Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
AUDITORÍA INFORMÁTICA
CONTROL OBJECTIVES FOR INFORMATION AND RELATED TECHNOLOGY
COBIT
2019
CONTROL OBJECTIVES FOR INFORMATION AND RELATED TECHNOLOGY
COBIT
1. INTRODUCCIÓN
DEFINICION
A partir de una investigación, se observa que la estructura del modelo COBIT evalúa
criterios de información (seguridad y calidad), recursos de tecnologías de la información
(recurso humano, instalaciones y sistemas) y otro punto importante son los procesos
involucrados en la organización. Es interesante expresar que COBIT es un modelo de
evaluación y monitoreo, remarca importancia en el control de negocios y la seguridad de TI.;
abarca controles específicos de TI, pero desde una perspectiva de negocios.
HISTORIA Y EVOLUCION
En base a [ CITATION Sot \l 12298 ] El proyecto COBIT se emprendió por primera vez en el
año 1995, con el fin de crear un mayor producto global que pudiese tener un impacto
duradero sobre el campo de visión de los negocios, así como sobre los controles de los
sistemas de información implantados.
COBIT tienes 5 versiones que hasta la fecha han tenido gran impacto en la vida cotidiana
del ser humano en las empresas, fue creado por Asociación para la Auditoría y Control de
Sistemas de Información (ISACA Information Systems Audit and Control Association), y el
Instituto de Administración de las Tecnologías de la Información (ITGI IT Governance
Institute creado por ISACA en 1992).
COBIT 3: Para el año 2000, la tercera edición fue publicada y en el 2003, la versión en línea
ya se encontraba disponible en el sitio de ISACA; fue posterior al 2003 que el marco de
referencia de COBIT fue revisado y mejorado para soportar el incremento del control
gerencial, introducir el manejo del desempeño y mayor desarrollo del Gobierno de TI.
Además, se agregó las guías de controles, mejoras en los objetivos de control e identificación
de indicadores de desempeño.
COBIT 4.1: En diciembre de 2005, la cuarta edición fue publicada y en mayo de 2007, se
liberó la versión 4.1; en esta edición, COBIT tiene 34 procesos que cubren 210 objetivos de
control (específicos o detallados) clasificados en cuatro dominios:
Entrega y Soporte: monitorea todos los procesos para asegurar que se sigue con la
dirección establecida.
COBIT 5.0: ISACA lanzó el 10 de abril del 2012 la nueva edición de este marco de
referencia; es la última edición del framework mundialmente aceptado, el cual proporciona
una visión empresarial del Gobierno de TI que tiene a la tecnología y a la información como
protagonistas en la creación de valor para las empresas.
COBIT podría ser muy útil para las organizaciones y las empresas, puesto que
ayuda a alcanzar las metas y objetivos estratégicos a través de un uso eficaz e
innovador de TI, mientras se gestionan los riesgos y gastos a un nivel aceptable,
sin embargo, muchas organizaciones y empresas ya trabajan con COBIT®,
algunas de ellas no son constantes. Hay múltiples factores que resultan ser efectos
insuficientes y todos ellos necesitan del conocimiento del flujo de diferentes tasas
dentro y fuera de la organización.
En base a lo expuesto por el autor se puede agregar que la importancia de aplicar COBIT
radica principalmente en las contribuciones que tiene para el control interno y el apoyo que
brinda a la auditoría ya sea interna o externa.
En auditoría interna, contribuye con mantener información de alta calidad, gnerar valor
con inversión en TI, alcanzar excelencia operativa, optimizar el costo de los servicios que
proporciona y cumplir con los requerimientos legaes, contratos y políticas aplicables, que en
términos de auditoría interna sería la fiabilidad de la integridad de la informática financiera y
operativa; eficacia y eficiencia de las operaciones y programas, protección de activos y
cumplimiento de leyes.
1. La efectividad tiene que ver con que la información sea relevante y pertinente a los
procesos del negocio, y se proporcione de una manera oportuna, correcta, consistente
y utilizable.
2. La eficiencia consiste en que la información sea generada con el óptimo (más
productivo y económico) uso de los recursos.
6. El cumplimiento tiene que ver con acatar aquellas leyes, reglamentos y acuerdos
contractuales a los cuales está sujeto el proceso de negocios, es decir, criterios de
negocios impuestos externamente, así como políticas internas.
Dueño del proceso: Asignar un dueño para cada proceso COBIT de tal manera que la
responsabilidad sea clara.
Reiterativo: Definir cada proceso COBIT de tal forma que sea repetitivo.
Metas y objetivos: Establecer metas y objetivos claros para cada proceso COBIT para
una ejecución efectiva.
Con la implementación de los controles citados se pretende tener una mayor gama o
alcance a los procesos inmiscuidos a los procesos de las tecnologías de la información.
Objetivos de negocio
Controles de negocio
A nivel de procesos de negocio. Son controles para actividades específicas del negocio. La
mayoría de los procesos de negocio están automatizados e integrados con los sistemas
aplicativos de TI
Controles de límites
Autenticidad e integridad
Protección de información sensitiva durante su transmisión y transporte
Servicios TI
Proporcionados para soportar los procesos de negocio. Suelen estar compartidos por
varios procesos de negocio. A estos servicios se también aplican controles.
