Estándar de Controles y Auditoría

de Tecnología Informática

Fernando Izquierdo Duarte

2002
Information Systems Audit and Control Association®

Information Systems Audit and Control Foundation

Reconocida como líder

mundial en el gobierno, control
y evaluación de TI.
Misión: Soportar los objetivos empresariales
mediante el desarrollo, promoción y entrega de
investigaciones, estándares, competencias y
prácticas para un efectivo gobierno, control y
evaluación de los sistemas de información y la
tecnología relacionada

Information Information
Systems Audit and Systems Audit and
Control Control
Association Foundation
(ISACATM) (ISACFTM)
 Historia ISACA
• Fundada in 1969, como EDP Auditors
Association
• Más de 26,000 miembros en más de 100
paises
• Más de 160 capítulos alrededor del mundo
• Antecedentes
• Definición, Misión y Usuarios
• Características Generales
• Principios (Requerimientos de Información,
Recursos de TI y Procesos de TI)
• Estructura de CobiT
• CobiT como Producto (Componentes)
• CobiT y Otros estándares
 Antecedentes
• El gremio de profesionales en TI se mostró
preocupado por la falta de una guía estándar
sobre el control en TI, que sirviera para
diferentes grupos de interés.
• LA ISACF, como órgano que agrupa a
profesionales de diferentes áreas interesados
en el control de TI, se dió a la tarea de
dearrollar un conjunto común de conceptos
sobre la materia.
 Antecedentes
• COBIT Integra y concilia normas y reglamentaciones
existentes como:
– ISO (9000-3)
– Códigos de Conducta del Consejo Europeo
– COSO, IFAC, IIA, ISACA, AICPA y Otras
• Incluye el contenido de los Objetivos de Control
emitidos por ISACA (EDPAA)
• Se publica por 1ra vez en Septiembre de 1996
• Se publica la 2a Edición en Abril de 1988
• Se publicó la 3a Edición en Marzo de 2000
 Definición

Control
OBjectives
for Information
and Related Technology
(Objetivos de Control para Tecnología de
Información y Tecnologías realacionadas)
 Misión

Investigar, desarrollar, publicar y promover

un conjunto internacional y actualizado de
objetivos de control para tecnología de
información que sea de uso cotidiano para
gerentes, auditores.
 Usuarios
• La Gerencia: para apoyar sus decisiones de
inversión en TI y control sobre el rendimiento
de las mismas, analizar el costo beneficio del
control.
• Los Usuarios Finales: quienes obtienen una
garantía sobre la seguridad y el control de los
productos que adquieren interna y externamente
 Usuarios
• Los Auditores : para soportar sus opiniones
sobre los controles de los proyectos de TI ,
su impacto en la organización y determinar
el control mínimo requerido.
• Los Responsables de TI: para identificar
los controles que requieren en sus áreas
 Características
• Orientado al negocio
• Alineado con estándares y regulaciones “de
facto”
• Basado en una revisión crítica y analítica de
las tareas y actividades en TI
• Alineado con estándares de control y auditoría
(COSO, IFAC, IIA, ISACA, AICPA)
 Principios
REQUERIMIENTOS
DE INFORMACIÓN
DEL NEGOCIO

PROCESOS
DE TI

RECURSOS
DE TI
 Requerimientos de la
Información del Negocio
CobiT combina los principios contenidos por modelos existentes
y conocidos, como COSO, SAC y SAS

Requerimientos Calidad (Confiabilidad, amistosidad).

de Calidad Costo.
Oportunidad.

Requerimientos Efectividad y eficiencia operacional.

Financieros Confiabilidad de los reportes financieros.
(COSO) Cumplimiento de leyes y regulaciones.

Requerimientos Confidencialidad.
de Seguridad Integridad.
Disponibilidad.
 Objetivos del Definir un plan estratégico de TI
Definir la arquitectura de información
Negocio Determinar la dirección tecnológica
Definir la organización y relaciones de TI
Manejo de la inversión en TI
Seguimiento de los procesosEvaluar lo Comunicación de la directrices Gerenciales
adecuado del control Interno Administración del Recurso Humano
Obtener aseguramiento inndependiente
Proveer una auditoría independiente
CobiT Asegurar el cumplir requerimientos externos
Evaluación de Riesgos
Administración de Proyectos
Administración de Calidad

Req. Información
Efectividad, Eficiencia,
Confidencialidad, Integridad,
Seguimiento Disponibilidad, Planeación y
Cumplimiento, Confiabilidad Organización

