UNIVERSIDAD DE LAS FUERZAS ARMADAS ESPE L

CIENCIAS ECONÓMICAS, ADMINISTRATIVAS Y DEL COMERCIO

FINANZAS Y AUDITORÍA

AUDITORÍA INFORMÁTICA
CONTROL OBJECTIVES FOR INFORMATION AND RELATED TECHNOLOGY
COBIT

BOLAÑOS TELLO SHARON L.

CASTILLO SÁNCHEZ J. ISRAEL
VILLACÍS VILLACÍS DAMIÁN B.

2019
 CONTROL OBJECTIVES FOR INFORMATION AND RELATED TECHNOLOGY
COBIT

1. INTRODUCCIÓN

La práctica común de las empresas en el mundo es no considerar importante a las áreas de

tecnologías de la información (TI), provocando que éstas tengan poco personal, presupuesto
reducido y la identifiquen como el área de soporte para el equipo del usuario final
únicamente. Sin embargo, con el paso del tiempo, añadiendo las nuevas tendencias en
tecnología surgidas en países desarrollados, han incrementado de manera muy importante el
papel y la influencia de las TI, provocando que éstas, formen parte fundamental en la
operación y desarrollo de las organizaciones.

Este cambio en la percepción de las TI se debe al surgimiento de marcos de referencia,

que en la actualidad se consideran herramientas (COBIT) clave para poder llevar a cabo este
renacimiento de la figura de las TI; todos estos marcos de referencia son independientes al
rubro o tamaño de la organización; tienen como objetivo proporcionar metodologías para
tener los recursos de TI de manera estructurada y organizada, apoyando a la organización
para alcanzar sus objetivos estratégicos.

En la actualidad la mayor parte de la inversión en infraestructura y nuevas aplicaciones de

TI buscan apoyar funciones específicas de la organización, algunas organizaciones incluyen
en sus procesos internos a socios o clientes, mejor conocidos como stakeholders.

Es así que en la presente investigación aborda el marco de referencia COBIT (Control

Objectives for Information and related Technology) traducido al español como Objetivos de
Control para la información y tecnología relacionada, el cual provee buenas prácticas y
presenta actividades para el Gobierno de TI en una estructura manejable y lógica.; las buenas
prácticas de COBIT reúnen el consenso de expertos, quienes ayudarán a optimizar la
inversión en TI y proporcionarán un mecanismo de medición que permitirá juzgar cuando las
actividades van por el camino equivocado.
 2. DESARROLLO

DEFINICION

[ CITATION Mar11 \l 12298 ] menciona que:

COBIT es un modelo de evaluación y monitores que se enfoca en el control de

negocios y la seguridad IT y que abarca controles específicos de IT desde una
perspectiva de negocios.  COBIT es precisamente un modelo para auditar la
gestión y control de los sistemas de información y tecnología, orientado a todos
los sectores de una organización, es decir, administradores IT, usuarios y por
supuesto, los auditores involucrados en el proceso. (p.115)

De acuerdo con el autor básicamente se puede evidenciar que esta herramienta es

sumamente valiosa para una organización que está interesada en la utilización de buenas
prácticas para agilizar los procesos del departamento y/o área de TI.

A partir de una investigación, se observa que la estructura del modelo COBIT evalúa
criterios de información (seguridad y calidad), recursos de tecnologías de la información
(recurso humano, instalaciones y sistemas) y otro punto importante son los procesos
involucrados en la organización. Es interesante expresar que COBIT es un modelo de
evaluación y monitoreo, remarca importancia en el control de negocios y la seguridad de TI.;
abarca controles específicos de TI, pero desde una perspectiva de negocios.

HISTORIA Y EVOLUCION

En base a [ CITATION Sot \l 12298 ] El proyecto COBIT se emprendió por primera vez en el
año 1995, con el fin de crear un mayor producto global que pudiese tener un impacto
duradero sobre el campo de visión de los negocios, así como sobre los controles de los
sistemas de información implantados.

COBIT tienes 5 versiones que hasta la fecha han tenido gran impacto en la vida cotidiana
del ser humano en las empresas, fue creado por Asociación para la Auditoría y Control de
Sistemas de Información (ISACA Information Systems Audit and Control Association), y el
Instituto de Administración de las Tecnologías de la Información (ITGI IT Governance
Institute creado por ISACA en 1992).

