UNIVERSIDAD NACIONAL

“SANTIAGO ANTÚNEZ DE MAYOLO”

FACULTAD DE ECONOMÍA Y CONTABILIDAD

ESCUELA PROFESIONAL DE CONTABILIDAD

TEMA

Normas COBIT (Control Objectives for Information and related Technology,

Objetivos de control para la información y tecnologías relacionadas)

PRESENTADO POR:

Gonzales peña Watson Nicolay

Tafur lliuya Marcelino Leonardo
Torres Amado Edwards Emilio

DOCENTE:

CPC. HIDALGO MEJÍA, Javier Pedro

HUARAZ – PERÚ
2018
 ÍNDICE

INTRODUCCIÓN 2
OBJETIVO 3
General 3
Especifico 3
CAPITULO I:
MARCO TEORICO 4
CAPITULO II
MARCO CONCEPTUAL 5
1. NORMAS DE COBIT 1 (1996) 5

1.1. NORMAS DE COBIT 2 (1998) 5

1.2. NORMAS DE COBIT 3 (2000) 5
1.3. NORMAS DE COBIT 3 (2000) 5
1.4. NORMAS DE COBIT 4.1 (2005-2007) 6
1.5. NORMAS DE COBIT 5 (2012) 6
2. BENEFICIOS DE COBIT 5 7
3. USUARIOS: 7
4. BENEFICIOS COBIT 8
5. DOMINIO DE COBIT. 8
6. CARACTERÍSTICAS 9
7. PRINCIPIOS DE COBIT 5 9
8. LOS RECURSOS DE TI IDENTIFICADOS EN COBIT 10
CAPITULO III
DISCUSION 12
CAPITULO IV
CONCLUSIONES 14
CAPITULO VI
RECOMENDACIONES 15

BIBLIOGRAFIA 16

ANEXOS 17

CASOS PRACTICO 01 18

CASO PRACTICO 02 20

1
 Introducción

La evaluación de los requerimientos del negocio, los recursos y procesos IT, son puntos
bastante importantes para el buen funcionamiento de una compañía y para el aseguramiento
de su supervivencia en el mercado. El COBIT es precisamente un modelo para auditar la
gestión y control de los sistemas de información y tecnología, orientado a todos los sectores
de una organización, es decir, administradores IT, usuarios y por supuesto, los auditores
involucrados en el proceso.

COBIT es una guía de mejores prácticas presentado como marco de trabajo, dirigida al
control y supervisión de los objetivos de las tecnologías de la información (TI). Es
mantenido por ISACA y el IT GI (IT Governance Institute), contiene recursos que pueden
servir de modelo de referencia para la gestión de TI, incluyendo un resumen ejecutivo, un
framework, objetivos de control, mapas de auditoría, herramientas para su implementación
y principalmente, una guía de técnicas de gestión.

Cuando se habla de COBIT es necesario mencionar primero a ISACA (Information

Systems Audit and Control Association), organización que comenzó en 1967 cuando un
pequeño grupo de profesionales con trabajos similares (auditar controles en los sistemas
computacionales), se sentaron a discutir la necesidad de tener una fuente centralizada de
información y guías en dicho campo.

2
OBJETIVO

General

 El objetivo principal del proyecto COBIT, es el desarrollo de políticas claras y

buenas prácticas para la seguridad y el control de Tecnología de Información, con el
fin deobtener la aprobación y el apoyo de las entidades comerciales,
gubernamentales y profesionales en todo el mundo.

Especifico

 lograr que los servicios de TI se entreguen de acuerdo con las prioridades del
negocio, la optimización de costos, asegurar que la fuera de trabajo utilice los
sistemas de modo productivo y seguro, implantar de forma correcta la
confidencialidad, la integridad y la disponibilidad.
 Buscar, desarrollar, publicar y promover un autoritario y actualizado conjunto
internacional de objetivos de control de tecnologías de la información, generalmente
aceptadas, para el uso diario por parte de gestores de negocio y auditores.
 Fomentar el uso de COBIT 5 como guía de mejores prácticas y modelo de
referencia para la gestión de Tecnologías de la Información.
 Entender como el marco de trabajo COBIT 5 soporta a las empresas en el
desarrollo, implementación, mejora continua y monitoreo de la gobernabilidad de TI
y de las prácticas de administración.