Recursos de TI
Datos, Aplicaciones
Definición del nivel de servicio
Admistración del servicio de terceros Tecnología, Instalaciones, Adquisición e
Admon de la capacidad y el desempeño Recurso Humano Implementación
Asegurar el servicio continuo
Garantizar la seguridad del sistema
Identificación y asignación de costos
Capacitación de usuarios
Soporte a los clientes de TI
Admistración de la configuración Servicios y Identificación de soluciones
Administración de problemas e incidentes
Administración de datos
Soporte Adquisición y mantenimiento de SW aplicativo
Adquisición y mantenimiento de arquitectura TI
Administración de Instalaciones Desarrollo y mantenimiento de Procedimientos de TI
Administración de Operaciones Instalación y Acreditación de sistemas
Administración de Cambios
 Requerimientos de la
Información del Negocio
• Efectividad: La información debe ser relevante y pertinente
para los procesos del negocio y debe ser proporcionada en
forma oportuna, correcta, consistente y utilizable
• Eficiencia: Se debe proveer información mediante el
empleo óptimo de los recursos (la forma más productiva y
económica)
• Confidencialidad: Protección de la información sensitiva
contra divilgación no autorizada
• Integridad: Refiere a lo exacto y completo de la
información así como a su validez de acuerdo con las
expectativas de la empresa.
 Requerimientos de la
Información del Negocio
• Disponibilidad: accesibilidad a la información cuando
sea requerida por los procesos del negocio y la
salvaguarda de los recursos y capacidades asociadas a
los mismos.
• Cumplimiento: de las leyes, regulaciones y compromisos
contractuales con los cuales está comprometida la
empresa.
• Confiabilidad: proveer la información apropiada para que
la administración tome las decisiones adecuadas para
manejar la empresa y cumplir con las responsabilidades
de los reportes financieros y de cumplimiento normativo.
 Recursos de TI
• Datos: Todos los objetos de información. Considera información
interna y externa, estructurada o nó, gráficas, sonidos, etc.
• Aplicaciones: entendido como los sistemas de información,
que integran procedimientos manuales y sistematizados.
• Tecnología:incluye hardware y software básico, sistemas
operativos, sistemas de administración de bases de datos, de
redes, telecomunicaciones, multimedia, etc.
• Instalaciones:Incluye los recursos necesarios para alojar y dar
soporte a los sistemas de información.
• Recurso Humano: Por la habilidad, conciencia y productividad
del personal para planear, adquirir, prestar servicios, dar soporte
y monitorear los sistemas de Información.
 Objetivos del Definir un plan estratégico de TI
Definir la arquitectura de información
Negocio Determinar la dirección tecnológica
Definir la organización y relaciones de TI
Manejo de la inversión en TI
Seguimiento de los procesos Comunicación de la directrices Gerenciales
Evaluar lo adecuado del control Interno Administración del Recurso Humano
Obtener aseguramiento inndependiente
Proveer una auditoría independiente
CobiT Asegurar el cumplir requerimientos externos
Evaluación de Riesgos
Administración de Proyectos
Administración de Calidad

Req. Información
Efectividad, Eficiencia,
Confidencialidad, Integridad,
Seguimiento Disponibilidad, Planeación y
Cumplimiento, Confiabilidad Organización

Recursos de TI
Datos, Aplicaciones
Definición del nivel de servicio
Admistración del servicio de terceros Tecnología, Instalaciones, Adquisición e
Admon de la capacidad y el desempeño Recurso Humano Implementación
Asegurar el servicio continuo
Garantizar la seguridad del sistema
Identificación y asignación de costos
Capacitación de usuarios
Soporte a los clientes de TI
Admistración de la configuración Servicios y Identificación de soluciones
Administración de problemas e incidentes
Administración de datos
Soporte Adquisición y mantenimiento de SW aplicativo
Adquisición y mantenimiento de arquitectura TI
Administración de Instalaciones Desarrollo y mantenimiento de Procedimientos de TI
Administración de Operaciones Instalación y Acreditación de sistemas
Administración de Cambios
 Procesos de TI
- Los Tres Niveles
Agrupación Natural de procesos,
Dominios normalmente corresponden a un
dominio o una responsabilidad
organizacional
Procesos
Conjuntos o series de actividades
unidas con delimitación o cortes de
control.

