objetivos control interno ti cobit[1]
TRANSCRIPT
5/9/2018 Objetivos Control Interno TI Cobit[1] - slidepdf.com
http://slidepdf.com/reader/full/objetivos-control-interno-ti-cobit1 1/19
OBJETIVOS DE CONTROL PARA LA INFORMACIÓN Y TECNOLOGÍAS
1 RESUMEN E JECUTIVO
COBITR ESUMEN E J E C U TIVO
Ab r i l d e 1998
2d a Ed ic ió n
Em itido por Comité Directivo de COBIT yla Information S ystem s Aud it and Control Foun dation
La Misión de COBIT:
Investigar, desarrollar, publicar y promover un conjunto de objetivos de control en
tecnología de información con autoridad, actualizados, de carácter internacional yaceptados generalmente para el uso cotidiano de gerentes de empresas y
auditores.
5/9/2018 Objetivos Control Interno TI Cobit[1] - slidepdf.com
http://slidepdf.com/reader/full/objetivos-control-interno-ti-cobit1 2/19
OBJETIVOS DE CONTROL PARA LA INFORMACIÓN Y TECNOLOGÍAS
2 RESUMEN E JECUTIVO
Lími t e de Responsab i l i dad
La Information Systems Audit and ControlFoundation y los patrocinadores de COB IT: Objetivosde Control para la Información y Tecnologías afines,han diseñado este producto principalmente como un afuente de instrucción para los profesionalesdedicados a las actividades de control. La
Information Systems Audit and Control Foundation
y los patrocinadores no declaran que el uso de esteproducto asegurará un resultado exitoso. No deberáconsiderarse que este producto incluye todos losprocedimientos o pruebas apropiados o que excluyeotros procedimientos y pruebas que esténrazonablemente dirigidos hacia la obtención de los
mismos resultados. Para determinar la convenienciade cualquier prueba o procedimiento específico, losexpertos en control deberán aplicar su propio juicioprofesiona l a las circunst an cias de cont rol especialespresentadas por cada entorno de sistemas enparticular.
Acuer do de Licenc ia (disclosure)
Copyright 1996, 1998 de la Information Systems
Audit and Control Foundation (ISACF ). Lareproducción para fines comerciales no estápermitida sin el pr evio consent imiento por escrito dela ISACF. Se otorga permiso para reproducir elResumen Ejecutivo, el Marco Referencial y losObjetivos de Control para uso interno no comercial,incluyendo almacenamiento en medios derecuperación de datos y transmisión en cualquiermedio, incluyendo electrónico, mecánico, grabado uotro medio. Todas las copias de el ResumenEjecutivo, el Marco Referencial y los Objetivos deControl deben incluir el siguiente reconocimiento y
leyenda de derechos de autor:Copyright 1996, 1998 Information Systems Audit
and Control Foundation, reimpreso con la
aut orización de la Information Systems Audit andControl Foundation . Ningún otro derecho o permisorelacionado con esta obra es otorgado.
La s Guías de Auditoría y el conjunto de herramientas
de im plement ación no pueden ser reproducidos,almacenados en un sistema de recuperación de datoso transmitido en ninguna forma ni por ningún medio–electrónico, mecánico, fotocopiado, grabado u otromedio- sin la previa autorización por escrito de laISACF.
Excepto por lo indicado, no se otorga ningún otroderecho o permiso relacionado con esta obra.
Information Systems Audit and Control Foundation3701 Algonquin Road, Suite 1010
Rolling Mea dows, Illinois 60008 USA.
Teléfono: 1+847.253.1525
Fax: 1+847.253.1443
E-mail: [email protected]
Web site: www.isaca.org
Impr eso en la República Mexicana .
5/9/2018 Objetivos Control Interno TI Cobit[1] - slidepdf.com
http://slidepdf.com/reader/full/objetivos-control-interno-ti-cobit1 3/19
OBJETIVOS DE CONTROL PARA LA INFORMACIÓN Y TECNOLOGÍAS
3 RESUMEN E JECUTIVO
R ESUMEN E J ECU TIVO
Un elemento crítico para el éxito y la supervivencia de lasorganizaciones, es la administración efectiva de la información y de laTecnología de Información (TI) relacionada. En esta sociedad global(donde la información viaja a través del “ciberespacio” sin lasrestricciones de tiempo, distancia y velocidad) esta criticalidad emergede:
l la creciente dependencia en información y en los sistemas queproporcionan dicha información
l la creciente vulnerabilidad y un amplio espectro de amenazas,tales como las “ciber amenazas” y la guerra de información 1
l la escala y el costo de las inversiones actuales y futuras eninformación y en tecnología de información; y
l el potencial que tienen las tecnologías para cambiar radicalmentelas organizaciones y las prácticas de negocio, crear nuevasoportunidades y reducir costos
Para muchas organizaciones, la información y la tecnología que lasoporta, representan los activos mas valiosos de la empresa.
Es más, en nuestro competitivo y rápidamente cambiante ambienteactual, la gerencia ha incrementado sus expectativas relacionadas conla entrega de servicios de TI. Verdaderamente, la información y lossistemas de información son “penetrantes” en las organizaciones(desde la plataforma del usuario hasta las redes locales o amplias,cliente servidor y equipos Mainframe. Por lo tanto, la administraciónrequiere niveles de servicio que presenten incrementos en calidad, enfuncionalidad y en facilidad de uso, así como un mejoramientocontinuo y una disminución de los tiempos de entrega) al tiempo quedemanda que esto se realice a un costo más bajo. Muchas
organizaciones reconocen los beneficios potenciales que la tecnología puede proporcionar. Las organizaciones exitosas, sin
embargo, también comprenden y administran los riesgos asociados
con la implementación de nueva tecnología. Por lo tanto, laadministración debe tener una apreciación por, y un entendimientobásico de los riesgos y limitantes del empleo de la tecnología deinformación para proporcionar una dirección efectiva y controlesadecuados. COBIT ayuda a salvar las brechas existentes entre riesgosde negocio, necesidades de control y aspectos técnicos. Proporciona“prácticas sanas” a través de un Marco Referencial de dominios yprocesos y presenta actividades en una estructura manejable y lógica.Las prácticas sanas de COBIT representan el consenso de los expertos(le ayudarán a optimizar la inversión en información, pero aún másimportante, representan aquello sobre lo usted será juzgado si las cosassalen mal.
Las organizaciones deben cumplir con requerimientos de calidad, de
reportes fiduciarios y de seguridad, tanto para su información, comopara sus activos. La administración deberá obtener un balanceadecuado en el empleo de sus recursos disponibles, los cuales incluyen:personal, instalaciones, tecnología, sistemas de aplicación y datos.Para cumplir con esta responsabilidad, así como para alcanzar susexpectativas, la administración deberá establecer un sistema adecuado
1
G u e r r a d e i n f or m a c ió n : Inform ation warfare
de control interno. Por lo tanto, este sistema o marco referencial deberáexistir para proporcionar soporte a los procesos de negocio y debe serpreciso en la forma en la que cada actividad individual de controlsatisface los requerimientos de información y puede impactar a losrecursos de TI. El impacto en los recursos de TI es enfatizado en elMarco Referencial de COBIT conjuntamente a los requerimientos deinformación del negocio que deben ser alcanzados: efectividad,eficiencia, confidencialidad, integridad, disponibilidad, cumplimiento yconfiabilidad. El control, que incluye políticas, estructuras, prácticas yprocedimientos organizacionales, es responsabilidad de laadministración.
La administración, mediante este gobierno corporativo2, debe asegurar
que la debida diligencia sea ejercitada por todos los individuosinvolucrados en la administración, empleo, diseño, desarrollo,
mantenimiento u operación de sistemas de información.Un Objetivo de Control en TI es una definición del resultado opropósito que se desea alcanzar implementando procedimientos decontrol específicos dentro de una actividad de TI.