3
 CAPITULO I: MARCO TEORICO

NORMAS COBIT (Control Objectives for Information and related Technology,

Objetivos de control para la información y tecnologías relacionadas)

COBIT, lanzado en 1996, es una herramienta de gobierno de TI que ha cambiado la forma

en que trabajan los profesionales de TI. Vinculando tecnología informática y prácticas de
control, COBIT consolida y armoniza estándares de fuentes globales prominentes en un
recurso crítico para la gerencia, los profesionales de control y los auditores.

COBIT 5. Una sólida plataforma subyacente a la norma ISO 38500 es COBIT, que es una
buena referencia para las políticas, los procesos, las estructuras y los controles necesarios
para implementar el sistema de gestión que ayuden a la gobernabilidad. Con Cobit se puede
lograr la alineación de TI al negocio y utilizarlo como punto de partida para la adaptación
de los procedimientos específicos.

COBIT se aplica a los sistemas de información de toda la empresa, incluyendo las

computadoras personales, mini computadoras y ambientes distribuidos. Está basado en la
filosofía de que los recursos de TI necesitan ser administrados por un conjunto de procesos
naturalmente agrupados para proveer la información pertinente y confiable que requiere
una organización para lograr su objetivo.

COBIT es el marco de gobierno y gestión de las tecnologías de información. Proporciona

una serie de herramientas para que la gerencia pueda conectar los objetivos de negocios y
los requerimientos de control, con los aspectos técnicos y los riesgos.

COBIT permite el desarrollo de las políticas y buenas prácticas para el control de las
tecnologías en toda la organización, enfatizando el cumplimiento regulatorio, la seguridad y
audibilidad, ayuda a las organizaciones a incrementar su valor a través de las tecnologías.

COBIT 5 incluye un modelo de referencia de procesos que describe en detalle procesos de

gobierno y de gestión, el modelo representa todos los procesos que normalmente
encontraremos en una empresa relacionados con las TI. El modelo que propone COBIT 5
es un modelo completo e integral, pero no es el único modelo posible, las empresas
pequeñas pueden tener pocos procesos, empresas grandes pueden llegar a usar todos los
procesos propuestos.

4
COBIT conjunto de herramientas de soporte para reducir la brecha entre los requerimientos
de control, de los aspectos técnicos y los riesgos del negocio.

COBIT es un marco de referencia para la dirección de TI, así como también de

herramientas de soporte que permite a la alta dirección reducir la brecha entre las
necesidades de control, cuestiones técnicas y los riesgos del negocio. COBIT permite el
desarrollo de políticas claras y buenas prácticas para el control de TI en las organizaciones.
Enfatiza el cumplimiento normativo, ayuda a las organizaciones a aumentar el valor
obtenido de TI, facilita su alineación y simplifica la implementación del marco de
referencia de COBIT.

CAPITULO II MARCO CONCEPTUAL

1. EVOLUCION DE NORMAS DE COBIT

1.1. NORMAS DE COBIT 1 (1996)
 Objetivos de Control
 Guías o Directrices de Auditoría
1.2.NORMAS DE COBIT 2 (1998)
 Guías de Autoevaluación
 Actualización de la versión automatizada
 Referencias y material de apoyo adicional

1.3.NORMAS DE COBIT 3 (2000)

 Incorporación de las Guías de Controles
 Mejoras en los objetivos de control
 Identificación de indicadores de desempeño

5
1.4. NORMAS DE COBIT 4.1 (2005-2007)

En su cuarta edición, COBIT tiene 34 procesos que cubren 210 objetivos de control
(específicos o detallados) clasificados en cuatro dominios:

 Planificación y Organización (Plan and Organize))

 Adquisición e Implementación (Acquire and Implement)
 Entrega y Soporte (Deliver and Support)
 Supervisión y Evaluación (Monitor and Evaluate)
1.5.NORMAS DE COBIT 5 (2012)
ISACA lanzó el 10 de abril del 2012 la nueva edición de este marco de referencia.
COBIT 5 es la última edición del framework mundialmente aceptado, el cual
proporciona una visión empresarial del Gobierno de TI que tiene a la tecnología y a
la información como protagonistas en la creación de valor para las empresas.

