Presentado por:

Rafael
Giovanny
Diego Felipe Tovar Pizo
Andres Felipe Pisso Tobar
 SIGLAS

COBIT
Control OBjectivesFor Information And Related Technology

OBjetivos de Control para la Información y la Tecnología relacionada

¿QUE ES COBIT?
 “
Es un marco de referencia
aceptado internacionalmente
que define las mejores
practicas para el control de la
información, TI y los riesgos
que estos conllevan.
 “
Es un modelo de evaluación y monitoreo que
enfatiza en el control de negocios, la seguridad IT y
que
abarca controles específicos de IT desde una
perspectiva de negocios.
Creado por la Asociación para la Auditoría
y Control de Sistemas de Información ISACA

(Information Systems Auditand and Control

Association)

y el Instituto de Administración de las

Tecnologías de la Información ITGI

(IT Governance Institute) en 1995.

PARA QUIENES PARA QUE
• Alinear los objetivos de TI y del negocio.
Gerentes
Gerentes de
de TI negocio
• Establecer una orientación a procesos.

• Ser consistente con las mejores prácticas y

Gerentes estándares control (COSO) y de TI,
Usuarios
de
de TI independiente de tecnologías específicas.
Riesgo

• Proporcionar un lenguaje común para todos

los interesados.
Administradores Auditores
COBIT 4.1 vs COBIT 5

COBIT
COBIT 4.1
4.1 COBIT
COBIT 5
5
En su cuarta edición, COBIT tiene 34 objetivos de
alto nivel que cubren 210 objetivos de control COBIT
COBIT 55 se
se basa
basa en
en COBIT
COBIT 4.1,
4.1, yy aa su
su vez
vez lo
lo amplía
amplía
(específicos o detallados) clasificados en: mediante
mediante la
la integración
integración de
de otros
otros importantes
importantes marcos
marcos yy normas
normas
como:
como:
4 dominios:

1. Planificación y Organización, ◆ Val

◆ Val IT
IT yy Risk
Risk IT
IT
2. Adquisición e Implementación,
◆
◆ Information
Information Technology
Technology
3. Entrega y Soporte, y,
4. Supervisión y Evaluación.
◆
◆ Infrastructure
Infrastructure Library
Library (ITIL
(ITIL ®)
®)
◆
◆ yy las
las normas
normas ISO ISO relacionadas.
relacionadas.
En inglés: Plan and Organize,
Acquire and Implement,
Deliver and Support,
and Monitor and Evaluate.
EDICIONES DE COBIT
MISION
• Investigar, desarrollar,
publicar y promover un
conjunto de objetivos de
control de TI internacional y
actualizado, para ser
utilizado diariamente por
Gerentes de negocio y
Auditores.
VISION
• Consolidarse como un líder
mundialmente conocido en
materia de gobierno, control
y aseguramiento de la
gestión de TI.(ser modelo)
VAL IT
• relaciona los procesos de
COBIT con los procesos de
la gerencia mayor requeridos
para conseguir un buen valor
de las inversiones en
tecnologías de la información.
Procesos Orientados

Planear y
Organizar
(PO)

Define las
Monitorear y
Evaluar
actividades Adquirir e
Implementar
(ME) TI en 4 (AI)
procesos:

Entregar y
dar Soporte
(DS)
 PLANEAR Y ORGANIZAR
(PO)

◆ Cubre los aspectos estratégicos e

identifica la manera en que TI puede
contribuir de la mejor manera al
logro de los objetivos del negocio. 
Además, la realización de la visión
estratégica requiere ser planeada,
comunicada y administrada desde
diferentes perspectivas. Finalmente, se
debe implementar una estructura
organización y una estructura
tecnológica apropiada.
PLANEAR Y ORGANIZAR
(PO)
PO3: Determinar la
Dirección Tecnológica
PO1: Definir un plan
• Plan de infraestructura tecnológica
estratégico de TI que administre expectativas de lo
• Alinear la planeación estratégica de que la tecnología puede ofrecer en
TI con las necesidades del negocio términos de productos, servicios y
actuales y futura. mecanismos de aplicación.

PO2. Definir la
Arquitectura de la
Información
• Todos Aquellos requerimientos de
la organización (TI) que se pueda
satisfacer mediante un Modelo de
Información.
PLANEAR Y ORGANIZAR
(PO)
P04: Definir los Procesos, PO6: Comunicar las
Organización y Aspiraciones y la
Relaciones de TI Dirección de la Gerencia
• Procesos, políticas de • Información precisa y oportuna
administración y procedimientos sobre los servicios de TI actuales y
para todas las funciones, con futuros, los riesgos asociados y las
atención específica en el control TI responsabilidades.