La orientación a negocios es el tema principal de COBIT. Estadiseñado no solo para ser utilizado por usuarios y auditores, sino queen forma más importante, esta diseñado para ser utilizado como unalista de verificación3 detallada para los propietarios de los procesos denegocio. En forma incremental, las prácticas de negocio requieren deuna mayor delegación y otorgamiento de autoridad 4 de los dueños deprocesos para que estos posean total responsabilidad de todos losaspectos relacionados con dichos procesos de negocio. En formaparticular, esto incluye el proporcionar controles adecuados. El MarcoReferencial de COBIT proporciona herramientas al propietario deprocesos de negocio que facilitan el cumplimiento de esta
responsabilidad. El Marco Referencial comienza con una premisasimple y práctica:
Con el fin de proporcionar la información que la empresa
necesita para alcanzar sus objetivos, los recursos de TI
deben ser administrados por un conjunto de procesos de TI
agrupados en forma natural.
Continúa con un conjunto de 34 Objetivos de Control de alto nivel,uno para cada uno de los Procesos de TI, agrupados en cuatrodominios: planeación & organización, adquisición & implementación,entrega (de servicio) y monitoreo. Esta estructura cubre todos losaspectos de información y de la tecnología que la soporta. Dirigiendoestos 34 Objetivos de Control de alto nivel, el propietario de procesosde negocio podrá asegurar que se proporciona un sistema de controladecuado para el ambiente de tecnología de información.Adicionalmente, correspondiendo a cada uno de los 34 objetivos de
control de alto nivel, existe una guía de auditoría o de aseguramientoque permite la revisión de los procesos de TI contra los 302 objetivosdetallados de control recomendados por COBIT para proporcionar a laGerencia la certeza de su cumplimiento y/o una recomendación para su
2 Gobie r no co r por a t ivo : Corporate governance3 Lista de ver i ficación : Check List 4 O t o r g a m i en t o d e a u t o r i d a d : Empowerment
5/9/2018 Objetivos Control Interno TI Cobit[1] - slidepdf.com
http://slidepdf.com/reader/full/objetivos-control-interno-ti-cobit1 4/19
OBJETIVOS DE CONTROL P ARA LA INFORMACIÓN Y TECNOLOGÍAS AFINE S
INFORMATION SYSTEMS AUDIT AND CONTROL FOUNDATION 4
mejora. COBIT contiene un conjunto de herramientas deimplementación que proporciona lecciones aprendidas por empresasque rápida y exitosamente aplicaron COBIT en sus ambientes de
trabajo. Incluye un Resumen Ejecutivo para el entendimiento y lasensibilización de la alta gerencia sobre los principios y conceptosfundamentales de COBIT. La guía de implementación cuenta con dosútiles herramientas (Diagnóstico de Sensibilización Gerencial5 yDiagnóstico de Control en TI 6) para proporcionar asistencia en elanálisis del ambiente de control en una organización.
El Marco Referencial COBIT otorga especial importancia al impactosobre los recursos de TI, así como a los requerimientos de negocios encuanto a efectividad, eficiencia, confidencialidad, integridad,disponibilidad, cumplimiento y confiabilidad que deben ser satisfechos.Además, el Marco Referencial proporciona definiciones para losrequerimientos de negocio que son derivados de objetivos de controlsuperiores en lo referente a calidad, seguridad y reportes fiduciarios entanto se relacionen con Tecnología de Información.
5 Diagnós t i co de Sen s ib i li zac ión Ger enc ia l :
Management Awareness Diagnostic6 Diagnós t i co de Con t r o l en TI : IT Control
Diagnostic
La administración de una empresa requiere de prácticas generalmenteaplicables y aceptadas de control y gobierno en TI para medir en forma
comparativa
7
tanto su ambiente de TI existente, como su ambienteplaneado.
COBIT es una herramienta que permite a los gerentes comunicarse ysalvar la brecha existente entre los requerimientos de control, aspectostécnicos y riesgos de negocio. COBIT habilita el desarrollo de unapolítica clara y de buenas prácticas de control de TI a través deorganizaciones, a nivel mundial. El objetivo de COBIT es proporcionarestos objetivos de control, dentro del marco referencial definido, yobtener la aprobación y el apoyo de las entidades comerciales,gubernamentales y profesionales en todo el mundo.
Por lo tanto, COBIT esta orientado a ser la herramienta degobierno de TI que ayude al entendimiento y a la administraciónde riesgos asociados con tecnología de información y contecnologías relacionadas.
7 M e d ir e n f o r m a c o m p a r a t i v a : Benchmark
5/9/2018 Objetivos Control Interno TI Cobit[1] - slidepdf.com
http://slidepdf.com/reader/full/objetivos-control-interno-ti-cobit1 5/19
OBJETIVOS DE CONTROL PARA LA INFORMACIÓN Y TECNOLOGÍAS
5 RESUMEN E JECUTIVO
RECURSOS DE TI
• datos• sistemas de
aplicación• tecnología• instalaciones• gente
PLANEACION YORGANIZACION
ADQUISICION EIMPLEMENTACIONENTREGA Y
SOPORTE
MONITOREO
PO1 Definir un Plan Estratégico deTecnología de Información
PO2 Definir la Arquitectura de InformaciónPO3 Determinar la dirección tecnológicaPO4 Definir la Organización y de las
Relaciones de TIPO5 Manejar la Inversión en Tecnología de
InformaciónPO6 Comunicar la dirección y aspiraciones de
la gerenciaPO7 Administrar Recursos HumanosPO8 Asegurar el Cumplimiento de
Requerimientos ExternosPO9 Evaluar RiesgosPO10 Administrar proyectosPO11 Administrar Calidad
AI1 Identificar SolucionesAI2 Adquirir y Mantener Software de
AplicaciónAI3 Adquirir y Mantener Arquitectura de
Tecnología
AI4 Desarrollar y Mantener Procedimientosrelacionados con TIAI5 Instalar y Acreditar SistemasAI6 Administrar Cambios
DS1 Definir Niveles de ServicioDS2 Administrar Servicios prestados por TercerosDS3 Administrar Desempeño y CapacidadDS4 Asegurar Servicio Continuo
DS5 Garantizar la Seguridad de SistemasDS6 Identificar y Asignar CostosDS7 Educar y Entrenar a los UsuariosDS8 Apoyar y Asistir a los Clientes de TIDS9 Administrar la ConfiguraciónDS10 Administrar Problemas e IncidentesDS11 Administrar DatosDS12 Administrar InstalacionesDS13 Administrar Operaciones
M1 Monitorear los procesosM2 Evaluar lo adecuado del control
InternoM3 Obtener aseguramiento
independienteM4 Proporcionar auditoría independiente
INFORMACION
• efectividad• eficiencia• confidencialidad• integridad• disponibilidad• cumplimiento• confiabilidad
COBITCOBIT
OBJETIVOS DE NEGOCIO
5/9/2018 Objetivos Control Interno TI Cobit[1] - slidepdf.com
http://slidepdf.com/reader/full/objetivos-control-interno-ti-cobit1 6/19
OBJETIVOS DE CONTROL P ARA LA INFORMACIÓN Y TECNOLOGÍAS AFINE S
INFORMATION SYSTEMS AUDIT AND CONTROL FOUNDATION 6
ANTECEDENTES
DESARROLLO DEL PRODUCTO COBIT
C OBIT ha sido desarrollado como un estándargeneralmente aplicable y aceptado para las buenasprácticas de seguridad y control en Tecnología deInformación (TI). – COBIT es la herramientainnovadora para el gobierno8 de TI -.
