Objetivos Control Interno TI Cobit[1]

5/9/2018 Objetivos Control Interno TI Cobit[1] - slidepdf.com

http://slidepdf.com/reader/full/objetivos-control-interno-ti-cobit1 1/19

OBJETIVOS DE CONTROL PARA LA INFORMACIÓN Y TECNOLOGÍAS

1 RESUMEN E JECUTIVO

COBITR ESUMEN E J E C U TIVO

Ab r i l d e 1998

2d a Ed ic ió n

Em itido por Comité Directivo de COBIT yla Information S ystem s Aud it and Control Foun dation

La Misión de COBIT:

Investigar, desarrollar, publicar y promover un conjunto de objetivos de control en

tecnología de información con autoridad, actualizados, de carácter internacional yaceptados generalmente para el uso cotidiano de gerentes de empresas y

auditores.





Lími t e de Responsab i l i dad

La Information Systems Audit and ControlFoundation y los patrocinadores de COB IT: Objetivosde Control para la Información y Tecnologías afines,han diseñado este producto principalmente como un afuente de instrucción para los profesionalesdedicados a las actividades de control. La

Information Systems Audit and Control Foundation

y los patrocinadores no declaran que el uso de esteproducto asegurará un resultado exitoso. No deberáconsiderarse que este producto incluye todos losprocedimientos o pruebas apropiados o que excluyeotros procedimientos y pruebas que esténrazonablemente dirigidos hacia la obtención de los

mismos resultados. Para determinar la convenienciade cualquier prueba o procedimiento específico, losexpertos en control deberán aplicar su propio juicioprofesiona l a las circunst an cias de cont rol especialespresentadas por cada entorno de sistemas enparticular.

Acuer do de Licenc ia (disclosure)

Copyright 1996, 1998 de la Information Systems

Audit and Control Foundation (ISACF ). Lareproducción para fines comerciales no estápermitida sin el pr evio consent imiento por escrito dela ISACF. Se otorga permiso para reproducir elResumen Ejecutivo, el Marco Referencial y losObjetivos de Control para uso interno no comercial,incluyendo almacenamiento en medios derecuperación de datos y transmisión en cualquiermedio, incluyendo electrónico, mecánico, grabado uotro medio. Todas las copias de el ResumenEjecutivo, el Marco Referencial y los Objetivos deControl deben incluir el siguiente reconocimiento y

leyenda de derechos de autor:Copyright 1996, 1998 Information Systems Audit

and Control Foundation, reimpreso con la

aut orización de la Information Systems Audit andControl Foundation . Ningún otro derecho o permisorelacionado con esta obra es otorgado.

La s Guías de Auditoría y el conjunto de herramientas

de im plement ación no pueden ser reproducidos,almacenados en un sistema de recuperación de datoso transmitido en ninguna forma ni por ningún medio–electrónico, mecánico, fotocopiado, grabado u otromedio- sin la previa autorización por escrito de laISACF.

Excepto por lo indicado, no se otorga ningún otroderecho o permiso relacionado con esta obra.

Information Systems Audit and Control Foundation3701 Algonquin Road, Suite 1010

Rolling Mea dows, Illinois 60008 USA.

Teléfono: 1+847.253.1525

Fax: 1+847.253.1443

E-mail: [email protected]

Web site: www.isaca.org

Impr eso en la República Mexicana .





R ESUMEN E J ECU TIVO

Un elemento crítico para el éxito y la supervivencia de lasorganizaciones, es la administración efectiva de la información y de laTecnología de Información (TI) relacionada. En esta sociedad global(donde la información viaja a través del “ciberespacio” sin lasrestricciones de tiempo, distancia y velocidad) esta criticalidad emergede:

l la creciente dependencia en información y en los sistemas queproporcionan dicha información

l la creciente vulnerabilidad y un amplio espectro de amenazas,tales como las “ciber amenazas” y la guerra de información 1

l la escala y el costo de las inversiones actuales y futuras eninformación y en tecnología de información; y

l el potencial que tienen las tecnologías para cambiar radicalmentelas organizaciones y las prácticas de negocio, crear nuevasoportunidades y reducir costos

Para muchas organizaciones, la información y la tecnología que lasoporta, representan los activos mas valiosos de la empresa.

Es más, en nuestro competitivo y rápidamente cambiante ambienteactual, la gerencia ha incrementado sus expectativas relacionadas conla entrega de servicios de TI. Verdaderamente, la información y lossistemas de información son “penetrantes” en las organizaciones(desde la plataforma del usuario hasta las redes locales o amplias,cliente servidor y equipos Mainframe. Por lo tanto, la administraciónrequiere niveles de servicio que presenten incrementos en calidad, enfuncionalidad y en facilidad de uso, así como un mejoramientocontinuo y una disminución de los tiempos de entrega) al tiempo quedemanda que esto se realice a un costo más bajo. Muchas

organizaciones reconocen los beneficios potenciales que la tecnología puede proporcionar. Las organizaciones exitosas, sin

embargo, también comprenden y administran los riesgos asociados

con la implementación de nueva tecnología. Por lo tanto, laadministración debe tener una apreciación por, y un entendimientobásico de los riesgos y limitantes del empleo de la tecnología deinformación para proporcionar una dirección efectiva y controlesadecuados. COBIT ayuda a salvar las brechas existentes entre riesgosde negocio, necesidades de control y aspectos técnicos. Proporciona“prácticas sanas” a través de un Marco Referencial de dominios yprocesos y presenta actividades en una estructura manejable y lógica.Las prácticas sanas de COBIT representan el consenso de los expertos(le ayudarán a optimizar la inversión en información, pero aún másimportante, representan aquello sobre lo usted será juzgado si las cosassalen mal.

Las organizaciones deben cumplir con requerimientos de calidad, de

reportes fiduciarios y de seguridad, tanto para su información, comopara sus activos. La administración deberá obtener un balanceadecuado en el empleo de sus recursos disponibles, los cuales incluyen:personal, instalaciones, tecnología, sistemas de aplicación y datos.Para cumplir con esta responsabilidad, así como para alcanzar susexpectativas, la administración deberá establecer un sistema adecuado

1

G u e r r a d e i n f or m a c ió n : Inform ation warfare

de control interno. Por lo tanto, este sistema o marco referencial deberáexistir para proporcionar soporte a los procesos de negocio y debe serpreciso en la forma en la que cada actividad individual de controlsatisface los requerimientos de información y puede impactar a losrecursos de TI. El impacto en los recursos de TI es enfatizado en elMarco Referencial de COBIT conjuntamente a los requerimientos deinformación del negocio que deben ser alcanzados: efectividad,eficiencia, confidencialidad, integridad, disponibilidad, cumplimiento yconfiabilidad. El control, que incluye políticas, estructuras, prácticas yprocedimientos organizacionales, es responsabilidad de laadministración.

La administración, mediante este gobierno corporativo2, debe asegurar

que la debida diligencia sea ejercitada por todos los individuosinvolucrados en la administración, empleo, diseño, desarrollo,

mantenimiento u operación de sistemas de información.Un Objetivo de Control en TI es una definición del resultado opropósito que se desea alcanzar implementando procedimientos decontrol específicos dentro de una actividad de TI.