PO5: Administrar la
Inversión en TI

• Costos, beneficios, prioridades

dentro del presupuesto.
PLANEAR Y ORGANIZAR
(PO)
PO7 Administrar
Recursos Humanos
• Administración del Personal PO9 Evaluar Riesgos
contribuyendo con sus • Identificación de riesgos de
conocimientos a los TI . Análisis de impacto,
procesos de TI económicas para mitigarlo .

PO8 Asegurar el
cumplir Requerimientos
Externos
• Cumplir con obligaciones
legales, regulatorias y
contractuales.
PLANEAR Y ORGANIZAR
(PO)

PO10 Administrar proyectos

• Priorizar de acuerdo al presupuesto y
las necesidades, adoptando técnicas
de administración.

PO11 Administrar Calidad:

• Planeación, implementación y
mantenimiento de estándares y
sistemas de administración de calidad
por parte de la organización.
 ADQUISICIÓN E
IMPLEMENTACIÓN (AI)

◆ Identificar, desarrollar o
adquiridor las soluciones TI, así
como su implementación e
integración de acuerdo a las
necesidades de la Compañía.
Cambios y mantenimiento a
sistemas existentes
 ADQUISICIÓN E
IMPLEMENTACIÓN (AI)

Proporcionar funciones Plataformas adecuadas,

I2 Adquirir y AI3 Adquirir y
automatizadas que evaluar el desempeño,
AI1 IdentificarCumplir con los Mantener Mantener
soporten efectivamente la provisión de
Soluciones
requerimientos del usuario. Software de Arquitectura
organización mantenimiento, instalación,
Aplicación de TI
específicamente. seguridad y control.
 SERVICIOS Y SOPORTE (DS) 
Asegurar el uso de las
AI4 Desarrollar
aplicaciones y de las
y Mantener
soluciones tecnológicas ,
Procedimientos
mediante el desarrollo de
relacionados
manuales de procedimientos
con TI
de operaciones para usuarios
Verificar y confirmar que la
solución sea adecuada para el Seguimiento de todos los
AI5 Instalar y
propósito deseado mediante la AI6 Administrar
cambios requeridos y llevados
Acreditar
realización de una migración Cambios:a cabo a la infraestructura de
Sistemas
de instalación, conversión y TI actual.
plan de aceptaciones.
 SERVICIOS Y SOPORTE (DS) 

◆ Entrega de los servicios, desde las

operaciones tradicionales hasta el
entrenamiento, pasando por
seguridad y aspectos de
continuidad. Con el fin de proveer
servicios, deberán establecerse los
procesos de soporte necesarios. Este
dominio incluye el procesamiento de
los datos por sistemas de aplicación,
frecuentemente clasificados como
controles de aplicación.
SERVICIOS Y SOPORTE (DS) 

DS1 Definir DS2 Administrar DS3 Administrar

DS4 Asegurar DS5 Garantizar la
niveles de Servicios de Desempeño y DS6 Identificar y
Servicio Continuo Seguridad de
servicio Terceros Calidad Asignar Costos
(Continuidad del Sistemas (acceso
(convenio de (Interventoría del (Reportes de (Presupuesto)
negocio) a la Información)
Niveles) Contrato) Desempeño)
SERVICIOS Y SOPORTE (DS) 

DS10 Administrar DS13 Administrar

DS9 Administrar la DS11 Administrar
DS7 Capacitar DS8 Asistir a los Problemas e DS12 Administrar Operaciones
Configuración Datos (Completos,
Usuarios (Uso Clientes de TI Incidentes Instalaciones (Cumplir las
(Verificar el activo precisos y validos-
efectivo) (Mesa de Ayuda) (Seguimiento a (Ambiente Físico) actividades de
físico) entrada a la salida)
Incidentes) soporte)
 MONITOREO (M)

◆ Evaluación regular a
través del tiempo para
verificar su calidad y
suficiencia en cuanto a
los requerimientos de
control, integridad y
confidencialidad.
MONITOREO (M)

M2 Evaluar lo M3 Obtener
M1 Monitorear M4 Proveer
adecuado del aseguramiento
los procesos auditoria
control interno independiente
(reportes e independiente
(Objetivos de (Niveles de
indicadores de (implementar
control interno confianza en la
desempeño ) de un externo)
para T.I) Organización)
COBIT 5

Gobierno Corporativo de TI

Evolución del Alcance

Gobierno de TI

Val IT
Administración 2.0
(2008)

Control
Risk IT
(2009)
Auditoría

COBIT1 COBIT2 COBIT3 COBIT4.0/4.1 COBIT 5

1996 1998 2000 2005/7 2012

Un Marco Empresarial de ISACA, en www.isaca.org/cobit

© 2012 ISACA® Todos los derechos reservados.
 DIFERENCIAS (4,1 A 5)

Tiene 5 dominios y 37 procesos.