C OBIT se fundamenta en los Objetivos de Controlexistentes de la Information Systems Audit and Control
Foundation (ISACF), mejorados a partir de estándaresinternacionales técnicos, profesionales, regulatorios yespecíficos para la industria, tanto existentes como ensurgimiento. Los Objetivos de Control resultantes hansido desarrollados para su aplicación en sistemas deinformación en toda la empresa. El término“generalmente aplicables y aceptados” es utilizadoexplícitamente en el mismo sentido que los Principios deContabilidad Generalmente Aceptados (PCGA o GAAPpor sus siglas en inglés). Para propósitos del proyecto,“buenas prácticas” significa consenso por parte de losexpertos.
Este estándar es relativamente pequeño en tamaño, conel fin de ser práctico y responder, en la medida de loposible, a las necesidades de negocio, manteniendo al
mismo tiempo una independencia con respecto a lasplataformas técnicas de TI adoptadas en unaorganización. El proporcionar indicadores dedesempeño (normas, reglas, etc.), ha sido identificadocomo prioridad para las mejoras futuras que serealizarán al marco referencial.
El desarrollo de C OBIT ha traído como resultado lapublicación del Marco Referencial general y de losObjetivos de Control detallados, y le seguiránactividades educativas. Estas actividades asegurarán eluso general de los resultados del Proyecto deInvestigación COBIT.
Se determinó que las mejoras a los objetivos de control
originales debería consistir en:
è el desarrollo de un marco referencial paracontrol en TI como fundamento para los
8 Gobie r no : Governance. Término aplicado para
definir u n cont rol total
objetivos de control en TI y como una guíapara la investigación consistente en auditoríay control de TI;
è una alineación del marco referencial general yde los objetivos de control individuales, conestándares y regulaciones internacionalesexistentes de hecho y de derecho; y
è una revisión crítica de las diferentesactividades y tareas que conforman losdominios de control en TI y, cuando fueseposible, la especificación de indicadores dedesempeño relevantes (normas, reglas, etc.) y
è una revisión crítica y actualización de lasguías actuales para desarrollo de auditorías desistemas de información
Sin excluir ningún otro estándar aceptado en el campodel control de sistemas de información que pudieraemitirse durante la investigación, las fuentes han sidoidentificadas inicialmente como:
Estándares Técnicos de ISO, EDIFACT, etc.Códigos de Conducta emitidos por el Council of
Europe, OECD, ISACA, etc.;Criterios de Calificación para sistemas y procesos
de TI: ITSEC, ISO9000, SPICE, IickIT, etc.;Estándares Profesionales para control interno yauditoría: reporte COSO, GAO, IFAC, IIA, ISACA,estándares CPA, etc.;Prácticas y requerimientos de la Industria deforos industriales (ESF, 14) y plataformaspatrocinadas por el gobierno (IBAG, NIST, DTI); yNuevos requerimientos específicos de la industriade la banca y manufactura de TI.
(Ver Apéndice III Glosario de Términos paradefiniciones de siglas)
DEFINICIÓN DEL PRODUCTO COBITEl desarrollo de COBIT ha resultado en la publicación de:
l un Resumen Ejecutivo el cual, adicionalmente a estasección de antecedentes, consiste en un SíntesisEjecutiva (que proporciona a la alta gerenciaentendimiento y conciencia sobre los conceptos clave y
5/9/2018 Objetivos Control Interno TI Cobit[1] - slidepdf.com
http://slidepdf.com/reader/full/objetivos-control-interno-ti-cobit1 7/19
OBJETIVOS DE CONTROL P ARA LA INFORMACIÓN Y TECNOLOGÍAS AFINE S
INFORMATION SYSTEMS AUDIT AND C ONTROL F OUNDATION 7
principios de COBIT) y el Marco Referencial (el cualproporciona a la alta gerencia un entendimiento más
detallado de los conceptos clave y principios de COBIT eidentifica los cuatro dominios de COBIT y loscorrespondientes 34 procesos de TI);
l el Marco Referencial que describe en detalle los 34objetivos de control de alto nivel e identifica losrequerimientos de negocio para la información y losrecursos de TI que son impactados en forma primaria porcada objetivo de control;
l Objetivos de Control , los cuales contienen declaracionesde los resultados deseados o propósitos a ser alcanzadosmediante la implementación de 302 objetivos de controldetallados y específicos a través de los 34 procesos deTI;
l Guías de Auditoría, las cuales contienen los pasos deauditoría correspondientes a cada uno de los 34 objetivos
de control de TI de alto nivel para proporcionarasistencia a los auditores de sistemas en la revisión de losprocesos de TI con respecto a los 302 objetivosdetallados de control recomendados para proporcionar ala gerencia certeza o una recomendaciones demejoramiento;
l un Conjunto de Herramientas de Implementación, elcual proporciona lecciones aprendidas pororganizaciones que han aplicado COBIT rápida yexitosamente en sus ambientes de trabajo.
El Conjunto de Herramientas de Implementación incluye laSíntesis Ejecutiva, proporcionando a la alta gerenciaconciencia y entendimiento de COBIT. También incluye una
guía de implementación con dos útiles herramientas –Diagnóstico de la Conciencia de la Gerencia 9 y el Diagnósticode Control de TI 10 - para proporcionar asistencia en el análisisdel ambiente de control en TI de una organización. También seincluyen varios casos de estudio que detallan comoorganizaciones en todo el mundo han implementado COBITexitosamente. Adicionalmente, se incluyen respuestas a las 25preguntas mas frecuentes acerca de COBIT y variaspresentaciones para distintos niveles jerárquicos y audienciasdentro de las organizaciones.
EVOLUCIÓN DEL PRODUCTO COBIT COBIT evolucionará a través de los años y será el fundamentode investigaciones futuras. Por lo tanto, se generará un familia
9 Diagnós t i co de l a Conc ienc ia de l a Ger en c ia : Management A wareness Diagnostic
10 Diagnós t i co de Con t r o l de TI : IT Control
Diagnostic
de productos COBIT y al ocurrir esto, las tareas y actividadesque sirven como la estructura para organizar los Objetivos de
Control de TI, serán refinadas posteriormente, también serárevisado el balance entre los dominios y los procesos a la luzde los cambios en la industria.Una temprana adición significativa visualizada para la familiade productos COBIT, es el desarrollo de las Guías deGerenciales 11 que incluyen Factores Críticos de Exito,Indicadores Clave de Desempeño y Medidas Comparativas 12.Esta adición proporcionará herramientas a la gerencia paraevaluar el ambiente de TI de su organización con respecto a los34 Objetivos de Control de alto nivel de COBIT. Los FactoresCríticos de Exito identificarán los aspectos o acciones másimportantes para la administración y poder así tomar dichasaciones o considerar los aspectos para lograr control sobre susprocesos de TI. Los Indicadores Clave de Desempeñoproporcionarán medidas de éxito que permitan conocer a la
gerencia si un proceso de TI esta alcanzando losrequerimientos de negocio. La Medidas Comparativasdefinirán niveles de madurez que pueden ser utilizadas por lagerencia para: (1) determinar el nivel actual de madurez de laempresa; (2) determinar el nivel de madurez que desea lograr,como una función de sus riesgos y objetivos; y (3)proporcionar una base de comparación de sus prácticas decontrol de TI contra empresas similares o normas de laindustria. Esta adición proporcionará herramientas a lagerencia para evaluar el ambiente de TI de su organizacióncon respecto a los 34 Objetivos de Control de alto nivel deCOBIT.Las investigaciones y publicaciones han sido posible gracias acontribuciones de Unysis, Unitech Systems, Inc., MIS TrainingInstitute, Zergo, Ltd., y Coopers & Lybrand. El ForumEuropeo de Seguridad (European Security Forum –ESF-)amablemente puso a disposición material para el proyecto.Otras donaciones fueron recibidas de capítulos miembros deISACA de todo el mundo.