La orientación a negocios es el tema principal de COBIT. Estadiseñado no solo para ser utilizado por usuarios y auditores, sino queen forma más importante, esta diseñado para ser utilizado como unalista de verificación3 detallada para los propietarios de los procesos denegocio. En forma incremental, las prácticas de negocio requieren deuna mayor delegación y otorgamiento de autoridad 4 de los dueños deprocesos para que estos posean total responsabilidad de todos losaspectos relacionados con dichos procesos de negocio. En formaparticular, esto incluye el proporcionar controles adecuados. El MarcoReferencial de COBIT proporciona herramientas al propietario deprocesos de negocio que facilitan el cumplimiento de esta

responsabilidad. El Marco Referencial comienza con una premisasimple y práctica:

Con el fin de proporcionar la información que la empresa

necesita para alcanzar sus objetivos, los recursos de TI

deben ser administrados por un conjunto de procesos de TI

agrupados en forma natural.

Continúa con un conjunto de 34 Objetivos de Control de alto nivel,uno para cada uno de los Procesos de TI, agrupados en cuatrodominios: planeación & organización, adquisición & implementación,entrega (de servicio) y monitoreo. Esta estructura cubre todos losaspectos de información y de la tecnología que la soporta. Dirigiendoestos 34 Objetivos de Control de alto nivel, el propietario de procesosde negocio podrá asegurar que se proporciona un sistema de controladecuado para el ambiente de tecnología de información.Adicionalmente, correspondiendo a cada uno de los 34 objetivos de

control de alto nivel, existe una guía de auditoría o de aseguramientoque permite la revisión de los procesos de TI contra los 302 objetivosdetallados de control recomendados por COBIT para proporcionar a laGerencia la certeza de su cumplimiento y/o una recomendación para su

2 Gobie r no co r por a t ivo : Corporate governance3 Lista de ver i ficación : Check List 4 O t o r g a m i en t o d e a u t o r i d a d : Empowerment



OBJETIVOS DE CONTROL P ARA LA INFORMACIÓN Y TECNOLOGÍAS AFINE S

INFORMATION SYSTEMS AUDIT AND CONTROL FOUNDATION 4

mejora. COBIT contiene un conjunto de herramientas deimplementación que proporciona lecciones aprendidas por empresasque rápida y exitosamente aplicaron COBIT en sus ambientes de

trabajo. Incluye un Resumen Ejecutivo para el entendimiento y lasensibilización de la alta gerencia sobre los principios y conceptosfundamentales de COBIT. La guía de implementación cuenta con dosútiles herramientas (Diagnóstico de Sensibilización Gerencial5 yDiagnóstico de Control en TI 6) para proporcionar asistencia en elanálisis del ambiente de control en una organización.

El Marco Referencial COBIT otorga especial importancia al impactosobre los recursos de TI, así como a los requerimientos de negocios encuanto a efectividad, eficiencia, confidencialidad, integridad,disponibilidad, cumplimiento y confiabilidad que deben ser satisfechos.Además, el Marco Referencial proporciona definiciones para losrequerimientos de negocio que son derivados de objetivos de controlsuperiores en lo referente a calidad, seguridad y reportes fiduciarios entanto se relacionen con Tecnología de Información.

5 Diagnós t i co de Sen s ib i li zac ión Ger enc ia l :

Management Awareness Diagnostic6 Diagnós t i co de Con t r o l en TI : IT Control

Diagnostic

La administración de una empresa requiere de prácticas generalmenteaplicables y aceptadas de control y gobierno en TI para medir en forma

comparativa

7

tanto su ambiente de TI existente, como su ambienteplaneado.

COBIT es una herramienta que permite a los gerentes comunicarse ysalvar la brecha existente entre los requerimientos de control, aspectostécnicos y riesgos de negocio. COBIT habilita el desarrollo de unapolítica clara y de buenas prácticas de control de TI a través deorganizaciones, a nivel mundial. El objetivo de COBIT es proporcionarestos objetivos de control, dentro del marco referencial definido, yobtener la aprobación y el apoyo de las entidades comerciales,gubernamentales y profesionales en todo el mundo.

Por lo tanto, COBIT esta orientado a ser la herramienta degobierno de TI que ayude al entendimiento y a la administraciónde riesgos asociados con tecnología de información y contecnologías relacionadas.

7 M e d ir e n f o r m a c o m p a r a t i v a : Benchmark





RECURSOS DE TI

• datos• sistemas de

aplicación• tecnología• instalaciones• gente

PLANEACION YORGANIZACION

ADQUISICION EIMPLEMENTACIONENTREGA Y

SOPORTE

MONITOREO

PO1 Definir un Plan Estratégico deTecnología de Información

PO2 Definir la Arquitectura de InformaciónPO3 Determinar la dirección tecnológicaPO4 Definir la Organización y de las

Relaciones de TIPO5 Manejar la Inversión en Tecnología de

InformaciónPO6 Comunicar la dirección y aspiraciones de

la gerenciaPO7 Administrar Recursos HumanosPO8 Asegurar el Cumplimiento de

Requerimientos ExternosPO9 Evaluar RiesgosPO10 Administrar proyectosPO11 Administrar Calidad

AI1 Identificar SolucionesAI2 Adquirir y Mantener Software de

AplicaciónAI3 Adquirir y Mantener Arquitectura de

Tecnología

AI4 Desarrollar y Mantener Procedimientosrelacionados con TIAI5 Instalar y Acreditar SistemasAI6 Administrar Cambios

DS1 Definir Niveles de ServicioDS2 Administrar Servicios prestados por TercerosDS3 Administrar Desempeño y CapacidadDS4 Asegurar Servicio Continuo

DS5 Garantizar la Seguridad de SistemasDS6 Identificar y Asignar CostosDS7 Educar y Entrenar a los UsuariosDS8 Apoyar y Asistir a los Clientes de TIDS9 Administrar la ConfiguraciónDS10 Administrar Problemas e IncidentesDS11 Administrar DatosDS12 Administrar InstalacionesDS13 Administrar Operaciones

M1 Monitorear los procesosM2 Evaluar lo adecuado del control

InternoM3 Obtener aseguramiento

independienteM4 Proporcionar auditoría independiente

INFORMACION

• efectividad• eficiencia• confidencialidad• integridad• disponibilidad• cumplimiento• confiabilidad

COBITCOBIT

OBJETIVOS DE NEGOCIO





ANTECEDENTES

DESARROLLO DEL PRODUCTO COBIT

C OBIT ha sido desarrollado como un estándargeneralmente aplicable y aceptado para las buenasprácticas de seguridad y control en Tecnología deInformación (TI). – COBIT es la herramientainnovadora para el gobierno8 de TI -.