COBIT 5 se basa en COBIT 4.1, y a su vez lo amplía mediante la integración de

otros importantes marcos y normas como Val IT y Risk IT, Information Technology
Infrastructure Library (ITIL) y las normas ISO relacionadas.

6
 ALCANCE
El alcance del contrato de aseguramiento se expresa como una función de las siete
de COBIT de los 5 facilitadores, con un enfoque en el facilitador del proceso. El
contenido proceso se toma directamente de las descripciones detalladas del proceso
de COBIT 5: Habilitación de procesos, es decir, se trata de COBIT 5 procesos
estándar. Otros facilitadores también se basan directamente en las mismas
descripciones de procesos, por ejemplo, las estructuras organizativas y los
elementos de información.

2. BENEFICIOS DE COBIT 5
Ayuda a empresas de todos los tamaños a:
 Optimizar los servicios el coste de las TI y la tecnología
 Apoyar el cumplimiento de las leyes, reglamentos, acuerdos contractuales y las
políticas
 Gestión de nuevas tecnologías de información
3. USUARIOS:

 La Gerencia: para apoyar sus decisiones de inversión en TI y control sobre el

rendimiento de las mismas, analizar el costo beneficio del control.

 Los Usuarios Finales: quienes obtienen una garantía sobre la seguridad y el control
de los productos que adquieren interna y externamente.

 Los Auditores: para soportar sus opiniones sobre los controles de los proyectos de
TI, su impacto en la organización y determinar el control mínimo requerido.

 Los Responsables de TI: para identificar los controles que requieren en sus áreas.

También puede ser utilizado dentro de las empresas por el responsable de un proceso de
negocio en su responsabilidad de controlar los aspectos de información del proceso, y por
todos aquellos con responsabilidades en el campo de la TI en las empresas.

7
 4. BENEFICIOS COBIT

 Mejor alineación basada en una focalización sobre el negocio.

 Visión comprensible de TI para su administración.

 Clara definición de propiedad y responsabilidades.

 Aceptabilidad general con terceros y entes reguladores.

 Entendimiento compartido entre todos los interesados basados en un lenguaje

común.

Cumplimiento global de los requerimientos de TI planteados en el Marco de Control

Interno de Negocio COSO

5. DOMINIO DE COBIT.

El conjunto de lineamientos y estándares internacionales conocidos como COBIT, define

un marco de referencia que clasifica los procesos de las unidades de tecnología de
información de las organizaciones en cuatro "dominios" principales, a saber:

5.1.PLANIFICACION Y ORGANIZACION: Este dominio cubre la estrategia y las

tácticas y se refiere a la identificación de la forma en que la tecnología de
información puede contribuir de la mejor manera al logro de los objetivos del
negocio. Además, la consecución de la visión estratégica necesita ser planeada,
comunicada y administrada desde diferentes perspectivas. Finalmente, deberán
establecerse una organización y una infraestructura tecnológica apropiadas.
5.2.ADQUISION E IMPLANTACION: Para llevar a cabo la estrategia de TI, las
soluciones de TI deben ser identificadas, desarrolladas o adquiridas, así como
implementadas e integradas dentro del proceso del negocio. Además, este dominio
cubre los cambios y el mantenimiento realizados a sistemas existentes.
5.3.SOPORTE Y SERVICIOS: En este dominio se hace referencia a la entrega de los
servicios requeridos, que abarca desde las operaciones tradicionales hasta el
entrenamiento, pasando por seguridad y aspectos de continuidad. Con el fin de
proveer servicios, deberán establecerse los procesos de soporte necesarios. Este

8
 dominio incluye el procesamiento de los datos por sistemas de aplicación,
frecuentemente clasificados como controles de aplicación.
5.4.MONITOREO: Todos los procesos necesitan ser evaluados regularmente a través
del tiempo para verificar su calidad y suficiencia en cuanto a los requerimientos de
control.

Estos dominios agrupan objetivos de control de alto nivel, que cubren tanto los aspectos
de información, como de la tecnología que la respalda.