11 Guías ge r enc ia l e s : Management Gu idelines12 M e d id a s c o m p a r a t i v a s : Benchmarks
5/9/2018 Objetivos Control Interno TI Cobit[1] - slidepdf.com
http://slidepdf.com/reader/full/objetivos-control-interno-ti-cobit1 8/19
OBJETIVOS DE CONTROL PARA LA INFORMACIÓN Y TECNOLOGÍAS
8 RESUMEN E JECUTIVO
El Marco Referencial de COBIT
ESTABLECIENDO LA ESCENA
LA NECESIDAD DE CONTROL ENTECNOLOGIA DE INFORMACION
En años recientes, ha sido cada vez más evidente paralos legisladores, usuarios y proveedores de servicios lanecesidad de un Marco Referencial para la seguridad yel control de tecnología de información (TI). Unelemento crítico para el éxito y la supervivencia de lasorganizaciones, es la administración efectiva de lainformación y de la Tecnología de Información (TI)
relacionada. En esta sociedad global (donde lainformación viaja a través del “ciberespacio” sin lasrestricciones de tiempo, distancia y velocidad) estacriticalidad emerge de:
l la creciente dependencia en información y en lossistemas que proporcionan dicha información
l la creciente vulnerabilidad y un amplio espectro deamenazas, tales como las “ciber amenazas” y laguerra de información 13
l la escala y el costo de las inversiones actuales yfuturas en información y en tecnología deinformación; y
l el potencial que tienen las tecnologías para cambiarradicalmente las organizaciones y las prácticas denegocio, crear nuevas oportunidades y reducircostos
Para muchas organizaciones, la información y latecnología que la soporta, representan los activos masvaliosos de la empresa. Verdaderamente, la informacióny los sistemas de información son “penetrantes” en lasorganizaciones (desde la plataforma del usuario hasta lasredes locales o amplias, cliente servidor y equipos
Mainframe. Muchas organizaciones reconocen los
beneficios potenciales que la tecnología puede
proporcionar. Las organizaciones exitosas, sinembargo, también comprenden y administran los
riesgos asociados con la implementación de nueva tecnología. Por lo tanto, la administración debe teneruna apreciación por, y un entendimiento básico de los
13 G u e r r a d e i n f or m a c ió n : Inform ation warfare
riesgos y limitantes del empleo de la tecnología deinformación para proporcionar una dirección efectiva ycontroles adecuados
La administración debe decidir la inversión razonableen seguridad y control en TI y cómo lograr un balanceentre riesgos e inversiones en control en un ambiente deTI frecuentemente impredecible. La administraciónnecesita un Marco Referencial de prácticas de seguridady control de TI generalmente aceptadas para medir
comparativamente su ambiente de TI, tanto el existentecomo el planeado.
Existe una creciente necesidad entre los USUARIOS encuanto a la seguridad en los servicios TI, a través de laacreditación y la auditoría de servicios de TIproporcionados internamente o por terceras partes, queaseguren la existencia de controles adecuados.Actualmente, sin embargo, es confusa laimplementación de buenos controles de TI en sistemasde negocios por parte de entidades comerciales,entidades sin fines de lucro o entidadesgubernamentales. Esta confusión proviene de losdiferentes métodos de evaluación, tales como ITSEC,
TCSEC, evaluaciones ISO9000, nuevas evaluaciones decontrol interno COSO, etc. Como resultado, losusuarios necesitan una base general a ser establecidacomo primer paso.
Frecuentemente, los AUDITORES han tomado elliderazgo en estos esfuerzos internacionales deestandarización, debido a que ellos enfrentancontinuamente la necesidad de sustentar y apoyar frentea la Gerencia su opinión acerca de los controles internos.Sin contar con un marco referencial, ésta se convierte enuna tarea demasiado complicada. Esto ha sido mostradoen varios estudios recientes acerca de la manera en laque los auditores evalúan situaciones complejas de
seguridad y control en TI, estudios que fueron dados aconocer casi simultáneamente en diferentes partes delmundo. Incluso, la administración consulta cada vezmás a los auditores para que la asesoren en formaproactiva en lo referente a asuntos de seguridad ycontrol de TI.
5/9/2018 Objetivos Control Interno TI Cobit[1] - slidepdf.com
http://slidepdf.com/reader/full/objetivos-control-interno-ti-cobit1 9/19
OBJETIVOS DE CONTROL P ARA LA INFORMACIÓN Y TECNOLOGÍAS AFINE S
INFORMATION SYSTEMS AUDIT AND C ONTROL F OUNDATION 9
EL AMBIENTE DE NEGOCIOS:COMPETENCIA, CAMBIO & COSTOS
La competencia global es ya un hecho. Lasorganizaciones se reestructuran con el fin deperfeccionar sus operaciones y al mismo tiempoaprovechar los avances en tecnología de sistemas deinformación para mejorar su posición competitiva. Lareingeniería en los negocios, las reestructuraciones, eloutsourcing, las organizaciones horizontales y elprocesamiento distribuido son cambios que impactan lamanera en la que operan tanto los negocios como lasentidades gubernamentales. Estos cambios han tenido ycontinuarán teniendo, profundas implicaciones para laadministración y las estructuras de control operacionaldentro de las organizaciones en todo el mundo.
La especial atención prestada a la obtención de ventajascompetitivas y a la economía implica una dependenciacreciente en la computación como el componente másimportante en la estrategia de la mayoría de lasorganizaciones. La automatización de las funcionesorganizacionales, por su naturaleza, dicta laincorporación de mecanismos de control más poderososen las computadoras y en las redes, tanto los basados enhardware como los basados en software. Además, lascaracterísticas estructurales fundamentales de estoscontroles están evolucionando al mismo paso que lastecnologías de computación y las redes.
Si los administradores, los especialistas en sistemas deinformación y los auditores desean en realidad sercapaces de cumplir con sus tareas en forma efectivadentro de un marco contextual de cambios acelerados,deberán aumentar y mejorar sus habilidades tanrápidamente como lo demandan la tecnología y elambiente. Debemos comprender la tecnología decontroles involucrada y su naturaleza cambiante sideseamos emitir y ejercer juicios razonables y prudentesal evaluar las prácticas de control que se encuentran enlos negocios típicos o en las organizacionesgubernamentales.
RESPUESTA A LAS NECESIDADES
En vista de estos continuos cambios, el desarrollo deeste Marco Referencial de objetivos de control para TI,conjuntamente con una investigación continua aplicadaa controles de TI basada en este marco referencial,constituyen el fundamento para el progreso efectivo enel campo de los controles de sistemas de información.
Por otro lado, hemos sido testigos del desarrollo ypublicación de modelos de control generales denegocios como COSO [Committee of Sponsoring
Organisations of the Treadway Commisssion Internal
Control-Integrated Framework , 1992] en los EUA,Cadbury en el Reino Unido y CoCo en Canadá y Kingen Sudáfrica. Por otro lado, existe un número
importante de modelos de control más enfocados alnivel de tecnología de información. Algunos buenosejemplos de esta última categoría son el Security Code
of Conduct del DTI ( Department of Trade and Industry,Reino Unido) y el Security Handbook de NIST( National Institute of Standards and Technology, EUA).Sin embargo, estos modelos de control con orientaciónespecífica no proporcionan un modelo de controlcompleto y utilizable sobre tecnología de informacióncomo soporte para los procesos de negocio. El propósitode C OBI T es el cubrir este vacío proporcionando unabase que esté estrechamente ligada a los objetivos denegocio, al mismo tiempo que se enfoca a la tecnologíade información.