C OBIT se fundamenta en los Objetivos de Controlexistentes de la Information Systems Audit and Control

Foundation (ISACF), mejorados a partir de estándaresinternacionales técnicos, profesionales, regulatorios yespecíficos para la industria, tanto existentes como ensurgimiento. Los Objetivos de Control resultantes hansido desarrollados para su aplicación en sistemas deinformación en toda la empresa. El término“generalmente aplicables y aceptados” es utilizadoexplícitamente en el mismo sentido que los Principios deContabilidad Generalmente Aceptados (PCGA o GAAPpor sus siglas en inglés). Para propósitos del proyecto,“buenas prácticas” significa consenso por parte de losexpertos.

Este estándar es relativamente pequeño en tamaño, conel fin de ser práctico y responder, en la medida de loposible, a las necesidades de negocio, manteniendo al

mismo tiempo una independencia con respecto a lasplataformas técnicas de TI adoptadas en unaorganización. El proporcionar indicadores dedesempeño (normas, reglas, etc.), ha sido identificadocomo prioridad para las mejoras futuras que serealizarán al marco referencial.

El desarrollo de C OBIT ha traído como resultado lapublicación del Marco Referencial general y de losObjetivos de Control detallados, y le seguiránactividades educativas. Estas actividades asegurarán eluso general de los resultados del Proyecto deInvestigación COBIT.

Se determinó que las mejoras a los objetivos de control

originales debería consistir en:

è el desarrollo de un marco referencial paracontrol en TI como fundamento para los

8 Gobie r no : Governance. Término aplicado para

definir u n cont rol total

objetivos de control en TI y como una guíapara la investigación consistente en auditoríay control de TI;

è una alineación del marco referencial general yde los objetivos de control individuales, conestándares y regulaciones internacionalesexistentes de hecho y de derecho; y

è una revisión crítica de las diferentesactividades y tareas que conforman losdominios de control en TI y, cuando fueseposible, la especificación de indicadores dedesempeño relevantes (normas, reglas, etc.) y

è una revisión crítica y actualización de lasguías actuales para desarrollo de auditorías desistemas de información

Sin excluir ningún otro estándar aceptado en el campodel control de sistemas de información que pudieraemitirse durante la investigación, las fuentes han sidoidentificadas inicialmente como:

Estándares Técnicos de ISO, EDIFACT, etc.Códigos de Conducta emitidos por el Council of

Europe, OECD, ISACA, etc.;Criterios de Calificación para sistemas y procesos

de TI: ITSEC, ISO9000, SPICE, IickIT, etc.;Estándares Profesionales para control interno yauditoría: reporte COSO, GAO, IFAC, IIA, ISACA,estándares CPA, etc.;Prácticas y requerimientos de la Industria deforos industriales (ESF, 14) y plataformaspatrocinadas por el gobierno (IBAG, NIST, DTI); yNuevos requerimientos específicos de la industriade la banca y manufactura de TI.

(Ver Apéndice III Glosario de Términos paradefiniciones de siglas)

DEFINICIÓN DEL PRODUCTO COBITEl desarrollo de COBIT ha resultado en la publicación de:

l un Resumen Ejecutivo el cual, adicionalmente a estasección de antecedentes, consiste en un SíntesisEjecutiva (que proporciona a la alta gerenciaentendimiento y conciencia sobre los conceptos clave y




INFORMATION SYSTEMS AUDIT AND C ONTROL F OUNDATION 7

principios de COBIT) y el Marco Referencial (el cualproporciona a la alta gerencia un entendimiento más

detallado de los conceptos clave y principios de COBIT eidentifica los cuatro dominios de COBIT y loscorrespondientes 34 procesos de TI);

l el Marco Referencial que describe en detalle los 34objetivos de control de alto nivel e identifica losrequerimientos de negocio para la información y losrecursos de TI que son impactados en forma primaria porcada objetivo de control;

l Objetivos de Control , los cuales contienen declaracionesde los resultados deseados o propósitos a ser alcanzadosmediante la implementación de 302 objetivos de controldetallados y específicos a través de los 34 procesos deTI;

l Guías de Auditoría, las cuales contienen los pasos deauditoría correspondientes a cada uno de los 34 objetivos

de control de TI de alto nivel para proporcionarasistencia a los auditores de sistemas en la revisión de losprocesos de TI con respecto a los 302 objetivosdetallados de control recomendados para proporcionar ala gerencia certeza o una recomendaciones demejoramiento;

l un Conjunto de Herramientas de Implementación, elcual proporciona lecciones aprendidas pororganizaciones que han aplicado COBIT rápida yexitosamente en sus ambientes de trabajo.

El Conjunto de Herramientas de Implementación incluye laSíntesis Ejecutiva, proporcionando a la alta gerenciaconciencia y entendimiento de COBIT. También incluye una

guía de implementación con dos útiles herramientas –Diagnóstico de la Conciencia de la Gerencia 9 y el Diagnósticode Control de TI 10 - para proporcionar asistencia en el análisisdel ambiente de control en TI de una organización. También seincluyen varios casos de estudio que detallan comoorganizaciones en todo el mundo han implementado COBITexitosamente. Adicionalmente, se incluyen respuestas a las 25preguntas mas frecuentes acerca de COBIT y variaspresentaciones para distintos niveles jerárquicos y audienciasdentro de las organizaciones.

EVOLUCIÓN DEL PRODUCTO COBIT COBIT evolucionará a través de los años y será el fundamentode investigaciones futuras. Por lo tanto, se generará un familia

9 Diagnós t i co de l a Conc ienc ia de l a Ger en c ia : Management A wareness Diagnostic

10 Diagnós t i co de Con t r o l de TI : IT Control

Diagnostic

de productos COBIT y al ocurrir esto, las tareas y actividadesque sirven como la estructura para organizar los Objetivos de

Control de TI, serán refinadas posteriormente, también serárevisado el balance entre los dominios y los procesos a la luzde los cambios en la industria.Una temprana adición significativa visualizada para la familiade productos COBIT, es el desarrollo de las Guías deGerenciales 11 que incluyen Factores Críticos de Exito,Indicadores Clave de Desempeño y Medidas Comparativas 12.Esta adición proporcionará herramientas a la gerencia paraevaluar el ambiente de TI de su organización con respecto a los34 Objetivos de Control de alto nivel de COBIT. Los FactoresCríticos de Exito identificarán los aspectos o acciones másimportantes para la administración y poder así tomar dichasaciones o considerar los aspectos para lograr control sobre susprocesos de TI. Los Indicadores Clave de Desempeñoproporcionarán medidas de éxito que permitan conocer a la

gerencia si un proceso de TI esta alcanzando losrequerimientos de negocio. La Medidas Comparativasdefinirán niveles de madurez que pueden ser utilizadas por lagerencia para: (1) determinar el nivel actual de madurez de laempresa; (2) determinar el nivel de madurez que desea lograr,como una función de sus riesgos y objetivos; y (3)proporcionar una base de comparación de sus prácticas decontrol de TI contra empresas similares o normas de laindustria. Esta adición proporcionará herramientas a lagerencia para evaluar el ambiente de TI de su organizacióncon respecto a los 34 Objetivos de Control de alto nivel deCOBIT.Las investigaciones y publicaciones han sido posible gracias acontribuciones de Unysis, Unitech Systems, Inc., MIS TrainingInstitute, Zergo, Ltd., y Coopers & Lybrand. El ForumEuropeo de Seguridad (European Security Forum –ESF-)amablemente puso a disposición material para el proyecto.Otras donaciones fueron recibidas de capítulos miembros deISACA de todo el mundo.

