COBIT: Marco referencial para el manejo de tecnologías de información

Para Auditores, Gerentes y Usuarios

Introducción

• Marco de referencia, por lo tanto, no es obligación (a la fecha) que se implemente.

• Creado por ISACA (Information System Audit and Control Association) e ITGI (IT Governance Institute).

• Pensado en administración de riesgos, como pilar tiene a COSO ERM.

En la actualidad

• Cobit se encuentra en su cuarta versión, lanzada en 2007.

• Su evolución natural es a la par de COSO ERM, por lo tanto, internaliza varios conceptos de dicho marco.

Objetivos

• Definir COBIT.

• Analizar sus componentes.

• Revisar sus niveles.

• Estudiar ciertos objetivos de control.

Definición

• COBIT– Control Objective of Information and related

Technology.– Objetivos de Control de Información y

Tecnología relacionada.

Audiencias Cobit 3

• AUDITORES– Liderazgo >> Pioneros y gestores.– Deber >> Manejar información.– Necesidad >> Emitir una opinión.

• GERENTES– Seguridad >> Inversión razonable.– Decisiones >> Información confiable.

• USUARIOS– Seguridad >> Existencia.– Información >> Rápida y confiable.– Claridad >> Lenguaje común.

Audiencias Cobit 4

• Dirección ejecutiva >> Para obtener valor de las inversiones y riesgos de TI y para controlar la inversión en un ambiente de TI con frecuencia impredecible

• Gerencia del negocio >> Para obtener certidumbre sobre la administración y control de los servicios de TI, proporcionados internamente o por terceros

• Gerencia de TI >> Para proporcionar los servicios de TI que el negocio requiere para dar soporte a la estrategia del negocio de una forma controlada y administrada

• Auditores >> Para respaldar sus opiniones y/o para proporcionar asesoría a la gerencia sobre controles internos

Gobierno de la Empresa

DIRECCIONA Y PREPARA

Gobierno de TI

Actividades de la Empresa

REQUIERE INFORMACIÓN DE

Actividades de TI

• Separación entre gobierno corporativo y gobierno de TI.

• Ambos tienen como horizonte lograr los objetivos empresariales, pero cada uno enfocado a diferentes ámbitos.

• Como es posible evaluar en Cobit:– Benchmarking: de la capacidad de procesos

de TI, mediante modelos de madurez.– Metas y medidas: Basadas en Balance

ScoreCard.– Metas de actividades: Objetivos de control

detallados.

“La evaluación de la capacidad de los procesos basada en los modelos de madurez de COBIT es una parte clave de la implementación del gobierno de TI. Después de identificar los procesos y controles críticos de TI, el modelado de la madurez permite identificar y demostrar a la dirección las brechas en la capacidad. Entonces se pueden crear planes de acción para llevar estos procesos hasta el nivel objetivo de capacidad deseado.”

Áreas focales de Gob. de TIAmbos

gobiernos Principio a fin, todo el tiempo

Escasos

¿Nivel aceptado?Cuatro

dominios

“Para lograr un gobierno efectivo, los ejecutivos esperan que los controles a ser implementados por los gerentes operacionales se encuentren dentro de un marco de control definido para todo los procesos de TI. Los objetivos de control de TI de COBIT están organizados por proceso de TI; por lo tanto, el marco de trabajo brinda un vínculo claro entre los requerimientos de gobierno de TI, los procesos de TI y los controles de TI.”

OBJETIVO DE NEGOCIO

OBJETIVO DE GOBIERNO

Información

Planear y organizar

Adquirir e implantar

Entrega y soporte

Monitoreo y evaluación Recursos

• DOMINIO:– Conjunto de procesos agrupados de forma natural.

• OBJETIVOS DE CONTROL, ALTO NIVEL:– Resultado o propósito que se desea alcanzar implementando un

procedimiento de control especifico dentro de una actividad.

• OBJETIVOS DE CONTROL DETALLADOS:– Son las actividades que deben realizarse para lograr los

resultados esperados.

OBJETIVOS DE CONTROL

• PLANEACIÓN Y ORGANIZACIÓN– 5.0 Manejo de la Inversión en Tecnología de

Información• Presupuesto Operativo anual para la función de Servicio de

Información.• Monitoreo de costo-beneficio.• Justificación de costo-beneficio.

DOMINIOOBJETIVO DE

CONTROL, ALTO NIVEL

OBJETIVOS DE CONTROL

DETALLADOS

Los cuatro dominios tienen 34 objetivos de control o procesos de TI, los cuales a su vez poseen objetivos de control detallados. Estos últimos son 318 en total.

De interés

• www.isaca.org

• Cobit 4 en español