6. CARACTERÍSTICAS
 Orientado al negocio.
 Alineado con estándares y regulaciones "de facto".
 Basado en una revisión crítica y analítica de las tareas y actividades en TI.
 Alineado con estándares de control y auditoria (COSO, IFAC, IIA, ISACA,
AICPA).
7. PRINCIPIOS DE COBIT 5
7.1.Principio 1. Satisfacer las Necesidades de las Partes Interesadas.
Las empresas existen para crear valor para sus partes interesadas manteniendo el
equilibrio entre la realización de beneficios y la optimización de los riesgos y el uso de
recursos.
COBIT 5 provee todos los procesos necesarios y otros catalizadores para permitir la
creación de valor del negocio mediante el uso de TI. Dado que toda empresa tiene
objetivos diferentes, una empresa puede personalizar COBIT 5 para adaptarlo a su
propio contexto mediante la cascada de metas, traduciendo metas corporativas de alto
nivel en otras metas más manejables, específicas, relacionadas con TI y mapeándolas
con procesos y prácticas específicos.
7.2. Principio 2: Cubrir la Empresa Extremo a Extremo
COBIT 5 integra el gobierno y la gestión de TI en el gobierno corporativo:
 Cubre todas las funciones y procesos dentro de la empresa; COBIT 5 no se
enfoca sólo en la “función de TI”, sino que trata la información y las tecnologías
relacionadas como activos que deben ser tratados como cualquier otro activo por
todos en la empresa.

9
  Considera que los catalizadores relacionados con TI para el gobierno y la
gestión deben ser a nivel de toda la empresa y de principio a fin, es decir,
incluyendo a todo y todos internos y externos los que sean relevantes para el
gobierno y la gestión de la información de la empresa y TI relacionadas.
7.3.Principio 3: Aplicar un Marco de Referencia único integrado.
Hay muchos estándares y buenas prácticas relativos a TI, ofreciendo cada uno ayuda
para un subgrupo de actividades de TI. COBIT 5 se alinea a alto nivel con otros
estándares y marcos de trabajo relevantes, y de este modo puede hacer la función de
marco de trabajo principal para el gobierno y la gestión de las Ti de la empresa.
7.4.Principio 4: Hacer Posible un Enfoque Holístico
Un gobierno y gestión de las TI de la empresa efectivo y eficiente requiere de un
enfoque holístico que tenga en cuenta varios componentes interactivos. COBIT 5 define
un conjunto de catalizadores para apoyar la implementación de un sistema de gobierno
y gestión global para las TI de la empresa.
8. LOS RECURSOS DE TI IDENTIFICADOS EN COBIT PUEDEN
EXPLICARSE/DEFINIRSE COMO SE MUESTRA A CONTINUACIÓN:
Datos. Son objetos en su más amplio sentido, (por ejemplo, externos e internos),
estructurados y no estructurados, gráficos, sonido, etc.
Sistemas de Aplicación. Se entiende como sistemas de aplicación la suma de
procedimientos manuales y programados.
Tecnología. La tecnología cubre hardware, sistemas operativos, sistemas de
administración de bases de datos, redes, multimedia, etc.
Instalaciones. Recursos para alojar y dar soporte a los sistemas de información.
Personal. Habilidades del personal, conocimiento, sensibilización y productividad para
planear, organizar, adquirir, entregar, soportar y monitorear servicios y sistemas de
información.
9. Niveles COBIT
Se divide en 3 niveles, los cuales son los siguientes:
Dominios: Agrupación natural de procesos, normalmente corresponden a un dominio o
una responsabilidad organizacional.

10
Procesos: Conjuntos o series de actividades unidas con delimitación o cortes de
control.
Actividades: Acciones requeridas para lograr un resultado medible.
10. Quiénes han adoptado el COBIT
Advirtiendo la necesidad de contar con un adecuado marco de referencia para el
gobierno de los sistemas de información y las tecnologías relacionadas muchas
organizaciones en el ámbito nacional e internacional ya han adoptado el COBIT como
una de las mejores prácticas. Las empresas que ya utilizan desde mucho tiempo son,
Gobierno de la Provincia de Mendoza; Superintendencia de Administradoras de Fondos
de Jubilaciones y Pensiones; Superintendencia de Entidades Financieras y Cambiarias;
la Reserva Federal de los Estados Unidos de América.