Un enfoque hacia los requerimientos de negocio encuanto a controles para tecnología de información y laaplicación de nuevos modelos de control y estándaresinternacionales relacionados, hicieron evolucionar losObjetivos de Control y pasar de una herramienta deauditoría, a C OBI T , que es una herramienta para laadministración. COBIT es, por lo tanto, la
herramienta innovadora para el gobierno de TI queayuda a la gerencia a comprender y administrar losriesgos asociados con TI.
Por lo tanto, el objetivo principal del proyecto C OBI T esel desarrollo de políticas claras y buenas prácticas para
la seguridad y el control de Tecnología de Información,con el fin de obtener la aprobación y el apoyo de lasentidades comerciales, gubernamentales y profesionalesen todo el mundo. La meta del proyecto es el desarrollar
5/9/2018 Objetivos Control Interno TI Cobit[1] - slidepdf.com
http://slidepdf.com/reader/full/objetivos-control-interno-ti-cobit1 10/19
OBJETIVOS DE CONTROL P ARA LA INFORMACIÓN Y TECNOLOGÍAS AFINE S
INFORMATION SYSTEMS AUDIT AND CONTROL FOUNDATION 10
estos objetivos de control principalmente a partir de laperspectiva de los objetivos y necesidades de la
empresa. Esto concuerda con la perspectiva COSO, queconstituye el primer y mejor marco referencial para laadministración en cuanto a controles internos.Posteriormente, los objetivos de control fuerondesarrollados a partir de la perspectiva de los objetivosde auditoría (certificación de información financiera,certificación de medidas de control interno, eficiencia yefectividad, etc.)
AUDIENCIA: ADMINISTRACION,USUARIOS & AUDITORES
COBIT esta diseñado para ser utilizado por tres
audiencias distintas:ADMINISTRACION:
Para ayudarlos a lograr un balance entre losriesgos y las inversiones en control en unambiente de tecnología de informaciónfrecuentemente impredecible.
USUARIOS:
Para obtener una garantía en cuanto a laseguridad y controles de los servicios detecnología de información proporcionadosinternamente o por terceras partes.
AUDITORES DE SISTEMAS DEINFORMACION:
Para dar soporte a las opiniones mostradas a laadministración sobre los controles internos.
Además de responder a las necesidades de la audienciainmediata de la Alta Gerencia, a los auditores y a losprofesionales dedicados al control y seguridad, C OBI T
puede ser utilizado dentro de las empresas por elpropietario de procesos de negocio en su responsabilidadde control sobre los aspectos de información delproceso, y por todos aquéllos responsables de TI en laempresa.
ORIENTACIÓN A OBJETIVOS DENEGOCIO
Los Objetivos de Control muestran una relación clara ydistintiva con los objetivos de negocio con el fin de
apoyar su uso en forma significativa fuera de lasfronteras de la comunidad de auditoría. Los Objetivos
de Control están definidos con una orientación a losprocesos, siguiendo el principio de reingeniería denegocios. En dominios y procesos identificados, seidentifica también un objetivo de control de alto nivelpara documentar el enlace con los objetivos delnegocio. Se proporcionan consideraciones y guías paradefinir e implementar el Objetivo de Control de TI.
La clasificación de los dominios a los que se aplican losobjetivos de control de alto nivel (dominios y procesos);una indicación de los requerimientos de negocio para lainformación en ese dominio, así como los recursos de TIque reciben un impacto primario por parte del objetivodel control, forman conjuntamente el marco Referencial
COBIT. El marco referencial toma como base lasactividades de investigación que han identificado 34objetivos de alto nivel y 302 objetivos detallados decontrol. El Marco Referencial fue mostrado a laindustria de TI y a los profesionales dedicados a laauditoría para abrir la posibilidad a revisiones, dudas ycomentarios. Las ideas obtenidas fueron incorporadasen forma apropiada.
DEFINICIONES
Para propósitos de este proyecto, se proporcionan las
siguientes definiciones. La definición de “Control” estáadaptada del reporte COSO [Committee of Sponsoring
Organisations of the Treadway Commission. Internal
Control-Integrated Framework , 1992 y la definiciónpara “Objetivo de Control de TI” ha sido adaptada delreporte SAC (Systems Auditability and Control Report).The Institute of Internal Auditors Research Foundation,1991 y 1994.
Control sedefine como
Control sedefine como
Las políticas, procedimientos,prácticas y estructurasorganizacionales diseñadas paragarantizar razonablemente quelos objetivos del negocio serán
alcanzados y que eventos nodeseables serán prevenidos odetectados y corregidos
5/9/2018 Objetivos Control Interno TI Cobit[1] - slidepdf.com
http://slidepdf.com/reader/full/objetivos-control-interno-ti-cobit1 11/19
OBJETIVOS DE CONTROL P ARA LA INFORMACIÓN Y TECNOLOGÍAS AFINE S
INFORMATION SYSTEMS AUDIT AND C ONTROL F OUNDATION 11
Objetivo decontrol en TI
se definecomo
Objetivo decontrol en TI
se definecomo
Una definición del resultado opropósito que se desea alcanzar
implementando procedimientosde control en una actividad deTI particular
5/9/2018 Objetivos Control Interno TI Cobit[1] - slidepdf.com
http://slidepdf.com/reader/full/objetivos-control-interno-ti-cobit1 12/19
OBJETIVOS DE CONTROL PARA LA INFORMACIÓN Y TECNOLOGÍAS
12 RESUMEN E JECUTIVO
LOS PRINCIPIOS DEL MARCO REFERENCIAL
Existen dos clases distintas de modelos de controldisponibles actualmente, aquéllos de la clase del“modelo de control de negocios” (por ejemplo COSO) ylos “modelos más enfocados a TI” (por ejemplo, DTI).C OBI T intenta cubrir la brecha que existe entre los dos.Debido a esto, COBIT se posiciona como unaherramienta más completa para la Administración y paraoperar a un nivel superior que los estándares detecnología para la administración de sistemas deinformación.. Por lo tanto, COBIT es el modelo para elgobierno de TI.
El concepto fundamental del marco referencial COBIT serefiere a que el enfoque del control en TI se lleva a cabo
visualizando la información necesaria para dar soporte alos procesos de negocio y considerando a la informacióncomo el resultado de la aplicación combinada derecursos relacionados con la Tecnología de Informaciónque deben ser administrados por procesos de TI.
Requerimientosde Negocio
Recursos de TIProcesos de TI
Para satisfacer los objetivos del negocio, la informaciónnecesita concordar con ciertos criterios a los que COBIThace referencia como requerimientos de negocio para la
información. Al establecer la lista de requerimientos,C OBI T combina los principios contenidos en los modelosreferenciales existentes y conocidos:
Requerimientosde calidad
Requerimientosde calidad
CalidadCostoEntrega (de servicio)
RequerimientosFiduciarios
(COSO)
RequerimientosFiduciarios
(COSO)
Efectividad & eficiencia deoperacionesConfiabilidad de la información
Cumplimiento de las leyes ®ulaciones
Requerimientosde Seguridad
Requerimientosde Seguridad
ConfidencialidadIntegridadDisponibilidad
La Calidad ha sido considerada principalmente por suaspecto ‘negativo’ (no fallas, confiable, etc.), lo cualtambién se encuentra contenido en gran medida en loscriterios de Integridad. Los aspectos positivos peromenos tangibles de la calidad (estilo, atractivo, “ver ysentir 14”, desempeño más allá de las expectativas, etc.)
no fueron, por un tiempo, considerados desde un puntode vista de Objetivos de Control de TI. La premisa serefiere a que la primera prioridad deberá estar dirigida almanejo apropiado de los riesgos al compararlos contralas oportunidades. El aspecto utilizable de la Calidadestá cubierto por los criterios de efectividad. Seconsideró que el aspecto de entrega (de servicio) de laCalidad se traslapa con el aspecto de disponibilidadcorrespondiente a los requerimientos de seguridad ytambién en alguna medida, con la efectividad y laeficiencia. Finalmente, el Costo es también consideradoque queda cubierto por Eficiencia.
