 procesos TI de COBIT, la gerencia mejora de la
podr identificar:
empresa empresa

El crecimiento Entre como es y como

requerido ser

Modelos de
Madurez
Cada vez con ms frecuencia, se les
pide a los directivos de empresas
corporativas y pblicas que
consideren qu tan bien se est
administrando TI.
Aunque pocos argumentaran que
esto no es algo bueno, se debe
considerar el equilibrio del costo
beneficio y stas preguntas
relacionadas:
y control sobre nuestros procesos de TI? Qu est haciendo
nuestra competencia en la industria, y cmo estamos
posicionados en relacin a ellos?
Cules son las mejores prcticas aceptables en la industria, y
cmo estamos posicionados con respecto a estas prcticas?
Con base en estas comparaciones, se puede decir que estamos
haciendo lo suficiente?
Cmo identificamos lo que se requiere hacer para alcanzar un
nivel adecuado de administracin
 0 No existente
1 Inicial
Modelo
Generico de 2 Repetible
Madurez
3 Definido

4 Administrado
 Modelos de
Madurez
(Rep.Grfica)
Controles
 polticas, procedimientos, prcticas y
estructuras organizacionales diseadas para
brindar una seguridad razonable que los
Controles objetivos de negocio se alcanzarn, y los eventos
no deseados sern prevenidos o detectados y
corregidos.
Objetivos de Control
 PC1 Dueo del proceso

Process
PC2 Reiterativo
Control
PC3 Metas y Objetivos

Cada proceso COBIT tiene PC4 Roles y Responsabilidades

requerimientos de control
genricos que se identifican
con PCn, que significa nmero PC5 Desempeo del Proceso
de control de proceso:
PC6 Polticas, planes y procedimientos
 Los objetivos de control de TI proporcionan un conjunto completo de
requerimientos de alto nivel a considerar por la gerencia para un control
efectivo de cada proceso de TI. Ellos:
Son sentencias de acciones de gerencia para aumentar el valor o
reducir el riesgo
Consisten en polticas, procedimientos, prcticas y estructuras
organizacionales.
Estn diseadas para proporcionar un aseguramiento razonable de
que los objetivos de negocio se conseguirn y que los eventos no
deseables se prevendrn, detectarn y corregirn.
La gerencia de la empresa necesita tomar decisiones relativas a estos
Controles objetivos de control:
Seleccionando aquellos aplicables.
Decidir aquellos que deben implementarse.
Elegir como implementarlos (frecuencia, extensin, automatizacin,
etc.)
Aceptar el riesgo de no implementar aquellos que podran aplicar.
 El sistema de control interno de la empresa impacta en TI a tres
niveles:

Controles del 1. Al nivel de direccin ejecutiva.

2. A nivel de procesos de negocios.
negocio y de TI
3. Para soportar los procesos de negocio.
COBIT 5
 COBIT 5 est enfocado en el Gobierno Empresarial de la TI. Se
fundamenta en 5 principios que permiten a la empresa construir un
efectivo marco de gobierno y administracin de TI.
Se basa en un conjunto holstico de 7 habilitadores.

COBIT 5 Considera las tendencias actuales de gobierno y administracin y

est alineado con otros marcos de referencia.
Establece un nuevo Modelo de Referencia de procesos TI.
 1. Satisfacer las
necesidades de
las partes
interesadas

5. Separar el 2. Cubrir la
Gobierno de la Organizacin de
Administracin forma integral

Principios De Principios de
COBIT COBIT 5

4. Habilitar un 3. Aplicar un solo

enfoque holistico marco integrado
 1. Nuevos Principios de GEIT
2. Mayor foco en Habilitadores
3. Nuevo Modelo de Referencia de Procesos
4. Nuevos y modificados procesos
reas de 5. Prcticas y Actividades
Cambio 6. Metas y Mtricas ms desarrolladas
7. Entradas y Salidas a nivel de prctica
8. RACI Charts ms detalladas
9. Modelo de Madurez de capacidades.
Gracias