11 Guías ge r enc ia l e s : Management Gu idelines12 M e d id a s c o m p a r a t i v a s : Benchmarks





El Marco Referencial de COBIT

ESTABLECIENDO LA ESCENA

LA NECESIDAD DE CONTROL ENTECNOLOGIA DE INFORMACION

En años recientes, ha sido cada vez más evidente paralos legisladores, usuarios y proveedores de servicios lanecesidad de un Marco Referencial para la seguridad yel control de tecnología de información (TI). Unelemento crítico para el éxito y la supervivencia de lasorganizaciones, es la administración efectiva de lainformación y de la Tecnología de Información (TI)

relacionada. En esta sociedad global (donde lainformación viaja a través del “ciberespacio” sin lasrestricciones de tiempo, distancia y velocidad) estacriticalidad emerge de:

l la creciente dependencia en información y en lossistemas que proporcionan dicha información

l la creciente vulnerabilidad y un amplio espectro deamenazas, tales como las “ciber amenazas” y laguerra de información 13

l la escala y el costo de las inversiones actuales yfuturas en información y en tecnología deinformación; y

l el potencial que tienen las tecnologías para cambiarradicalmente las organizaciones y las prácticas denegocio, crear nuevas oportunidades y reducircostos

Para muchas organizaciones, la información y latecnología que la soporta, representan los activos masvaliosos de la empresa. Verdaderamente, la informacióny los sistemas de información son “penetrantes” en lasorganizaciones (desde la plataforma del usuario hasta lasredes locales o amplias, cliente servidor y equipos

Mainframe. Muchas organizaciones reconocen los

beneficios potenciales que la tecnología puede

proporcionar. Las organizaciones exitosas, sinembargo, también comprenden y administran los

riesgos asociados con la implementación de nueva tecnología. Por lo tanto, la administración debe teneruna apreciación por, y un entendimiento básico de los

13 G u e r r a d e i n f or m a c ió n : Inform ation warfare

riesgos y limitantes del empleo de la tecnología deinformación para proporcionar una dirección efectiva ycontroles adecuados

La administración debe decidir la inversión razonableen seguridad y control en TI y cómo lograr un balanceentre riesgos e inversiones en control en un ambiente deTI frecuentemente impredecible. La administraciónnecesita un Marco Referencial de prácticas de seguridady control de TI generalmente aceptadas para medir

comparativamente su ambiente de TI, tanto el existentecomo el planeado.

Existe una creciente necesidad entre los USUARIOS encuanto a la seguridad en los servicios TI, a través de laacreditación y la auditoría de servicios de TIproporcionados internamente o por terceras partes, queaseguren la existencia de controles adecuados.Actualmente, sin embargo, es confusa laimplementación de buenos controles de TI en sistemasde negocios por parte de entidades comerciales,entidades sin fines de lucro o entidadesgubernamentales. Esta confusión proviene de losdiferentes métodos de evaluación, tales como ITSEC,

TCSEC, evaluaciones ISO9000, nuevas evaluaciones decontrol interno COSO, etc. Como resultado, losusuarios necesitan una base general a ser establecidacomo primer paso.

Frecuentemente, los AUDITORES han tomado elliderazgo en estos esfuerzos internacionales deestandarización, debido a que ellos enfrentancontinuamente la necesidad de sustentar y apoyar frentea la Gerencia su opinión acerca de los controles internos.Sin contar con un marco referencial, ésta se convierte enuna tarea demasiado complicada. Esto ha sido mostradoen varios estudios recientes acerca de la manera en laque los auditores evalúan situaciones complejas de

seguridad y control en TI, estudios que fueron dados aconocer casi simultáneamente en diferentes partes delmundo. Incluso, la administración consulta cada vezmás a los auditores para que la asesoren en formaproactiva en lo referente a asuntos de seguridad ycontrol de TI.





EL AMBIENTE DE NEGOCIOS:COMPETENCIA, CAMBIO & COSTOS

La competencia global es ya un hecho. Lasorganizaciones se reestructuran con el fin deperfeccionar sus operaciones y al mismo tiempoaprovechar los avances en tecnología de sistemas deinformación para mejorar su posición competitiva. Lareingeniería en los negocios, las reestructuraciones, eloutsourcing, las organizaciones horizontales y elprocesamiento distribuido son cambios que impactan lamanera en la que operan tanto los negocios como lasentidades gubernamentales. Estos cambios han tenido ycontinuarán teniendo, profundas implicaciones para laadministración y las estructuras de control operacionaldentro de las organizaciones en todo el mundo.

La especial atención prestada a la obtención de ventajascompetitivas y a la economía implica una dependenciacreciente en la computación como el componente másimportante en la estrategia de la mayoría de lasorganizaciones. La automatización de las funcionesorganizacionales, por su naturaleza, dicta laincorporación de mecanismos de control más poderososen las computadoras y en las redes, tanto los basados enhardware como los basados en software. Además, lascaracterísticas estructurales fundamentales de estoscontroles están evolucionando al mismo paso que lastecnologías de computación y las redes.

Si los administradores, los especialistas en sistemas deinformación y los auditores desean en realidad sercapaces de cumplir con sus tareas en forma efectivadentro de un marco contextual de cambios acelerados,deberán aumentar y mejorar sus habilidades tanrápidamente como lo demandan la tecnología y elambiente. Debemos comprender la tecnología decontroles involucrada y su naturaleza cambiante sideseamos emitir y ejercer juicios razonables y prudentesal evaluar las prácticas de control que se encuentran enlos negocios típicos o en las organizacionesgubernamentales.

RESPUESTA A LAS NECESIDADES

En vista de estos continuos cambios, el desarrollo deeste Marco Referencial de objetivos de control para TI,conjuntamente con una investigación continua aplicadaa controles de TI basada en este marco referencial,constituyen el fundamento para el progreso efectivo enel campo de los controles de sistemas de información.

Por otro lado, hemos sido testigos del desarrollo ypublicación de modelos de control generales denegocios como COSO [Committee of Sponsoring

Organisations of the Treadway Commisssion Internal

Control-Integrated Framework , 1992] en los EUA,Cadbury en el Reino Unido y CoCo en Canadá y Kingen Sudáfrica. Por otro lado, existe un número

importante de modelos de control más enfocados alnivel de tecnología de información. Algunos buenosejemplos de esta última categoría son el Security Code

of Conduct del DTI ( Department of Trade and Industry,Reino Unido) y el Security Handbook de NIST( National Institute of Standards and Technology, EUA).Sin embargo, estos modelos de control con orientaciónespecífica no proporcionan un modelo de controlcompleto y utilizable sobre tecnología de informacióncomo soporte para los procesos de negocio. El propósitode C OBI T es el cubrir este vacío proporcionando unabase que esté estrechamente ligada a los objetivos denegocio, al mismo tiempo que se enfoca a la tecnologíade información.