Para los requerimientos fiduciarios, COBIT no intentó
reinventar le rueda – se utilizaron las definiciones deCOSO para la efectividad y eficiencia de operaciones,confiabilidad de información y cumplimiento con leyesy regulaciones -. Sin embargo, confiabilidad deinformación fue ampliada para incluir toda lainformación – no solo información financiera.
Con respecto a los aspectos de seguridad, CobiTidentificó la confidencialidad, integridad ydisponibilidad como los elementos clave, fuedescubierto que estos mismos tres elementos sonutilizados a nivel mundial para describir losrequerimientos de seguridad.
Comenzando el análisis a partir de los requerimientos deCalidad, Fiduciarios y de Seguridad más amplios, seextrajeron siete categorías distintas, ciertamentesuperpuestas.
14 Ver y Sen t i r : Look a nd Feel
5/9/2018 Objetivos Control Interno TI Cobit[1] - slidepdf.com
http://slidepdf.com/reader/full/objetivos-control-interno-ti-cobit1 13/19
OBJETIVOS DE CONTROL P ARA LA INFORMACIÓN Y TECNOLOGÍAS AFINE S
INFORMATION SYSTEMS AUDIT AND C ONTROL F OUNDATION 13
A continuación se muestran las definiciones de trabajode COBIT:
Efectividad
Efectividad Se refiere a que lainformación relevante seapertinente para el procesodel negocio, así como a quesu entrega sea oportuna,correcta, consistente y demanera utilizable.
Eficiencia
Eficiencia Se refiere a la provisión deinformación a través de lautilización óptima (másproductiva y económica) derecursos.
Confidencialidad
Confidencialidad Se refiere a la protección deinformación sensible contradivulgación no autorizada.
Integridad
Integridad Se refiere a la precisión ysuficiencia de lainformación, así como a suvalidez de acuerdo con losvalores y expectativas delnegocio.
Disponibilidad
Disponibilidad Se refiere a la
disponibilidad de lainformación cuando ésta esrequerida por el proceso denegocio ahora y en elfuturo. También se refierea la salvaguarda de losrecursos necesarios ycapacidades asociadas.
Cumplimiento
Cumplimiento Se refiere al cumplimientode aquellas leyes,regulaciones y acuerdoscontractuales a los que elproceso de negocios estásujeto, por ejemplo,criterios de negocioimpuestos externamente.
Confiabilidadde la
información
Confiabilidadde la
información
Se refiere a la provisión deinformación apropiada para
la administración con el finde operar la entidad y paraejercer susresponsabilidades dereportes financieros y decumplimiento.
Los recursos de TI identificados en COBIT puedenexplicarse/definirse como se muestra a continuación:
Datos
Datos Los elementos de datos en su másamplio sentido, (por ejemplo,
externos e internos), estructurados yno estructurados, gráficos, sonido,etc.
Aplicaciones
Aplicaciones Se entiende como sistemas deaplicación la suma deprocedimientos manuales yprogramados
Tecnología
Tecnología La tecnología cubre hardware,software, sistemas operativos,sistemas de administración de basesde datos, redes, multimedia, etc.
Instalaciones
Instalaciones Recursos para alojar y dar soporte alos sistemas de información
Personal
Personal Habilidades del personal,conocimiento, conciencia yproductividad para planear,organizar, adquirir, entregar,soportar y monitorear servicios ysistemas de información
El dinero o capital no fue considerado como un recursopara la clasificación de objetivos de control para TIdebido a que puede definirse como la inversión encualquiera de los recursos mencionados anteriormente ypodría causar confusión con los requerimientos deauditoría financiera.
5/9/2018 Objetivos Control Interno TI Cobit[1] - slidepdf.com
http://slidepdf.com/reader/full/objetivos-control-interno-ti-cobit1 14/19
OBJETIVOS DE CONTROL P ARA LA INFORMACIÓN Y TECNOLOGÍAS AFINE S
INFORMATION SYSTEMS AUDIT AND CONTROL FOUNDATION 14
El Marco referencial no menciona, en forma específicapara todos los casos, la documentación de todos los
aspectos “materiales” importantes relacionados con unproceso de TI particular. Como parte de las buenasprácticas, la documentación es considerada esencial paraun buen control y, por lo tanto, la falta de
documentación podría ser la causa de revisiones yanálisis futuros de controles de compensación en
cualquier área específica en revisión.Otra forma de ver la relación de los recursos de TI conrespecto a la entrega de servicios se describe acontinuación:
mensajeentrada
serviciosalida
TECNOLOGIATECNOLOGIA
INSTALACIONESINSTALACIONES
GENTEGENTE
Sistemas de AplicaciónSistemas de AplicaciónDatosDatos
Eventos
Objetivos de negocio
Oportunidades de negocio
Requerimientos externosRegulaciones
Riesgos
Información
Efectividad
Eficiencia
ConfidencialidadIntegridad
Disponibilidad
CumplimientoConfiabilidad
LOS PRINCIPIOS DEL MARCOREFERENCIAL, continúa
La información que los procesos de negocio necesitan esproporcionada a través del empleo de recursos de TI.Con el fin de asegurar que los requerimientos de negociopara la información son satisfechos, deben definirse,implementarse y monitorearse medidas de controladecuadas para estos recursos.
¿Cómo pueden entonces las empresas estar satisfechasrespecto a que la información obtenida presente lascaracterísticas que necesitan? Es aquí donde se requierede un sano marco referencial de Objetivos de Controlpara TI. El diagrama mostrado a continuación ilustraeste concepto.
PROCESOSPROCESOSDE NEGOCIODE NEGOCIO
INFORMACIONINFORMACION
RECURSOS DE TIRECURSOS DE TI
•• datosdatos•• sistemas de aplicaciónsistemas de aplicación•• tecnologíatecnología•• instalacionesinstalaciones•• gentegente
•• efectividadefectividad•• eficienciaeficiencia•• confidencialidadconfidencialidad•• integridadintegridad•• disponibilidaddisponibilidad•• cumplimientocumplimiento•• confiabilidadconfiabilidad
CriteriosCriterios
??¿ Concuerdan ?
5/9/2018 Objetivos Control Interno TI Cobit[1] - slidepdf.com
http://slidepdf.com/reader/full/objetivos-control-interno-ti-cobit1 15/19
OBJETIVOS DE CONTROL P ARA LA INFORMACIÓN Y TECNOLOGÍAS AFINE S
INFORMATION SYSTEMS AUDIT AND C ONTROL F OUNDATION 15
El marco referencial consta de Objetivos de Control deTI de alto nivel y de una estructura general para su
clasificación y presentación. La teoría subyacente parala clasificación seleccionada se refiere a que existen, enesencia, tres niveles de actividades de TI al considerar laadministración de sus recursos.
Comenzando por la base, encontramos las actividades ytareas necesarias para alcanzar un resultado medible.Las actividades cuentan con un concepto de ciclo devida, mientras que las tareas son consideradas másdiscretas. El concepto de ciclo de vida cuentatípicamente con requerimientos de control diferentes alos de actividades discretas. Algunos ejemplos de estacategoría son las actividades de desarrollo de sistemas,administración de la configuración y manejo de
cambios. La segunda categoría incluye tareas llevadas acabo como soporte para la planeación estratégica de TI,evaluación de riesgos, planeación de la calidad,administración de la capacidad y el desempeño.
Los procesos se definen entonces en un nivel superiorcomo una serie de actividades o tareas conjuntas con“cortes” naturales (de control).
Al nivel más alto, los procesos son agrupados de maneranatural en dominios. Su agrupamiento natural esconfirmado frecuentemente como dominios deresponsabilidad en una estructura organizacional, y estáen línea con el ciclo administrativo o ciclo de vida
aplicable a los procesos de TI.