Gobierno: Evaluar, Dirigir y
Monitorear

◆ EEDM02 Asegurar la Entrega de

Satisfacer las necesidades de los Interesados
Valor
◆ EDM03 Asegurar la Optimización de Cubrir la Empresa de Extremo a Extremo
los Riesgos
◆ EDM04 Asegurar la Optimización de Aplica un Marco Integrado
los Recursos
Enfoque holístico
◆ EDM05 Asegurar la Transparencia a
las partes interesadas Separar Gobierno
◆ DM01 Asegurar que se fija el Marco de Gestión
de Gobierno y su Mantenimiento

Busca mediante los siguientes

principios:
EL CUBO COBIT

Principios básico del marco

de trabajo COBIT
Los recursos de TI son manejados
por procesos de TI para lograr
metas de TI que respondan a los
requerimientos del negocio.
PROCESOS DE TI

Agrupación natural de procesos,

Dominios normalmente correspondientes a un
dominio o responsabilidad
organizacional

Conjunto de actividades unidas

Procesos con delimitación o cortes de
control.

Acciones necesarias para lograr

Actividades un resultado medible. Las
o tareas actividades tienen un ciclo de vida.
PRODUCTOS COBIT

Resumen ejecutivo
Marco referencial
(framework)
El paquete de programas de COBIT
Objetivos de control completo, es un conjunto de 6
publicaciones que sirven como apoyo al
proceso.

Guías de auditoría

Herramientas de
Implementación

Directrices de Dirección
RECURSOS Y PROCESOS
DE T.I.
RECURSOS

◆ Aplicaciones.
◆ Información.
◆ Infraestructura.
◆ Personas.
ACTIVIDADES

ACTIVIDAES
PLANEAR Y
ORGANIZAR
ADQUIRIR E
IMPLEMENTAR
ENTREGAR Y
DAR SOPORTE
MONITOREAR
Y EVALUAR
PROCESOS
PLANEAR Y ORGANIZAR
ADQUIRIR E IMPLEMENTAR
ENTREGAR Y DAR SOPORTE
MONITORIAR Y EVALUAR
CUBO DE COBIT
GENERADORES DE
MEDICIÓN
COBIT UTILIZA

◆ MODELO DE MADUREZ
◆ METAS Y MEDICIONES
◆ META DE ACTIVIDADES
CUBO DE COBIT
 MODELO DE MADUREZ SEGÚN COBIT

No
Repetib adminis Optimiz
Existent Inicial definido
le trado ado
e

0 1 2 3 4 5
MEDICIÓN DE
DESEMPEÑO
 SE UTILIZAN DOS TIPOS DE MÉTRICAS

◆ INDICADORES CLAVE DE METAS ( KGI)

◆ INDICADORES CLAVE DE DESEMPEÑO (KPI)
CARACTERÍSTICAS DE MÉTRICAS
EFECTIVAS

◆ Una alta proporción entendimiento-esfuerzo (esto

es, el entendimiento del desempeño y del logro de
las metas en contraste con el esfuerzo de lograrlos)

◆ Deben ser comparables internamente (esto es, un
porcentaje en contraste con una base o números en
el tiempo) 
CARACTERÍSTICAS DE MÉTRICAS
EFECTIVAS

◆ Deben ser comparables externamente sin tomar en

cuenta el tamaño de la empresa o la industria 
◆ Es mejor tener pocas métricas (quizá una sola muy
buena que pueda ser influenciada por distintos
medios) que una lista más larga de menor calidad 
◆ Debe ser fácil de medir y no se debe confundir con
las metas
INDICADORES DE
DESEMPEÑO
◆ Los indicadores clave de desempeño (KPI) definen
mediciones que determinan qué tan bien se está
desempeñando el proceso de TI para alcanzar la
meta. Son los indicadores principales que indican si
será factible lograr una meta o no, y son buenos
indicadores de las capacidades, prácticas y
habilidades. Miden las metas de las actividades, las
cuales son las acciones que el propietario del
proceso debe seguir para lograr un efectivo
desempeño del proceso.
EJEMPLO DE INDICADORES DE
DESEMPEÑO
¿POR QUÉ
ADOPTAR COBIT?
◆ Suministra un lenguaje común que le permite a los ejecutivos de negocios
comunicar sus metas, objetivos y resultados con Auditores, IT y otros
profesionales.
◆ Proporciona las mejores prácticas y herramientas para monitorear y
gestionar las actividades de TI.
◆ Protege la información, es decir lograr la confidencialidad de la
información.
◆ Disponibilidad de la información cuando ésta se requiere por el proceso de
negocio en todo momento.
◆ COBIT proporciona las directrices  para tomar las decisiones en la
realización de servicios.
◆ Este marco de referencia proporciona roles y responsabilidades. 
◆ Proporciona la optimización de los costos de las TI. 
◆ Este marco no obliga a adoptar todos los procesos. 
◆ COBIT integra auditorias, analiza todo su procesos  atreves de las
auditorias. 
Gracias
Preguntas?