GENERADORES DE MEDICIONES
Para [ CITATION Mar11 \l 12298 ], las empresas utilizan generadores de medición para;
“medir dónde se encuentran y dónde se requieren mejoras, e implementar un juego de
herramientas gerenciales para monitorear esta mejora.” De esta forma cada una de las
empresas puede ver cómo es su situación actual en el mercado competitivo.
1 Inicial. Existe evidencia que la empresa ha reconocido que los problemas existen y
requieren ser resueltos. Sin embargo; no existen procesos estándar en su lugar existen
enfoques ad hoc que tienden a ser aplicados de forma individual o caso por caso. El enfoque
general hacia la administración es desorganizado.
2 Repetible. Se han desarrollado los procesos hasta el punto en que se siguen procedimientos
similares en diferentes áreas que realizan la misma tarea. No hay entrenamiento o
comunicación formal de los procedimientos estándar, y se deja la responsabilidad al
individuo. Existe un alto grado de confianza en el conocimiento de los individuos y, por lo
tanto, los errores son muy probables.
5 Optimizado. Los procesos se han refinado hasta un nivel de mejor práctica, se basan en los
resultados de mejoras continuas y en un modelo de madurez con otras empresas. TI se usa de
forma integrada para automatizar el flujo de trabajo, brindando herramientas para mejorar la
calidad y la efectividad, haciendo que la empresa se adapte de manera rápida.
Por lo tanto se puede observar que al aplicar el cobit a una empresa se va aplicar cada uno de
los procedimientos descritos anteriormente con la finalidad de aumentar la capacidad
empresarial de la misma, y potenciar cada uno de los sistemas de comunicación con respecto
a la auditoría informática dentro de la empresa. Una vez aplicado cada paso, cada herramienta
todos los sistemas internos van a estar operando a un cien por ciento de su capacidad con
respecta a seguridad de la información, comunicación, control, etc.
Para la medición de desempeño se debe tener en cuenta que en este punto se definen metas a
nivel de Negocio, TI, Proceso y Actividad además también se definen métricas a nivel de
negocio, de TI y de proceso.
Para [ CITATION Mar11 \l 12298 ], dentro del sistema COBIT se establece dos tipos de métricas
que son:
Se utilizan dos tipos de métrica:
Indicadores clave de metas (KGI) indican (después del hecho) si un proceso ha
alcanzado o no sus requerimientos de negocio.
Indicadores clave de desempeño (KPI) indican cómo se está desempeñando un
proceso (si será factible o no alcanzar la meta).
Los indicadores de metas de bajo nivel se convierten en indicadores de desempeño para los
niveles altos.
Características de métricas efectivas:
Una alta proporción entendimiento-esfuerzo (esto es, el entendimiento del desempeño
y del logro de las metas en contraste con el esfuerzo de lograrlos)
Deben ser comparables internamente (esto es, un porcentaje en contraste con una base
o números en el tiempo)
Deben ser comparables externamente sin tomar en cuenta el tamaño de la empresa o
la industria
Es mejor tener pocas métricas (quizá una sola muy buena que pueda ser influenciada
por distintos medios) que una lista más larga de menor calidad
Debe ser fácil de medir y no se debe confundir con las metas
Por lo tanto al utilizar los (KGI) Indicador de la Meta clave y (KPI) Indicadores clave de
rendimiento, se va poder establecer metas en distintos puntos del negocio o de la empresa que
van hacer metas en las actividades, en los procesos, metas de TI, las que van a estar
orientadas mediante la relación entre KGI y KPI, para de esta forma ver cómo está la empresa
en cada punto.
MONITOREAR Y EVALUAR
ME1 Monitorear y evaluar el desempeño de TI.
ME2 Monitorear y evaluar el control interno
ME3 Garantizar cumplimiento regulatorio.
ME4 Proporcionar gobierno de TI.
PLANEAR Y ORGANIZAR
PO1 Definir el plan estratégico de TI.
PO2 Definir la arquitectura de la información
PO3 Determinar la dirección tecnológica.
PO4 Definir procesos, organización y relaciones de TI.
PO5 Administrar la inversión en TI.
PO6 Comunicar las aspiraciones y la dirección de la gerencia.
PO7 Administrar recursos humanos de TI.
PO8 Administrar calidad.
PO9 Evaluar y administrar riesgos de TI
PO10 Administrar proyectos.
ADQUIRIR E IMPLANTAR
AI1 Identificar soluciones automatizadas.
AI2 Adquirir y mantener el software aplicativo.
AI3 Adquirir y mantener la infraestructura tecnológica
AI4 Facilitar la operación y el uso.
AI5 Adquirir recursos de TI.
AI6 Administrar cambios.
AI7 Instalar y acreditar soluciones y cambios.
3. CONCLUSIONES
El buen uso y manejo de esta herramienta COBIT, garantiza a las compañías que lo
implementan una estandarización en general de todas las áreas de la organización en cuanto a
IT, ayudando de esa manera a los gerentes y diferentes usuarios conocer la situación actual de
la compañía de forma verídica y en tiempo real.
Cualquier tipo de empresa puede adoptar una metodología COBIT, como parte de un
proceso de reingeniería en aras de reducir los índices de incertidumbre sobre vulnerabilidades
y riesgos de los recursos IT y consecuentemente, sobre la posibilidad de evaluar el logro de
los objetivos del negocio apalancado en procesos tecnológicos.
4. REFERENCIAS BIBLIOGRÁFICAS