Dominios
Procesos
Actividades
Por lo tanto, el marco referencial conceptual puede serenfocado desde tres puntos estratégicos: (1) recursos
de TI, (2) requerimientos de negocio para lainformación y (3) procesos de TI. Estos puntos de vistadiferentes permiten al marco referencial ser accedidoeficientemente.Por ejemplo, los gerentes de la empresa puedeninteresarse en un enfoque de calidad, seguridad ofiduciario (traducido por el marco referencial en sieterequerimientos de información específicos). UnGerente de TI puede desear considerar recursos de TIpor los cuales es responsable. Propietarios deprocesos, especialistas de TI y usuarios pueden tenerun interés en procesos particulares. Los auditorespodrán desear enfocar el marco referencial desde unpunto de vista de cobertura de control.Estos tres puntos estratégicos son descritos en el CuboCOBIT que se muestra a continuación:
P r o c e s
o s
d e
T I
G e
n t e
S
i s t e
m a s
T e c n o
l o g
í a
I n s
t a l a
c i o
n e s
D a
t o s
R e c u r s o s
d e T I
C a l i d
a d
F i d u
c i a r i o
s
S e g u
r i d a d
Criterios de información
Dominios
Procesos
Actividades
Con lo anterior como marco de referencia, los dominiosson identificados utilizando las palabras que la gerenciautilizaría en las actividades cotidianas de la organización–y no la “jerga15” del auditor -. Por lo tanto, cuatrograndes dominios son identificados: planeación yorganización, adquisición e implementación; entrega y
soporte y monitoreo.
15 J e r g a : Ja rgon
5/9/2018 Objetivos Control Interno TI Cobit[1] - slidepdf.com
http://slidepdf.com/reader/full/objetivos-control-interno-ti-cobit1 16/19
OBJETIVOS DE CONTROL P ARA LA INFORMACIÓN Y TECNOLOGÍAS AFINE S
INFORMATION SYSTEMS AUDIT AND CONTROL FOUNDATION 16
Las definiciones para los dominios mencionados son lassiguientes:
Planeación yorganización
Planeación yorganización
Este dominio cubre la estrategia ylas tácticas y se refiere a laidentificación de la forma en que latecnología de información puedecontribuir de la mejor manera allogro de los objetivos del negocio.Además, la consecución de lavisión estratégica necesita serplaneada, comunicada yadministrada desde diferentesperspectivas. Finalmente, deberánestablecerse una organización yuna infraestructura tecnológica
apropiadas.
Adquisición eimplementación
Adquisición eimplementación
Para llevar a cabo la estrategia deTI, las soluciones de TI deben seridentificadas, desarrolladas oadquiridas, así comoimplementadas e integradas dentrodel proceso del negocio. Además,este dominio cubre los cambios yel mantenimiento realizados asistemas existentes.
Entrega ysoporte
Entrega ysoporte En este dominio se hacereferencia a la entrega de los
servicios requeridos, que abarcadesde las operacionestradicionales hasta elentrenamiento, pasando porseguridad y aspectos decontinuidad. Con el fin deproveer servicios, deberánestablecerse los procesos desoporte necesarios. Este
dominio incluye el procesamiento de los datos por
sistemas de aplicación,
frecuentemente clasificados
como controles de aplicación
Monitoreo
Monitoreo Todos los procesos necesitan serevaluados regularmente a travésdel tiempo para verificar sucalidad y suficiencia en cuanto a
los requerimientos de control.
En resumen, los Recursos de TI necesitan seradministrados por un conjunto de procesos agrupados enforma natural, con el fin de proporcionar la informaciónque la empresa necesita para alcanzar sus objetivos.
El siguiente diagrama ilustra este concepto:
RECURSOS DE TI
• datos• sistemas de
aplicación• tecnología• instalaciones• gen te
PLANEACION YORGANIZACION
ADQUISICION EIMPLEMENTACIONENTREGA Y
SOPORTE
MONITOREO
PO1 Definir un Plan Estratégico deTecnología de Información
PO2 Definir la Arquitectura de Información
PO3 Determinar la dirección tecnológica
PO4 Definir la Organización y de lasRelaciones de TI
PO5 Manejar la Inversión en Tecnología deInformación
PO6 Comunicar la dirección y aspiraciones dela gerencia
PO7 Administrar Recursos Humanos
PO8 Asegurar el Cumplimiento deRequerimientos ExternosPO9 Evaluar Riesgos
PO10 Administrar proyectos
PO11 Administrar Calidad
AI1 Identificar Soluciones
AI2 Adquirir y Mantener Software deAplicación
AI3 Adquirir y Mantener Arquitectura deTecnología
AI4 Desarrollar y Mantener Procedimientosrelacionados con TI
AI5 Instalar y Acreditar Sistemas
AI6 Administrar Cambios
DS1 Definir Niveles de ServicioDS2 Administrar Servicios prestados por TercerosDS3 Administrar Desempeño y Capacidad
DS4 Asegurar Servicio Continuo
DS5 Garantizar la Seguridad de Sistemas
DS6 Identificar y Asignar CostosDS7 Educar y Entrenar a los Usuarios
DS8 Apoyar y Asistir a los Clientes de TI
DS9 Administrar la Configuración
DS10 Administrar Problemas e IncidentesDS11 Administrar Datos
DS12 Administrar Instalaciones
DS13 Administrar Operaciones
M1 Monitorear los procesosM2 Evaluar lo adecuado del controlInterno
M3 Obtener aseguramientoindependiente
M4 Proporcionar auditoría independiente INFORMACION
• efectividad• eficiencia• confidencialidad• integridad• disponibilidad• cumplimiento• confiabilidad
COBITCOBIT
OBJEIVOS DE NEGOCIO
5/9/2018 Objetivos Control Interno TI Cobit[1] - slidepdf.com
http://slidepdf.com/reader/full/objetivos-control-interno-ti-cobit1 17/19
OBJETIVOS DE CONTROL PARA LA INFORMACIÓN Y TECNOLOGÍAS
17 RESUMEN E JECUTIVO
LOS PRINCIPIOS DEL MARCO
REFERENCIAL, continúa
Debe tomarse en cuenta que estos procesos pueden seraplicados a diferentes niveles dentro de unaorganización. Por ejemplo, algunos de estos procesosserán aplicados al nivel corporativo, otros al nivel de lafunción de servicios de información, otros al nivel delpropietario de los procesos de negocio.
También debe ser tomado en cuenta que el criterio deefectividad de los procesos que planean o entregansoluciones a los requerimientos de negocio, cubriránalgunas veces los criterios de disponibilidad, integridady confidencialidad. – en la práctica, se han convertido enrequerimientos del negocio. Por ejemplo, el proceso de“identificar soluciones automatizadas” deberá serefectivo en el cumplimiento de requerimientos dedisponibilidad, integridad y confidencialidad.
Resulta claro que las medidas de control no satisfaránnecesariamente los diferentes requerimientos deinformación del negocio en la misma medida. Se lleva acabo una clasificación dentro del marco referencialC OBI T basada en rigurosos informes y observaciones deprocesos por parte de investigadores, expertos yrevisores con las estrictas definiciones determinadaspreviamente.
Primario es el grado al cual el objetivo decontrol definido impacta
directamente el requerimiento deinformación de interés.
Secundario es el grado al cual el objetivo decontrol definido satisfaceúnicamente de forma indirecta o enmenor medida el requerimiento deinformación de interés.
Blanco (vacío) podría aplicarse; sin embargo, losrequerimientos son satisfechos másapropiadamente por otro criterio eneste proceso y/o por otro proceso.