11
 CAPITULO III

DISCUSION

1. DIFERENCIA ENTRE COBIT Y COSO

COBIT ES UTILIZADO PARA: mejorar prácticas para la seguridad, la calidad, la eficacia

y la eficiencia en TI, identificar riesgos, gestionar recursos y medir el desempeño, el
cumplimiento de metas y el nivel de madurez de los procesos de la organización y
proporciona ventajas a gerentes,

COSO es útil para la dirección en general, mientras COBIT es útil para la dirección,
usuarios, e interventores. COBIT expresamente es enfocado (concentrado) en mandos de
TI. A causa de estas diferencias, interventores no deberían esperar una relación de uno a
uno entre los cinco componentes de control de COSO y los cuatro dominios COBIT estos
dos modelos son muy utilizados en la actualidad.

2. COBIT 5 como marco de apoyo a la Gestión de TI

COBIT 5 ayuda a las Organizaciones a crear un valor óptimo a partir de TI. Para la
disciplina específica de gestión de TI dentro de la organización, COBIT 5 apoya la
planeación, construcción, ejecución y monitoreo de actividades en alineamiento con la
dirección establecida por gobierno, para alcanzar los objetivos estratégicos de negocio,
mantener información de calidad para toma de decisiones al igual que optimización de
riesgos y costos. Las organizaciones pueden estructurar sus procesos como mejor
consideren, siempre y cuando se cubran los objetivos necesarios de gobierno y gestión.
Estas organizaciones pueden cumplir sus objetivos adoptando diferentes procesos de
acuerdo a su tamaño y tipo de industria, sin embargo, COBIT 5 carece de un planteamiento
para la selección de procesos relevantes a implementar y fortalecer en un tipo de industria
específica.

3. Propuesta de Quickstart COBIT 5 basándose en COBIT 4.1

COBIT Quickstart ofrece una selección de componentes extraídos del marco completo de
COBIT. Se puede usar como una herramienta que brinda un punto de partida y un conjunto
de buenas prácticas o cosas inteligentes que se pueden hacer en pequeñas y medianas

12
empresas (PYME) y otras entidades donde TI no es completamente estratégico o
absolutamente crítico para la organización. También se puede utilizar en grandes empresas
como una herramienta para implementar gobierno y gestión de TI de forma rápida y
efectiva, ya que posee un grupo más limitado y especifico de prácticas y procesos que
permiten a las empresas iniciar una autoevaluación de controles implementados para luego
enfocar el uso de los recursos en las actividades básicas del negocio.

13
 CAPITULO IV

CONCLUSIONES

 Si bien COBIT es un marco general, su flexibilidad y versatilidad nos permite

adaptarlo a cualquier tipo y tamaño de empresa, realizando una implementación
gradual y progresiva acorde a los recursos disponibles y acompasando la estrategia
empresarial.
 Uno de los factores claves para el éxito de la implementación de un sistema de
memoria organizacional es el involucramiento tanto del personal técnico, a través de
la utilización del sistema; así como de la dirección de la organización, a través del
desarrollo de estrategias para fomentar la utilización del mismo.
 Los procesos de negocio son la base por la que COBIT existe y no lo es el simple
hecho de implementar la tecnología de punta.

14
 CAPITULO VI

RECOMENDACIONES

 Adecuar los procedimientos de gestión de información y atención a usuarios a un

modelo de trabajo basado en normas de calidad como COBIT.
 Si el área informática de la organización es pequeña COBIT puede resultar muy
cara en su implementación y por tanto no se justifica. En cambio sí está en juego
grandes sumas de dinero respaldadas en las tecnologías de la información, su uso es
obligatorio.
 Contar con personal altamente especializado para la implantación de COBIT en la
organización, considerando que domine el enfoque de negocios y la tecnología
relacionada a cumplir objetivos de los mismos.