Actividades
Acciones requeridas para lograr un
o tareas resultado medible. Las Actividades
Tienen un ciclo de vida mientras
que las tareas son discretas.
 Procesos de TI
- Dominios

• Planeación y Organización (Planning and

Organization)
• Adquisición e implementación
(Acquisition and Implementation)
• Prestación de Servicios y Soporte
(Delivery and Support)
• Seguimiento (monitoring)
 Procesos de TI
- Procesos
Planeación y Definir un plan estratégico de TI
Organisación Definir la arquitectura de información
Determinar la dirección tecnológica
Definir la organización y relaciones de TI
Manejo de la inversión en TI
Comunicación de la directrices Gerenciales
Administración del Recurso Humano
Asegurar el cumplir requerimientos externos
Evaluación de Riesgos
Administración de Proyectos
Administración de Calidad

Adquisición e Identificación de soluciones

Implementación Adquisición y mantenimiento de SW aplicativo
Adquisición y mantenimiento de arquitectura TI
Desarrollo y mantenimiento de Procedimientos de TI
Instalación y Acreditación de sistemas
Administración de Cambios
 Procesos de TI
- Procesos
Servicios y Definición del nivel de servicio
Soporte Admistración del servicio de terceros
Admon de la capacidad y el desempeño
Asegurar el servicio continuo
Garantizar la seguridad del sistema
Identificación y asignación de costos
Capacitación de usuarios
Soporte a los clientes de TI
Admistración de la configuración
Administración de problemas e incidentes
Administración de datos
Administración de Instalaciones
Administración de Operaciones
Seguimiento
Seguimiento de los procesos
Evaluar lo adecuado del control Interno
Obtener aseguramiento independiente
Proveer una auditoría independiente
 Estructura de

EVENTOS INFORMACIÓN

Objetivos de Datos Efectividad

negocio Eficiencia
Applicaciones
Oportunidades Confidencialidad
Tecnología
de negocio Integridad
Instalaciones Disponibilidad
Requerimientos Recurso Humano
externos Cumplimiento
Regulación Confiabilidad
Riesgos
 Estructura de
Lo que usted
Procesos del Lo que Usted
Obtiene Negocio Necesita

Criterios
Efectividad
Información Eficiencia
Confidencialidad
Integridad
Disponibilidad
Cumplimiento
Recursos de TI Confiabilidad

Datos
Aplicaciones
Tecnología Concuerdan
Instalaciones
Recurso Humano
 Estructura de
Criterios de la Información (7)
CUBO de CobiT
Relación entre los
componentes

Dominios
Procesos TI

Procesos

Actividades
 Objetivos del Definir un plan estratégico de TI
Definir la arquitectura de información
Negocio Determinar la dirección tecnológica
Definir la organización y relaciones de TI
Manejo de la inversión en TI
Seguimiento de los procesos Comunicación de la directrices Gerenciales
Evaluar lo adecuado del control Interno Administración del Recurso Humano
Obtener aseguramiento inndependiente
Proveer una auditoría independiente
CobiT Asegurar el cumplir requerimientos externos
Evaluación de Riesgos
Administración de Proyectos
Administración de Calidad

Req. Información
Efectividad, Eficiencia,
Confidencialidad, Integridad,
Seguimiento Disponibilidad, Planeación y
Cumplimiento, Confiabilidad Organización