Un enfoque hacia los requerimientos de negocio encuanto a controles para tecnología de información y laaplicación de nuevos modelos de control y estándaresinternacionales relacionados, hicieron evolucionar losObjetivos de Control y pasar de una herramienta deauditoría, a C OBI T , que es una herramienta para laadministración. COBIT es, por lo tanto, la

herramienta innovadora para el gobierno de TI queayuda a la gerencia a comprender y administrar losriesgos asociados con TI.

Por lo tanto, el objetivo principal del proyecto C OBI T esel desarrollo de políticas claras y buenas prácticas para

la seguridad y el control de Tecnología de Información,con el fin de obtener la aprobación y el apoyo de lasentidades comerciales, gubernamentales y profesionalesen todo el mundo. La meta del proyecto es el desarrollar





estos objetivos de control principalmente a partir de laperspectiva de los objetivos y necesidades de la

empresa. Esto concuerda con la perspectiva COSO, queconstituye el primer y mejor marco referencial para laadministración en cuanto a controles internos.Posteriormente, los objetivos de control fuerondesarrollados a partir de la perspectiva de los objetivosde auditoría (certificación de información financiera,certificación de medidas de control interno, eficiencia yefectividad, etc.)

AUDIENCIA: ADMINISTRACION,USUARIOS & AUDITORES

COBIT esta diseñado para ser utilizado por tres

audiencias distintas:ADMINISTRACION:

Para ayudarlos a lograr un balance entre losriesgos y las inversiones en control en unambiente de tecnología de informaciónfrecuentemente impredecible.

USUARIOS:

Para obtener una garantía en cuanto a laseguridad y controles de los servicios detecnología de información proporcionadosinternamente o por terceras partes.

AUDITORES DE SISTEMAS DEINFORMACION:

Para dar soporte a las opiniones mostradas a laadministración sobre los controles internos.

Además de responder a las necesidades de la audienciainmediata de la Alta Gerencia, a los auditores y a losprofesionales dedicados al control y seguridad, C OBI T

puede ser utilizado dentro de las empresas por elpropietario de procesos de negocio en su responsabilidadde control sobre los aspectos de información delproceso, y por todos aquéllos responsables de TI en laempresa.

ORIENTACIÓN A OBJETIVOS DENEGOCIO

Los Objetivos de Control muestran una relación clara ydistintiva con los objetivos de negocio con el fin de

apoyar su uso en forma significativa fuera de lasfronteras de la comunidad de auditoría. Los Objetivos

de Control están definidos con una orientación a losprocesos, siguiendo el principio de reingeniería denegocios. En dominios y procesos identificados, seidentifica también un objetivo de control de alto nivelpara documentar el enlace con los objetivos delnegocio. Se proporcionan consideraciones y guías paradefinir e implementar el Objetivo de Control de TI.

La clasificación de los dominios a los que se aplican losobjetivos de control de alto nivel (dominios y procesos);una indicación de los requerimientos de negocio para lainformación en ese dominio, así como los recursos de TIque reciben un impacto primario por parte del objetivodel control, forman conjuntamente el marco Referencial

COBIT. El marco referencial toma como base lasactividades de investigación que han identificado 34objetivos de alto nivel y 302 objetivos detallados decontrol. El Marco Referencial fue mostrado a laindustria de TI y a los profesionales dedicados a laauditoría para abrir la posibilidad a revisiones, dudas ycomentarios. Las ideas obtenidas fueron incorporadasen forma apropiada.

DEFINICIONES

Para propósitos de este proyecto, se proporcionan las

siguientes definiciones. La definición de “Control” estáadaptada del reporte COSO [Committee of Sponsoring

Organisations of the Treadway Commission. Internal

Control-Integrated Framework , 1992 y la definiciónpara “Objetivo de Control de TI” ha sido adaptada delreporte SAC (Systems Auditability and Control Report).The Institute of Internal Auditors Research Foundation,1991 y 1994.

Control sedefine como

Control sedefine como

Las políticas, procedimientos,prácticas y estructurasorganizacionales diseñadas paragarantizar razonablemente quelos objetivos del negocio serán

alcanzados y que eventos nodeseables serán prevenidos odetectados y corregidos





Objetivo decontrol en TI

se definecomo

Objetivo decontrol en TI

se definecomo

Una definición del resultado opropósito que se desea alcanzar

implementando procedimientosde control en una actividad deTI particular





LOS PRINCIPIOS DEL MARCO REFERENCIAL

Existen dos clases distintas de modelos de controldisponibles actualmente, aquéllos de la clase del“modelo de control de negocios” (por ejemplo COSO) ylos “modelos más enfocados a TI” (por ejemplo, DTI).C OBI T intenta cubrir la brecha que existe entre los dos.Debido a esto, COBIT se posiciona como unaherramienta más completa para la Administración y paraoperar a un nivel superior que los estándares detecnología para la administración de sistemas deinformación.. Por lo tanto, COBIT es el modelo para elgobierno de TI.

El concepto fundamental del marco referencial COBIT serefiere a que el enfoque del control en TI se lleva a cabo

visualizando la información necesaria para dar soporte alos procesos de negocio y considerando a la informacióncomo el resultado de la aplicación combinada derecursos relacionados con la Tecnología de Informaciónque deben ser administrados por procesos de TI.

Requerimientosde Negocio

Recursos de TIProcesos de TI

Para satisfacer los objetivos del negocio, la informaciónnecesita concordar con ciertos criterios a los que COBIThace referencia como requerimientos de negocio para la

información. Al establecer la lista de requerimientos,C OBI T combina los principios contenidos en los modelosreferenciales existentes y conocidos:

Requerimientosde calidad

Requerimientosde calidad

CalidadCostoEntrega (de servicio)

RequerimientosFiduciarios

(COSO)

RequerimientosFiduciarios

(COSO)

Efectividad & eficiencia deoperacionesConfiabilidad de la información

Cumplimiento de las leyes &regulaciones

Requerimientosde Seguridad

Requerimientosde Seguridad

ConfidencialidadIntegridadDisponibilidad

La Calidad ha sido considerada principalmente por suaspecto ‘negativo’ (no fallas, confiable, etc.), lo cualtambién se encuentra contenido en gran medida en loscriterios de Integridad. Los aspectos positivos peromenos tangibles de la calidad (estilo, atractivo, “ver ysentir 14”, desempeño más allá de las expectativas, etc.)

no fueron, por un tiempo, considerados desde un puntode vista de Objetivos de Control de TI. La premisa serefiere a que la primera prioridad deberá estar dirigida almanejo apropiado de los riesgos al compararlos contralas oportunidades. El aspecto utilizable de la Calidadestá cubierto por los criterios de efectividad. Seconsideró que el aspecto de entrega (de servicio) de laCalidad se traslapa con el aspecto de disponibilidadcorrespondiente a los requerimientos de seguridad ytambién en alguna medida, con la efectividad y laeficiencia. Finalmente, el Costo es también consideradoque queda cubierto por Eficiencia.