15
 BIBLIOGRAFIA

 ISACA. E-COMMERCE. [En línea] [Citado el: 22 de 05 de 2012.]

http://www.isaca.org/Knowledge-Center/Research/Documents/E-
commerceConsumer-Retail_Wht-P_8-Nov2010_Research.pdf
 COBIT 5: A Business Framework for the Governance and Management of
Enterprise IT. Trolling Meadows: ISACA, 2012. ISBN 978-1-60420-237-3.
 COBIT QUICKSTART, 2ND EDITION. Trolling Meadows: ISACA, 2007. ISBN
978-1-893209-54-1.
 COBIT ® Zapping: Zapping of CMMI® for Development V1.2 With COBIT ®
4.0. Rolling Meadows: IT Governance Institute, 2007. ISBN 1-933284-80-3.
 http://www.monografias.com/trabajos31/metodologia-itil/metodologia-itil.shtml
 https://es.wikipedia.org/wiki/Information_Technology_Infrastructure_Library

16
 ANEXO

TIEMPO CRONOLOGICO DEL COBIT

17
 CASO PRACTICO 01
ANTECEDENTES

 Empresa es una Cooperativa de Ahorro y Crédito, fundada en 1963

 La Cooperativa tiene como objetivo único y exclusivo brindar servicios de
Intermediación financiera en beneficio de sus socios, para mejorar sus condiciones
de vida.
 La Cooperativa hoy no solo depende directamente del Ministerio de Economía,
Fomento y Reconstrucción, a través del Departamento de Cooperativas de dicho
Ministerio, sino que también producto de su posición y estructura de
financiamiento y su capacidad de manejar activos que no son propios, está siendo
regulada y controlada también por la Superintendencia de Bancos e Instituciones
Financieras (SBIF).
 Posee una cantidad de 7.000 socios y 52 colaboradores
 Su capital es de USD 28 millones
 Es una de las 7 principales cooperativas del país

OBJETIVOS
 Uno de los compromisos y necesidad de la Cooperativa, además de manejar sus
principios de liquidez, operación, atención a clientes, entre otros, se encuentra la
necesidad de poder realizar una adecuada Gestión de Riesgos, sobre sus
operaciones, cumplimiento, control interno, tecnología y mejora continua en sus
servicios y atención a clientes.
 La Gestión de Riesgos se basa en un proceso estructurado que comprende un
conjunto de políticas, lineamientos, procesos y procedimientos, a través de las
cuales se pueden identificar, medir, controlar/mitigar y monitorear los diversos
riesgos a la que una Empresa puede estar expuesta.

METODOLOGÍA DE TRABAJO

1. Identificación Proceso
2. Flujograma del Proceso

18
3. Matriz RACI
4. Selección Escenarios de Riesgos
4.1. Escenario 6 Información
4.2. Escenario 12 Cumplimiento Legal
5. Revisión de Cumplimiento según escenarios
6. Recomendaciones
7. Riesgos / Escenarios
8. Controles críticos asociados para mitigar riesgos
9. Matriz de riesgos y efectos de mitigación

19
 CASO PRACTICO 02
DESCRIPCIÓN DEL CASO
"Si usted es gerente de TI de una organización, como podría alcanzar mejoramientos
en los procesos de su área de COBIT "

IDENTIFICACIÓN DE GOBIERNO TI
1. Alineamiento Estratégico
2. Entrega de Valor
3. Administración de Recursos
4. Administración de Riesgos
5. Evaluación de desempeño
ALINEACIÓN AL GOBIERNO DE TI
Para lograr los criterios de información:
♠Efectividad
♠Eficiencia

♠Confidencialidad
♠Integridad

♠Disponibilidad
♠Cumplimiento

♠Confiabilidad

RESPONSABLE DE GOBIERNO TI
Mas que responsables, el equipo de trabajo que el Gerente de TI debe coordinar esta
conformado por:
♣Dirección Ejecutiva
♣Gerencia de negocio

♣Gerencia de TI
♣Auditoría

♣Responsable de Riesgos

20
♣Identificación de Procesos
IDENTIFICACIONES ADICIONALES
Adicionalmente el Gerente de TI permite identificar con una buena gestión de COBIT.
•Metas
•Riesgos
•Contingencias
•Indicadores
•Niveles de madurez
•Controles

21