Recursos de TI
Datos, Aplicaciones
Definición del nivel de servicio
Admistración del servicio de terceros Tecnología, Instalaciones, Adquisición e
Admon de la capacidad y el desempeño Recurso Humano Implementación
Asegurar el servicio continuo
Garantizar la seguridad del sistema
Identificación y asignación de costos
Capacitación de usuarios
Soporte a los clientes de TI
Admistración de la configuración Servicios y Identificación de soluciones
Administración de problemas e incidentes
Administración de datos
Soporte Adquisición y mantenimiento de SW aplicativo
Adquisición y mantenimiento de arquitectura TI
Administración de Instalaciones Desarrollo y mantenimiento de Procedimientos de TI
Administración de Operaciones Instalación y Acreditación de sistemas
Administración de Cambios
 Como Producto
• Resumen Ejecutivo
• Marco de Referencia (Framework)
• Objetivos de Control
• Guías de Auditoría
• Guías de Administración
• Herramientas de implementación
• CD-ROM
• 2a Edición disponible en español
 - Resumen Ejecutivo
• Documento dirigido a la alta gerencia
• Presenta los antecedentes y la estructura
básica de COBIT.
• Describe de manera general los procesos,
los recursos y los criterios de información,
los cuales conforman la “Columna
Vertebral” de COBIT.
 - Marco de Referencia
• Incluye la introducción contenida en el
resumen ejecutivo
• Presenta las guías de navegación para que
los lectores se orienten en la exploración del
material de COBIT.
• Hace una presentación detallada de los 34
procesos contenidos en los cuatro
dominios.
 - Objetivos de Control
• Integran en su contenido lo expuesto tanto
en el resumen ejecutivo como en el marco
de referencia
• Presenta los objetivos de control detallados
para cada uno de los 34 procesos.
• En total se describen 302 objetivos de
control (de 3 a 30 objetivos por cada uno de
los procesos)
 - Guías de Auditoría
• Se hace una presentación del proceso de auditoría
generalmente aceptado (relevamiento de
información,evaluación de control, evaluación de
cumplimiento y evidenciación de los riesgos).
• Este documento incluye guías detalladas para
auditar cada uno de los 34 procesos teniendo en
cuenta los 318 objetivos de control detallados.
 Guías de Administración
• Se enfoca de manera similar a los otros productos
• Integra los principios del Balanced Businnes
Scorecard.
• Para ayudar a determinar cuales son los adecuados
niveles de seguridad y control integra
losconceptos de:
– Modelo de madurez CMM (prácticas de Control)
– Indicadores claves de Desempeño de los procesos de TI
– Factores Críticos de Éxito a tener en cuenta para
mentener bajo control los procesos de TI.
 Herramientas de
Implementación
• Muestra algunas de las lecciones aprendidas
por aquellas organizaciones que han aplicado
CobiT
• Incluye una guía de implementación con dos
herramientas: Diagnóstico de conciencia
Administrativa y Diagnóstico de Control en TI
• Respuestas a las 25 preguntas mas frecuentes
sobre CobiT
 CD-ROM
• El CD-ROM de CobiT contiene toda la
información relacionada con los objetivos
de Control y guías de Auditoría, facilitando.
su búsqueda y acceso.
• Permite contar con las guías por objetivo de
control de una manera fácil y oportuna
cuando se están realizando labores de
auditoría.
 Comparación de conceptos
de Control Interno
CobiT 1996/1998
Definición de Definición de Objetivos
Control Interno de Control de T I

COSO 1992
SAC 1991/1994
Contribuciones
Conceptos de
al concepto de Control Interno Conceptos de
Control Interno Control Interno

SAS 78 - 1995 enmienda

SAS 55 - 1988
 Comparación de Conceptos de Control

COBIT SAC COSO SASs 55/78

Dirigido a: Administración, Usuarios, Auditores de Auditores Internos Administración Auditores Externos
Sistemas Responsables de TI
El Control Interno es Visto Conjunto de procesos incluyendo Conjunto de procesos, Procesos Procesos
como políticas, procedimientos, prácticas y subsistemas y personas
estructura Organizacional
Los Objetivos Efectividad y Eficiencia de las Efectividad y Eficiencia de Efectividad y Eficiencia de las Efectividad y Eficiencia de las
Organizacionales de operaciones las operaciones operaciones operaciones
Control Interno
Confidencialidad, Integridad y Confiabilidad en los reportes Confiabilidad en los reportes Confiabilidad en los reportes
disponibilidad de la información financieros financieros financieros
Confiabilidad en los reportes Cumplimiento con leyes y Cumplimiento con leyes y Cumplimiento con leyes y
financieros normas normas normas
Cumplimiento con leyes y normas
Componentes o Dominios Dominios: Componentes: Componentes: Componentes:
Planeación y Organización Ambiente de Control Ambiente de Control Ambiente de Control
Adquisición e implantación Sistemas Manuales y Evaluación de Riesgo Evaluación de Riesgo
Automatizados.
Servicio y Soporte Actividades de Control Actividades de Control
Procedimientos de Control
Seguimiento Información y Comunicación Información y Comunicación
Seguimiento Seguimiento
Enfocado a Tecnología de Información Tecnología de Información Toda la Organización Estados Financieros
Evaluación de la Por un periodo de tiempo Por un periodo de tiempo En un punto en el tiempo Por un periodo de tiempo
Efectividad del Control I.
Responsable por el Control Administración Administración Administración Administración
Interno
Tamaño 187 páginas en 4 volúmenes 1193 páginas en 12 módulos 353 páginas en 4 volúmenes 63 páginas en 2 documentos
 GRACIAS POR
ASISTIR A ESTA
CONFERENCIA
www.isaca.org
www.isaca-bogota.org
MI RESUMEN de 1c (2)