Para los requerimientos fiduciarios, COBIT no intentó

reinventar le rueda – se utilizaron las definiciones deCOSO para la efectividad y eficiencia de operaciones,confiabilidad de información y cumplimiento con leyesy regulaciones -. Sin embargo, confiabilidad deinformación fue ampliada para incluir toda lainformación – no solo información financiera.

Con respecto a los aspectos de seguridad, CobiTidentificó la confidencialidad, integridad ydisponibilidad como los elementos clave, fuedescubierto que estos mismos tres elementos sonutilizados a nivel mundial para describir losrequerimientos de seguridad.

Comenzando el análisis a partir de los requerimientos deCalidad, Fiduciarios y de Seguridad más amplios, seextrajeron siete categorías distintas, ciertamentesuperpuestas.

14 Ver y Sen t i r : Look a nd Feel





A continuación se muestran las definiciones de trabajode COBIT:

Efectividad

Efectividad Se refiere a que lainformación relevante seapertinente para el procesodel negocio, así como a quesu entrega sea oportuna,correcta, consistente y demanera utilizable.

Eficiencia

Eficiencia Se refiere a la provisión deinformación a través de lautilización óptima (másproductiva y económica) derecursos.

Confidencialidad

Confidencialidad Se refiere a la protección deinformación sensible contradivulgación no autorizada.

Integridad

Integridad Se refiere a la precisión ysuficiencia de lainformación, así como a suvalidez de acuerdo con losvalores y expectativas delnegocio.

Disponibilidad

Disponibilidad Se refiere a la

disponibilidad de lainformación cuando ésta esrequerida por el proceso denegocio ahora y en elfuturo. También se refierea la salvaguarda de losrecursos necesarios ycapacidades asociadas.

Cumplimiento

Cumplimiento Se refiere al cumplimientode aquellas leyes,regulaciones y acuerdoscontractuales a los que elproceso de negocios estásujeto, por ejemplo,criterios de negocioimpuestos externamente.

Confiabilidadde la

información

Confiabilidadde la

información

Se refiere a la provisión deinformación apropiada para

la administración con el finde operar la entidad y paraejercer susresponsabilidades dereportes financieros y decumplimiento.

Los recursos de TI identificados en COBIT puedenexplicarse/definirse como se muestra a continuación:

Datos

Datos Los elementos de datos en su másamplio sentido, (por ejemplo,

externos e internos), estructurados yno estructurados, gráficos, sonido,etc.

Aplicaciones

Aplicaciones Se entiende como sistemas deaplicación la suma deprocedimientos manuales yprogramados

Tecnología

Tecnología La tecnología cubre hardware,software, sistemas operativos,sistemas de administración de basesde datos, redes, multimedia, etc.

Instalaciones

Instalaciones Recursos para alojar y dar soporte alos sistemas de información

Personal

Personal Habilidades del personal,conocimiento, conciencia yproductividad para planear,organizar, adquirir, entregar,soportar y monitorear servicios ysistemas de información

El dinero o capital no fue considerado como un recursopara la clasificación de objetivos de control para TIdebido a que puede definirse como la inversión encualquiera de los recursos mencionados anteriormente ypodría causar confusión con los requerimientos deauditoría financiera.





El Marco referencial no menciona, en forma específicapara todos los casos, la documentación de todos los

aspectos “materiales” importantes relacionados con unproceso de TI particular. Como parte de las buenasprácticas, la documentación es considerada esencial paraun buen control y, por lo tanto, la falta de

documentación podría ser la causa de revisiones yanálisis futuros de controles de compensación en

cualquier área específica en revisión.Otra forma de ver la relación de los recursos de TI conrespecto a la entrega de servicios se describe acontinuación:

mensajeentrada

serviciosalida

TECNOLOGIATECNOLOGIA

INSTALACIONESINSTALACIONES

GENTEGENTE

Sistemas de AplicaciónSistemas de AplicaciónDatosDatos

Eventos

Objetivos de negocio

Oportunidades de negocio

Requerimientos externosRegulaciones

Riesgos

Información

Efectividad

Eficiencia

ConfidencialidadIntegridad

Disponibilidad

CumplimientoConfiabilidad

LOS PRINCIPIOS DEL MARCOREFERENCIAL, continúa

La información que los procesos de negocio necesitan esproporcionada a través del empleo de recursos de TI.Con el fin de asegurar que los requerimientos de negociopara la información son satisfechos, deben definirse,implementarse y monitorearse medidas de controladecuadas para estos recursos.

¿Cómo pueden entonces las empresas estar satisfechasrespecto a que la información obtenida presente lascaracterísticas que necesitan? Es aquí donde se requierede un sano marco referencial de Objetivos de Controlpara TI. El diagrama mostrado a continuación ilustraeste concepto.

PROCESOSPROCESOSDE NEGOCIODE NEGOCIO

INFORMACIONINFORMACION

RECURSOS DE TIRECURSOS DE TI

•• datosdatos•• sistemas de aplicaciónsistemas de aplicación•• tecnologíatecnología•• instalacionesinstalaciones•• gentegente

•• efectividadefectividad•• eficienciaeficiencia•• confidencialidadconfidencialidad•• integridadintegridad•• disponibilidaddisponibilidad•• cumplimientocumplimiento•• confiabilidadconfiabilidad

CriteriosCriterios

??¿ Concuerdan ?





El marco referencial consta de Objetivos de Control deTI de alto nivel y de una estructura general para su

clasificación y presentación. La teoría subyacente parala clasificación seleccionada se refiere a que existen, enesencia, tres niveles de actividades de TI al considerar laadministración de sus recursos.

Comenzando por la base, encontramos las actividades ytareas necesarias para alcanzar un resultado medible.Las actividades cuentan con un concepto de ciclo devida, mientras que las tareas son consideradas másdiscretas. El concepto de ciclo de vida cuentatípicamente con requerimientos de control diferentes alos de actividades discretas. Algunos ejemplos de estacategoría son las actividades de desarrollo de sistemas,administración de la configuración y manejo de

cambios. La segunda categoría incluye tareas llevadas acabo como soporte para la planeación estratégica de TI,evaluación de riesgos, planeación de la calidad,administración de la capacidad y el desempeño.

Los procesos se definen entonces en un nivel superiorcomo una serie de actividades o tareas conjuntas con“cortes” naturales (de control).

Al nivel más alto, los procesos son agrupados de maneranatural en dominios. Su agrupamiento natural esconfirmado frecuentemente como dominios deresponsabilidad en una estructura organizacional, y estáen línea con el ciclo administrativo o ciclo de vida

aplicable a los procesos de TI.