COBIT 1: En 1996, la primera edición de COBIT fue publicada e incluía la colección y

análisis de fuentes internacionales reconocidas y fue realizada por equipos en Europa,
Estados Unidos y Australia; tenía objetivos de control y guías o directrices de Auditoría.
COBIT 2: En 1998, fue publicada la segunda edición; su cambio principal fue la adición de
las guías de gestión; incluía guías de autoevaluación, actualización de la versión
automatizada, referencias y material de apoyo adicional.

COBIT 3: Para el año 2000, la tercera edición fue publicada y en el 2003, la versión en línea
ya se encontraba disponible en el sitio de ISACA; fue posterior al 2003 que el marco de
referencia de COBIT fue revisado y mejorado para soportar el incremento del control
gerencial, introducir el manejo del desempeño y mayor desarrollo del Gobierno de TI.
Además, se agregó las guías de controles, mejoras en los objetivos de control e identificación
de indicadores de desempeño.

COBIT 4.1: En diciembre de 2005, la cuarta edición fue publicada y en mayo de 2007, se
liberó la versión 4.1; en esta edición, COBIT tiene 34 procesos que cubren 210 objetivos de
control (específicos o detallados) clasificados en cuatro dominios:

 Planificación y Organización: proporciona la dirección para la entrega de soluciones

y la entrega de servicios.

 Adquisición e Implementación: proporciona soluciones y las desarrolla para

convertirlas en servicios.

 Entrega y Soporte: monitorea todos los procesos para asegurar que se sigue con la
dirección establecida.

 Supervisión y Evaluación (Monitor and Evaluate) 

COBIT 5.0: ISACA lanzó el 10 de abril del 2012 la nueva edición de este marco de
referencia; es la última edición del framework mundialmente aceptado, el cual proporciona
una visión empresarial del Gobierno de TI que tiene a la tecnología y a la información como
protagonistas en la creación de valor para las empresas.

COBIT 5 se basa en COBIT 4.1, y a su vez lo amplía mediante la integración de otros

importantes marcos y normas como Val IT y Risk IT, Information Technology Infrastructure
Library (ITIL ®) y las normas ISO relacionadas en esta norma.; este nuevo marco de
referencia viene integrado principalmente del Modelo de Negocios para la Seguridad de la
Información (BMIS, Business Model for Information Security) y el Marco de Referencia para
el Aseguramiento de la Tecnología de la Información (ITAF, Information Technology
Assurance Framework).

Una temprana adición significativa visualizada para la familia de productos COBIT, es el

desarrollo de las Guías de Gerencia que incluyen Factores Críticos de Éxito, Indicadores
Clave de Desempeño y Medidas Comparativas.

 Los Factores Críticos de Éxito: identifican los aspectos o acciones más

importantes para la administración y poder tomar, así, dichas acciones o
considerar los aspectos para lograr control sobre sus procesos de TI.

 Los Indicadores Clave de Desempeño: proporcionan medidas de éxito que

permitirán a la gerencia conocer si un proceso de TI está alcanzando los
requerimientos de negocio.

 La Medidas Comparativas: definen niveles de madurez que pueden ser

utilizadas por la gerencia para determinar el nivel actual de madurez de la
empresa; determinar el nivel de madurez que se desea lograr, como una función de
sus riesgos y objetivos; y proporcionar una base de comparación de sus prácticas
de control de TI contra empresas similares o normas de la industria.

Figura N°1 Evolución COBIT

Fuente: Sistemas Informáticos de Innovación Empresarial

 IMPORTANCIA

[ CITATION Mar11 \l 12298 ] considera que:

COBIT podría ser muy útil para las organizaciones y las empresas, puesto que
ayuda a alcanzar las metas y objetivos estratégicos a través de un uso eficaz e
innovador de TI, mientras se gestionan los riesgos y gastos a un nivel aceptable,
sin embargo, muchas organizaciones y empresas ya trabajan con COBIT®,
algunas de ellas no son constantes. Hay múltiples factores que resultan ser efectos
insuficientes y todos ellos necesitan del conocimiento del flujo de diferentes tasas
dentro y fuera de la organización.

En base a lo expuesto por el autor se puede agregar que la importancia de aplicar COBIT
radica principalmente en las contribuciones que tiene para el control interno y el apoyo que
brinda a la auditoría ya sea interna o externa.

En auditoría externa, analizar el gobierno de TI brinda certeza razonable de la forma en

que se administra la información para la elaboración de los estados financieros y comprender
sobre la seguridad que existe contra posibles pérdidas, uso indebido, divulgaciones no
autorizadas, robo, daño, destrucción, protección, fraude.