Similarmente, todos las medidas de control nonecesariamente tendrán impacto en los diferentesrecursos de TI a un mismo nivel. Por lo tanto, el MarcoReferencial de COBIT indica específicamente laaplicabilidad de los recursos de TI que sonadministrados en forma específica por el proceso bajoconsideración (no por aquellos que simplemente tomanparte en el proceso). Esta clasificación es hecha dentro elMarco Referencial de COBIT basado en el mismoproceso riguroso de información proporcionada por losinvestigadores, expertos y revisores, utilizando lasdefiniciones estrictas indicadas previamente.
5/9/2018 Objetivos Control Interno TI Cobit[1] - slidepdf.com
http://slidepdf.com/reader/full/objetivos-control-interno-ti-cobit1 18/19
OBJETIVOS DE CONTROL PARA LA INFORMACIÓN Y TECNOLOGÍAS
18 RESUMEN EJECUTIVO
TABLA RESUMEN
Criterios de Información Recursos de TI
e f e c t i v
i d a d
e f i c i
e n c i a
c o n f i d
e n c i a
l i d a d
i n t e
g r i d
a d
d i s p
o n i b i l i d a
d
c u m p l i m
i e n t o
c o n f i a b i l i d a d
r e c u
r s o s h u
m a n
o s
s i s t e
m a s d e
i n f o r m
a c i ó
n
t e c n
o l o g í a
i n s t a l a c i o n e
s
d a t o
s
DOMINIO PROCESO
Planeación y
PO1 Definir un plan estratégico de sistemas P S þ þ þ þ þ
Organización PO2 Definir la arquitectura de información P S S S þ þ
PO3 Determinar la dirección tecnológica P S þ þ
PO4 Definir la organización y sus relaciones P S þ
PO5 Administrar las inversiones (en TI) P P S þ þ þ þ
PO6 Comunicar la dirección y objetivos de la gerencia P S þ
PO7 Administrar los recursos humanos P P þ
PO8 Asegurar el apego a disposiciones externas P P S þ þ þ
PO9 Evaluar riesgos S S P P P S S þ þ þ þ þ
P010 Administrar proyectos P P þ þ þ þ
PO11 Administrar calidad P P P S þ þ
Adquisición e AI1 Identificar soluciones de automatización P S þ þ þ
Implementación AI2 Adquirir y mantener software de aplicación P P S S S þ
AI3 Adquirir y mantener la arquitectura tecnológica P P S þ
AI4 Desarrollar y mantener procedimientos P P S S S þ þ þ þ
AI5 Instalar y acreditar sistemas de información P S S þ þ þ þ þ
AI6 Administrar cambios P P P P S þ þ þ þ þ
Entrega de servicios y DS1 Definir niveles de servicio P P S S S S S þ þ þ þ þ
Soporte DS2 Administrar servicios de terceros P P S S S S S þ þ þ þ þ
DS3 Administrar desempeño y capacidad P P S þ þ þ
DS4 Asegurar continuidad de servicio P S P þ þ þ þ þ
DS5 Garantizar la seguridad de sistemas P P S S S þ þ þ þ þ
DS6 Identificar y asignar costos P P þ þ þ þ þ
DS7 Educar y capacitar a usuarios P S þ
DS8 Apoyar y orientar a clientes P þ þ
DS9 Administrar la configuración P S S þ þ þ
DS10 Administrar problemas e incidentes P P S þ þ þ þ þ
DS11 Administrar la información P P þ
DS12 Administrar las instalaciones P P þ
DS13 Administrar la operación P P S S þ þ þ þ þ
Monitoreo M1 Monitorear el proceso P S S S S S S þ þ þ þ þ
M2 Evaluar lo adecuado del control interno P P S S S S S þ þ þ þ þ
M3 Obtener aseguramiento independiente P P S S S S S þ þ þ þ þ
M4 Proporcionar auditoría independiente P P S S S S S þ þ þ þ þ
5/9/2018 Objetivos Control Interno TI Cobit[1] - slidepdf.com
http://slidepdf.com/reader/full/objetivos-control-interno-ti-cobit1 19/19
OBJE TIVOS DE CONTROL P ARA LA INFORMACIÓN Y TECNOLOGÍAS A
INFORMATION SYSTEMS AUDIT AND CONTROL FOUNDATION 19BORRADOR
I NFORMATION S YSTEMS AUDIT AND CONTROL ASSOCIATION
U n a f u e n t e i n t e r n a c io n a l ú n i c a p a r a C on t r o le s e n T e c n o lo g ía d e I n fo r m a c ió n
ARABIA SAUDITA
ARGENTINA
ARUBA
AUSTRALIAAUSTRIA
BAHAMAS
BAHRAIN
BANGLADESH
BARBADOS
BÉLGICA
BERMUDAS
BOLIVIA
BOTSWANA
BRASIL
BRUENI
CANADA
COLOMBIA
COREA
COSTA DE MARFILCOSTA RICA
CROACIA
CURAZAO
CHILE
CHIPRE
DINAMARCA
ECUADOR
EGIPTO
EMIRATOS ARABES UNIDOS
ESCOCIA
ESLOVENIA
ESPAÑA
ESTADOS UNIDOS DE AMÉRICA
ESTONIA
FILIPINAS
FINLANDIA
ALEMANIA
FRANCIA
GHANA
GRECIA
GUAM
GUATEMALA
HOLANDA
HONDURAS
HONG KONG
HUNGRÍA
INDIA
INDONESIA
INGLATERRA
IRLANDA
ISLANDIA
ISLAS FAEROE
ISRAEL
ITALIA
La Information Systems Audit and
Control Association es una
organización global, líder y
representada por miembros en más
de 100 países, abarcando todos los
niveles de tecnología de
información–ejecutivos,
presidencias, gerencia media y
facultativos. La Asociación se ha
posicionado en forma única para
desempeñar el papel de fuente
central coordinadora de estándares
de prácticas de control para TI en
todo el mundo. Sus alianzas
estratégicas con otros grupos en las
áreas financieras, contables y de TI
aseguran un nivel de integración y
compromiso sin paralelo por parte
de los propietarios de procesos de
negocio.
Programas y Servicios de la
Asociación
Los programas y servicios de la
Asociación han logrado distinguirse
estableciendo los niveles más altos de
excelencia en cuanto a certificación,
estándares, educación profesional y
publicaciones técnicas.
l Su programa de certificación
(Certified Information Systems Auditor) es la única designaciónglobal en toda la comunidad decontroles y auditoría de TI.
l Sus actividades de estándares
establecen una base de calidad según la cual se miden otrasactividades de auditoría y
control. Su programa de
educación profesional ofrececonferencias técnicas yadministrativas en cincocontinentes, así como seminariosen todo el mundo para ayudar alos profesionales a recibir unaeducación continua de alta
calidad.l Su área de publicaciones técnicas
proporciona referencias ymaterial para el desarrollo
profesional con el fin deaumentar su ya distinguidaselección de programas yservicios.
La Information Systems Audit and
Control Association fue formada en
1969 para satisfacer las necesidades
únicas y diversas de alta tecnología
del campo de TI. En una industria en
la que el progreso es medido en
nanosegundos, ISACA ha
reaccionado con agilidad y velocidad
para cubrir las necesidades de la
comunidad de negocios internacional
y de la profesión de controles de TI.
Para Mayor Información
Para recibir información adicionalpuede llamar al (+1.847.253.1545),enviar un e-mail a([email protected]) o visitarnuestra página web(www.isaca.org).
J
JO
L IECHT
LLUXEM
MM
NNO
NUEVA
NUEVA ZE
PAÍS DE
PA
P
PPO
REPÚBLICA
REPÚBLICA DOM
REPÚBLICA ES
SA
SANT
SEYC
SIN
SR
SUD
TA
TA
TA
TRINIDAD Y TTU
UR
VEN
V
Z