Dominios

Procesos

Actividades

Por lo tanto, el marco referencial conceptual puede serenfocado desde tres puntos estratégicos: (1) recursos

de TI, (2) requerimientos de negocio para lainformación y (3) procesos de TI. Estos puntos de vistadiferentes permiten al marco referencial ser accedidoeficientemente.Por ejemplo, los gerentes de la empresa puedeninteresarse en un enfoque de calidad, seguridad ofiduciario (traducido por el marco referencial en sieterequerimientos de información específicos). UnGerente de TI puede desear considerar recursos de TIpor los cuales es responsable. Propietarios deprocesos, especialistas de TI y usuarios pueden tenerun interés en procesos particulares. Los auditorespodrán desear enfocar el marco referencial desde unpunto de vista de cobertura de control.Estos tres puntos estratégicos son descritos en el CuboCOBIT que se muestra a continuación:

P r o c e s

o s

d e

T I

G e

n t e

S

i s t e

m a s

T e c n o

l o g

í a

I n s

t a l a

c i o

n e s

D a

t o s

R e c u r s o s

d e T I

C a l i d

a d

F i d u

c i a r i o

s

S e g u

r i d a d

Criterios de información

Dominios

Procesos

Actividades

Con lo anterior como marco de referencia, los dominiosson identificados utilizando las palabras que la gerenciautilizaría en las actividades cotidianas de la organización–y no la “jerga15” del auditor -. Por lo tanto, cuatrograndes dominios son identificados: planeación yorganización, adquisición e implementación; entrega y

soporte y monitoreo.

15 J e r g a : Ja rgon





Las definiciones para los dominios mencionados son lassiguientes:

Planeación yorganización

Planeación yorganización

Este dominio cubre la estrategia ylas tácticas y se refiere a laidentificación de la forma en que latecnología de información puedecontribuir de la mejor manera allogro de los objetivos del negocio.Además, la consecución de lavisión estratégica necesita serplaneada, comunicada yadministrada desde diferentesperspectivas. Finalmente, deberánestablecerse una organización yuna infraestructura tecnológica

apropiadas.

Adquisición eimplementación

Adquisición eimplementación

Para llevar a cabo la estrategia deTI, las soluciones de TI deben seridentificadas, desarrolladas oadquiridas, así comoimplementadas e integradas dentrodel proceso del negocio. Además,este dominio cubre los cambios yel mantenimiento realizados asistemas existentes.

Entrega ysoporte

Entrega ysoporte En este dominio se hacereferencia a la entrega de los

servicios requeridos, que abarcadesde las operacionestradicionales hasta elentrenamiento, pasando porseguridad y aspectos decontinuidad. Con el fin deproveer servicios, deberánestablecerse los procesos desoporte necesarios. Este

dominio incluye el procesamiento de los datos por

sistemas de aplicación,

frecuentemente clasificados

como controles de aplicación

Monitoreo

Monitoreo Todos los procesos necesitan serevaluados regularmente a travésdel tiempo para verificar sucalidad y suficiencia en cuanto a

los requerimientos de control.

En resumen, los Recursos de TI necesitan seradministrados por un conjunto de procesos agrupados enforma natural, con el fin de proporcionar la informaciónque la empresa necesita para alcanzar sus objetivos.

El siguiente diagrama ilustra este concepto:

RECURSOS DE TI

• datos• sistemas de

aplicación• tecnología• instalaciones• gen te

PLANEACION YORGANIZACION

ADQUISICION EIMPLEMENTACIONENTREGA Y

SOPORTE

MONITOREO

PO1 Definir un Plan Estratégico deTecnología de Información

PO2 Definir la Arquitectura de Información

PO3 Determinar la dirección tecnológica

PO4 Definir la Organización y de lasRelaciones de TI

PO5 Manejar la Inversión en Tecnología deInformación

PO6 Comunicar la dirección y aspiraciones dela gerencia

PO7 Administrar Recursos Humanos

PO8 Asegurar el Cumplimiento deRequerimientos ExternosPO9 Evaluar Riesgos

PO10 Administrar proyectos

PO11 Administrar Calidad

AI1 Identificar Soluciones

AI2 Adquirir y Mantener Software deAplicación

AI3 Adquirir y Mantener Arquitectura deTecnología

AI4 Desarrollar y Mantener Procedimientosrelacionados con TI

AI5 Instalar y Acreditar Sistemas

AI6 Administrar Cambios

DS1 Definir Niveles de ServicioDS2 Administrar Servicios prestados por TercerosDS3 Administrar Desempeño y Capacidad

DS4 Asegurar Servicio Continuo

DS5 Garantizar la Seguridad de Sistemas

DS6 Identificar y Asignar CostosDS7 Educar y Entrenar a los Usuarios

DS8 Apoyar y Asistir a los Clientes de TI

DS9 Administrar la Configuración

DS10 Administrar Problemas e IncidentesDS11 Administrar Datos

DS12 Administrar Instalaciones

DS13 Administrar Operaciones

M1 Monitorear los procesosM2 Evaluar lo adecuado del controlInterno

M3 Obtener aseguramientoindependiente

M4 Proporcionar auditoría independiente INFORMACION

• efectividad• eficiencia• confidencialidad• integridad• disponibilidad• cumplimiento• confiabilidad

COBITCOBIT

OBJEIVOS DE NEGOCIO





LOS PRINCIPIOS DEL MARCO

REFERENCIAL, continúa

Debe tomarse en cuenta que estos procesos pueden seraplicados a diferentes niveles dentro de unaorganización. Por ejemplo, algunos de estos procesosserán aplicados al nivel corporativo, otros al nivel de lafunción de servicios de información, otros al nivel delpropietario de los procesos de negocio.

También debe ser tomado en cuenta que el criterio deefectividad de los procesos que planean o entregansoluciones a los requerimientos de negocio, cubriránalgunas veces los criterios de disponibilidad, integridady confidencialidad. – en la práctica, se han convertido enrequerimientos del negocio. Por ejemplo, el proceso de“identificar soluciones automatizadas” deberá serefectivo en el cumplimiento de requerimientos dedisponibilidad, integridad y confidencialidad.

Resulta claro que las medidas de control no satisfaránnecesariamente los diferentes requerimientos deinformación del negocio en la misma medida. Se lleva acabo una clasificación dentro del marco referencialC OBI T basada en rigurosos informes y observaciones deprocesos por parte de investigadores, expertos yrevisores con las estrictas definiciones determinadaspreviamente.

Primario es el grado al cual el objetivo decontrol definido impacta

directamente el requerimiento deinformación de interés.

Secundario es el grado al cual el objetivo decontrol definido satisfaceúnicamente de forma indirecta o enmenor medida el requerimiento deinformación de interés.

Blanco (vacío) podría aplicarse; sin embargo, losrequerimientos son satisfechos másapropiadamente por otro criterio eneste proceso y/o por otro proceso.

Similarmente, todos las medidas de control nonecesariamente tendrán impacto en los diferentesrecursos de TI a un mismo nivel. Por lo tanto, el MarcoReferencial de COBIT indica específicamente laaplicabilidad de los recursos de TI que sonadministrados en forma específica por el proceso bajoconsideración (no por aquellos que simplemente tomanparte en el proceso). Esta clasificación es hecha dentro elMarco Referencial de COBIT basado en el mismoproceso riguroso de información proporcionada por losinvestigadores, expertos y revisores, utilizando lasdefiniciones estrictas indicadas previamente.