En auditoría interna, contribuye con mantener información de alta calidad, gnerar valor
con inversión en TI, alcanzar excelencia operativa, optimizar el costo de los servicios que
proporciona y cumplir con los requerimientos legaes, contratos y políticas aplicables, que en
términos de auditoría interna sería la fiabilidad de la integridad de la informática financiera y
operativa; eficacia y eficiencia de las operaciones y programas, protección de activos y
cumplimiento de leyes.

CRITERIOS DE INFORMACIÓN COBIT

En relación a los objetivos estratégicos empresariales, la información necesita adaptarse a

ciertos criterios de control, los cuales son referidos en COBIT como requerimientos de
información del negocio. Con base en los requerimientos más amplios de calidad, fiduciarios
y de seguridad, se definieron los siguientes siete criterios de información, según [ CITATION
Mar11 \l 2058 ] los criterios son:

1. La efectividad tiene que ver con que la información sea relevante y pertinente a los
procesos del negocio, y se proporcione de una manera oportuna, correcta, consistente
y utilizable.
 2. La eficiencia consiste en que la información sea generada con el óptimo (más
productivo y económico) uso de los recursos.

3. La confidencialidad se refiere a la protección de información sensitiva contra

revelación no autorizada.

4. La integridad está relacionada con la precisión y completitud de la información, así

como con su validez de acuerdo a los valores y expectativas del negocio.

5. La disponibilidad se refiere a que la información esté disponible cuando sea requerida

por los procesos del negocio en cualquier momento. También concierne a la
protección de los recursos y las capacidades necesarias asociadas.

6. El cumplimiento tiene que ver con acatar aquellas leyes, reglamentos y acuerdos
contractuales a los cuales está sujeto el proceso de negocios, es decir, criterios de
negocios impuestos externamente, así como políticas internas.

7. La confiabilidad se refiere a proporcionar la información apropiada para que la

gerencia administre la entidad y ejerza sus responsabilidades fiduciarias y de
gobierno.

PROCESOS QUE REQUIEREN CONTROLES

Principalmente se generaliza los controles de los procesos incluyente al COBIT en los

siguientes enunciados:

 Dueño del proceso: Asignar un dueño para cada proceso COBIT de tal manera que la
responsabilidad sea clara.

 Reiterativo: Definir cada proceso COBIT de tal forma que sea repetitivo.

 Metas y objetivos: Establecer metas y objetivos claros para cada proceso COBIT para
una ejecución efectiva.

 Roles y responsabilidades: Definir roles, actividades y responsabilidades claros en

cada proceso COBIT para una ejecución eficiente.
  Desempeño del proceso: Medir el desempeño de cada proceso COBIT en
comparación con sus metas.

 Políticas, planes y procedimientos: Documentar, revisar, actualizar, formalizar y

comunicar a todas las partes involucradas cualquier política, plan o procedimiento que
impulse un proceso COBIT.

Con la implementación de los controles citados se pretende tener una mayor gama o
alcance a los procesos inmiscuidos a los procesos de las tecnologías de la información.

CONTROLES DEL NEGOCIO Y CONTROLES DE TI

Objetivos de negocio

Se fijan a nivel de dirección ejecutiva. Se establecen políticas y se toman decisiones de

cómo aplicar y administrar los recursos empresariales para ejecutar la estrategia de la
compañía. Los controles TI se guían por este conjunto de objetivos y políticas de alto nivel.

Controles de negocio

A nivel de procesos de negocio. Son controles para actividades específicas del negocio. La
mayoría de los procesos de negocio están automatizados e integrados con los sistemas
aplicativos de TI

Conjunto recomendado de controles de las aplicaciones:

Controles de origen de datos/ autorización

 Procedimientos de preparación de datos

 Procedimientos de autorización de documentos fuente
 Recolección de datos de documentos fuente
 Manejo de errores en documentos fuente
 Retención de documentos fuente

Controles de entrada de datos

 Procedimientos de autorización de captura de datos

 Verificaciones de precisión, integridad y autorización
 Manejo de errores en la entrada de datos
Controles en el Procesamiento de datos

 Integridad en el procesamiento de datos

 Validación y edición del procesamiento de datos
 Manejo de errores en el procesamiento de datos

Controles de salida de datos

 Manejo y retención de salidas

 Distribución de salidas
 Cuadre y conciliación de salidas
 Revisión de salidas y manejo de errores
 Provisión de seguridad para reportes de salida

Controles de límites

 Autenticidad e integridad
 Protección de información sensitiva durante su transmisión y transporte

Servicios TI

Proporcionados para soportar los procesos de negocio. Suelen estar compartidos por
varios procesos de negocio. A estos servicios se también aplican controles.

GENERADORES DE MEDICIONES

Para [ CITATION Mar11 \l 12298 ], las empresas utilizan generadores de medición para;
“medir dónde se encuentran y dónde se requieren mejoras, e implementar un juego de
herramientas gerenciales para monitorear esta mejora.” De esta forma cada una de las
empresas puede ver cómo es su situación actual en el mercado competitivo.

Para esto el COBIT utiliza varias herramientas como son:

 Modelos de madurez que facilitan la evaluación por medio de benchmarking y la
identificación de las mejoras necesarias en la capacidad
 Metas y mediciones de desempeño para los procesos de TI cómo los procesos
satisfacen las necesidades del negocio y de TI, y cómo se usan para medir el
desempeño de los procesos internos
 Metas de actividades para facilitar el desempeño efectivo de los procesos
Según [ CITATION Mar11 \l 12298 ], define a cada una de las herramientas que utiliza el COBIT
de la siguiente manera:

Modelo genérico de madurez 0 No existente. Carencia completa de cualquier proceso

reconocible. La empresa no ha reconocido siquiera que existe un problema a resolver.

1 Inicial. Existe evidencia que la empresa ha reconocido que los problemas existen y
requieren ser resueltos. Sin embargo; no existen procesos estándar en su lugar existen
enfoques ad hoc que tienden a ser aplicados de forma individual o caso por caso. El enfoque
general hacia la administración es desorganizado.

2 Repetible. Se han desarrollado los procesos hasta el punto en que se siguen procedimientos
similares en diferentes áreas que realizan la misma tarea. No hay entrenamiento o
comunicación formal de los procedimientos estándar, y se deja la responsabilidad al
individuo. Existe un alto grado de confianza en el conocimiento de los individuos y, por lo
tanto, los errores son muy probables.

3 Definido. Los procedimientos se han estandarizado y documentado, y se han difundido a

través de entrenamiento. Sin embargo, se deja que el individuo decida utilizar estos procesos,
y es poco probable que se detecten desviaciones. Los procedimientos en sí no son
sofisticados pero formalizan las prácticas existentes.

4 Administrado. Es posible monitorear y medir el cumplimiento de los procedimientos y

tomar medidas cuando los procesos no estén trabajando de forma efectiva. Los procesos están
bajo constante mejora y proporcionan buenas prácticas. Se usa la automatización y
herramientas de una manera limitada o fragmentada.

5 Optimizado. Los procesos se han refinado hasta un nivel de mejor práctica, se basan en los
resultados de mejoras continuas y en un modelo de madurez con otras empresas. TI se usa de
forma integrada para automatizar el flujo de trabajo, brindando herramientas para mejorar la
calidad y la efectividad, haciendo que la empresa se adapte de manera rápida.
Por lo tanto se puede observar que al aplicar el cobit a una empresa se va aplicar cada uno de
los procedimientos descritos anteriormente con la finalidad de aumentar la capacidad
empresarial de la misma, y potenciar cada uno de los sistemas de comunicación con respecto
a la auditoría informática dentro de la empresa. Una vez aplicado cada paso, cada herramienta
todos los sistemas internos van a estar operando a un cien por ciento de su capacidad con
respecta a seguridad de la información, comunicación, control, etc.