18 RESUMEN EJECUTIVO

TABLA RESUMEN

Criterios de Información Recursos de TI

e f e c t i v

i d a d

e f i c i

e n c i a

c o n f i d

e n c i a

l i d a d

i n t e

g r i d

a d

d i s p

o n i b i l i d a

d

c u m p l i m

i e n t o

c o n f i a b i l i d a d

r e c u

r s o s h u

m a n

o s

s i s t e

m a s d e

i n f o r m

a c i ó

n

t e c n

o l o g í a

i n s t a l a c i o n e

s

d a t o

s

DOMINIO PROCESO

Planeación y

PO1 Definir un plan estratégico de sistemas P S þ þ þ þ þ

Organización PO2 Definir la arquitectura de información P S S S þ þ

PO3 Determinar la dirección tecnológica P S þ þ

PO4 Definir la organización y sus relaciones P S þ

PO5 Administrar las inversiones (en TI) P P S þ þ þ þ

PO6 Comunicar la dirección y objetivos de la gerencia P S þ

PO7 Administrar los recursos humanos P P þ

PO8 Asegurar el apego a disposiciones externas P P S þ þ þ

PO9 Evaluar riesgos S S P P P S S þ þ þ þ þ

P010 Administrar proyectos P P þ þ þ þ

PO11 Administrar calidad P P P S þ þ

Adquisición e AI1 Identificar soluciones de automatización P S þ þ þ

Implementación AI2 Adquirir y mantener software de aplicación P P S S S þ

AI3 Adquirir y mantener la arquitectura tecnológica P P S þ

AI4 Desarrollar y mantener procedimientos P P S S S þ þ þ þ

AI5 Instalar y acreditar sistemas de información P S S þ þ þ þ þ

AI6 Administrar cambios P P P P S þ þ þ þ þ

Entrega de servicios y DS1 Definir niveles de servicio P P S S S S S þ þ þ þ þ

Soporte DS2 Administrar servicios de terceros P P S S S S S þ þ þ þ þ

DS3 Administrar desempeño y capacidad P P S þ þ þ

DS4 Asegurar continuidad de servicio P S P þ þ þ þ þ

DS5 Garantizar la seguridad de sistemas P P S S S þ þ þ þ þ

DS6 Identificar y asignar costos P P þ þ þ þ þ

DS7 Educar y capacitar a usuarios P S þ

DS8 Apoyar y orientar a clientes P þ þ

DS9 Administrar la configuración P S S þ þ þ

DS10 Administrar problemas e incidentes P P S þ þ þ þ þ

DS11 Administrar la información P P þ

DS12 Administrar las instalaciones P P þ

DS13 Administrar la operación P P S S þ þ þ þ þ

Monitoreo M1 Monitorear el proceso P S S S S S S þ þ þ þ þ

M2 Evaluar lo adecuado del control interno P P S S S S S þ þ þ þ þ

M3 Obtener aseguramiento independiente P P S S S S S þ þ þ þ þ

M4 Proporcionar auditoría independiente P P S S S S S þ þ þ þ þ



OBJE TIVOS DE CONTROL P ARA LA INFORMACIÓN Y TECNOLOGÍAS A

INFORMATION SYSTEMS AUDIT AND CONTROL FOUNDATION 19BORRADOR

I NFORMATION S YSTEMS AUDIT AND CONTROL ASSOCIATION

U n a f u e n t e i n t e r n a c io n a l ú n i c a p a r a C on t r o le s e n T e c n o lo g ía d e I n fo r m a c ió n

ARABIA SAUDITA

ARGENTINA

ARUBA

AUSTRALIAAUSTRIA

BAHAMAS

BAHRAIN

BANGLADESH

BARBADOS

BÉLGICA

BERMUDAS

BOLIVIA

BOTSWANA

BRASIL

BRUENI

CANADA

COLOMBIA

COREA

COSTA DE MARFILCOSTA RICA

CROACIA

CURAZAO

CHILE

CHIPRE

DINAMARCA

ECUADOR

EGIPTO

EMIRATOS ARABES UNIDOS

ESCOCIA

ESLOVENIA

ESPAÑA

ESTADOS UNIDOS DE AMÉRICA

ESTONIA

FILIPINAS

FINLANDIA

ALEMANIA

FRANCIA

GHANA

GRECIA

GUAM

GUATEMALA

HOLANDA

HONDURAS

HONG KONG

HUNGRÍA

INDIA

INDONESIA

INGLATERRA

IRLANDA

ISLANDIA

ISLAS FAEROE

ISRAEL

ITALIA

La Information Systems Audit and

Control Association es una

organización global, líder y

representada por miembros en más

de 100 países, abarcando todos los

niveles de tecnología de

información–ejecutivos,

presidencias, gerencia media y

facultativos. La Asociación se ha

posicionado en forma única para

desempeñar el papel de fuente

central coordinadora de estándares

de prácticas de control para TI en

todo el mundo. Sus alianzas

estratégicas con otros grupos en las

áreas financieras, contables y de TI

aseguran un nivel de integración y

compromiso sin paralelo por parte

de los propietarios de procesos de

negocio.

Programas y Servicios de la

Asociación

Los programas y servicios de la

Asociación han logrado distinguirse

estableciendo los niveles más altos de

excelencia en cuanto a certificación,

estándares, educación profesional y

publicaciones técnicas.

l Su programa de certificación

(Certified Information Systems Auditor) es la única designaciónglobal en toda la comunidad decontroles y auditoría de TI.

l Sus actividades de estándares

establecen una base de calidad según la cual se miden otrasactividades de auditoría y

control. Su programa de

educación profesional ofrececonferencias técnicas yadministrativas en cincocontinentes, así como seminariosen todo el mundo para ayudar alos profesionales a recibir unaeducación continua de alta

calidad.l Su área de publicaciones técnicas

proporciona referencias ymaterial para el desarrollo

profesional con el fin deaumentar su ya distinguidaselección de programas yservicios.

La Information Systems Audit and

Control Association fue formada en

1969 para satisfacer las necesidades

únicas y diversas de alta tecnología

del campo de TI. En una industria en

la que el progreso es medido en

nanosegundos, ISACA ha

reaccionado con agilidad y velocidad

para cubrir las necesidades de la

comunidad de negocios internacional

y de la profesión de controles de TI.

Para Mayor Información

Para recibir información adicionalpuede llamar al (+1.847.253.1545),enviar un e-mail a([email protected]) o visitarnuestra página web(www.isaca.org).

J

JO

L IECHT

LLUXEM

MM

NNO

NUEVA

NUEVA ZE

PAÍS DE

PA

P

PPO

REPÚBLICA

REPÚBLICA DOM

REPÚBLICA ES

SA

SANT

SEYC

SIN

SR

SUD

TA

TA

TA

TRINIDAD Y TTU

UR

VEN

V

Z

Objetivos Control Interno TI Cobit[1]

Documents

Transcript of Objetivos Control Interno TI Cobit[1]