MEDICION DEL DESEMPEÑO

Para la medición de desempeño se debe tener en cuenta que en este punto se definen metas a
nivel de Negocio, TI, Proceso y Actividad además también se definen métricas a nivel de
negocio, de TI y de proceso.
Para [ CITATION Mar11 \l 12298 ], dentro del sistema COBIT se establece dos tipos de métricas
que son:
Se utilizan dos tipos de métrica:
 Indicadores clave de metas (KGI) indican (después del hecho) si un proceso ha
alcanzado o no sus requerimientos de negocio.
 Indicadores clave de desempeño (KPI) indican cómo se está desempeñando un
proceso (si será factible o no alcanzar la meta).
Los indicadores de metas de bajo nivel se convierten en indicadores de desempeño para los
niveles altos.
Características de métricas efectivas:
 Una alta proporción entendimiento-esfuerzo (esto es, el entendimiento del desempeño
y del logro de las metas en contraste con el esfuerzo de lograrlos)
 Deben ser comparables internamente (esto es, un porcentaje en contraste con una base
o números en el tiempo)
 Deben ser comparables externamente sin tomar en cuenta el tamaño de la empresa o
la industria
 Es mejor tener pocas métricas (quizá una sola muy buena que pueda ser influenciada
por distintos medios) que una lista más larga de menor calidad
 Debe ser fácil de medir y no se debe confundir con las metas
Por lo tanto al utilizar los (KGI) Indicador de la Meta clave y (KPI) Indicadores clave de
rendimiento, se va poder establecer metas en distintos puntos del negocio o de la empresa que
van hacer metas en las actividades, en los procesos, metas de TI, las que van a estar
orientadas mediante la relación entre KGI y KPI, para de esta forma ver cómo está la empresa
en cada punto.

MARCO DE TRABAJO GENERAL DE COBIT

El modelo de procesos de COBIT compuesto de 4 dominios que contienen 34 procesos

genéricos, administrando los recursos de TI para proporcionar información al negocio de
acuerdo con los requerimientos del negocio y de gobierno, que son los siguientes:

MONITOREAR Y EVALUAR
 ME1 Monitorear y evaluar el desempeño de TI.
 ME2 Monitorear y evaluar el control interno
 ME3 Garantizar cumplimiento regulatorio.
 ME4 Proporcionar gobierno de TI.

PLANEAR Y ORGANIZAR
 PO1 Definir el plan estratégico de TI.
 PO2 Definir la arquitectura de la información
 PO3 Determinar la dirección tecnológica.
 PO4 Definir procesos, organización y relaciones de TI.
 PO5 Administrar la inversión en TI.
 PO6 Comunicar las aspiraciones y la dirección de la gerencia.
 PO7 Administrar recursos humanos de TI.
 PO8 Administrar calidad.
 PO9 Evaluar y administrar riesgos de TI
 PO10 Administrar proyectos.

ADQUIRIR E IMPLANTAR
 AI1 Identificar soluciones automatizadas.
 AI2 Adquirir y mantener el software aplicativo.
 AI3 Adquirir y mantener la infraestructura tecnológica
 AI4 Facilitar la operación y el uso.
 AI5 Adquirir recursos de TI.
 AI6 Administrar cambios.
  AI7 Instalar y acreditar soluciones y cambios.

ENTREGAR Y DAR SOPORTE

 DS1 Definir y administrar niveles de servicio.
 DS2 Administrar servicios de terceros.
 DS3 Administrar desempeño y capacidad.
 DS4 Garantizar la continuidad del servicio.
 DS5 Garantizar la seguridad de los sistemas.
 DS6 Identificar y asignar costos.
 DS7 Educar y entrenar a los usuarios.
 DS8 Administrar la mesa de servicio y los incidentes.
 DS9 Administrar la configuración.
 DS10 Administrar los problemas.
 DS11 Administrar los datos.
 DS12 Administrar el ambiente físico.

 DS13 Administrar las operaciones.

3. CONCLUSIONES

La adecuada implementación de un modelo COBIT en una organización, provee una

herramienta automatizada, para evaluar de manera ágil y consistente el cumplimiento de los
objetivos de control y controles detallados, asegurando que los procesos y recursos de
información y tecnología contribuyen al logro de los objetivos del negocio en un mercado
cada vez más exigente y complejo.

El buen uso y manejo de esta herramienta COBIT, garantiza a las compañías que lo
implementan una estandarización en general de todas las áreas de la organización en cuanto a
IT, ayudando de esa manera a los gerentes y diferentes usuarios conocer la situación actual de
la compañía de forma verídica y en tiempo real.

Cualquier tipo de empresa puede adoptar una metodología COBIT, como parte de un
proceso de reingeniería en aras de reducir los índices de incertidumbre sobre vulnerabilidades
y riesgos de los recursos IT y consecuentemente, sobre la posibilidad de evaluar el logro de
los objetivos del negocio apalancado en procesos tecnológicos.

4. REFERENCIAS BIBLIOGRÁFICAS

Martínez, E. (2011). Sistemas Informáticos de Innovación Empresarial. España: ECORFAN.

Soto, D. (2016, Septiembre 26). ¿Qué es COBIT y para que sirve? Retrieved from Nextech:
https://nextech.pe/que-es-cobit-y-para-que-sirve/