Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
de Tecnología Informática
Information Information
Systems Audit and Systems Audit and
Control Control
Association Foundation
(ISACATM) (ISACFTM)
Historia ISACA
• Fundada in 1969, como EDP Auditors
Association
• Más de 26,000 miembros en más de 100
paises
• Más de 160 capítulos alrededor del mundo
• Antecedentes
• Definición, Misión y Usuarios
• Características Generales
• Principios (Requerimientos de Información,
Recursos de TI y Procesos de TI)
• Estructura de CobiT
• CobiT como Producto (Componentes)
• CobiT y Otros estándares
Antecedentes
• El gremio de profesionales en TI se mostró
preocupado por la falta de una guía estándar
sobre el control en TI, que sirviera para
diferentes grupos de interés.
• LA ISACF, como órgano que agrupa a
profesionales de diferentes áreas interesados
en el control de TI, se dió a la tarea de
dearrollar un conjunto común de conceptos
sobre la materia.
Antecedentes
• COBIT Integra y concilia normas y reglamentaciones
existentes como:
– ISO (9000-3)
– Códigos de Conducta del Consejo Europeo
– COSO, IFAC, IIA, ISACA, AICPA y Otras
• Incluye el contenido de los Objetivos de Control
emitidos por ISACA (EDPAA)
• Se publica por 1ra vez en Septiembre de 1996
• Se publica la 2a Edición en Abril de 1988
• Se publicó la 3a Edición en Marzo de 2000
Definición
Control
OBjectives
for Information
and Related Technology
(Objetivos de Control para Tecnología de
Información y Tecnologías realacionadas)
Misión
PROCESOS
DE TI
RECURSOS
DE TI
Requerimientos de la
Información del Negocio
CobiT combina los principios contenidos por modelos existentes
y conocidos, como COSO, SAC y SAS
Requerimientos Confidencialidad.
de Seguridad Integridad.
Disponibilidad.
Objetivos del Definir un plan estratégico de TI
Definir la arquitectura de información
Negocio Determinar la dirección tecnológica
Definir la organización y relaciones de TI
Manejo de la inversión en TI
Seguimiento de los procesosEvaluar lo Comunicación de la directrices Gerenciales
adecuado del control Interno Administración del Recurso Humano
Obtener aseguramiento inndependiente
Proveer una auditoría independiente
CobiT Asegurar el cumplir requerimientos externos
Evaluación de Riesgos
Administración de Proyectos
Administración de Calidad
Req. Información
Efectividad, Eficiencia,
Confidencialidad, Integridad,
Seguimiento Disponibilidad, Planeación y
Cumplimiento, Confiabilidad Organización
Recursos de TI
Datos, Aplicaciones
Definición del nivel de servicio
Admistración del servicio de terceros Tecnología, Instalaciones, Adquisición e
Admon de la capacidad y el desempeño Recurso Humano Implementación
Asegurar el servicio continuo
Garantizar la seguridad del sistema
Identificación y asignación de costos
Capacitación de usuarios
Soporte a los clientes de TI
Admistración de la configuración Servicios y Identificación de soluciones
Administración de problemas e incidentes
Administración de datos
Soporte Adquisición y mantenimiento de SW aplicativo
Adquisición y mantenimiento de arquitectura TI
Administración de Instalaciones Desarrollo y mantenimiento de Procedimientos de TI
Administración de Operaciones Instalación y Acreditación de sistemas
Administración de Cambios
Requerimientos de la
Información del Negocio
• Efectividad: La información debe ser relevante y pertinente
para los procesos del negocio y debe ser proporcionada en
forma oportuna, correcta, consistente y utilizable
• Eficiencia: Se debe proveer información mediante el
empleo óptimo de los recursos (la forma más productiva y
económica)
• Confidencialidad: Protección de la información sensitiva
contra divilgación no autorizada
• Integridad: Refiere a lo exacto y completo de la
información así como a su validez de acuerdo con las
expectativas de la empresa.
Requerimientos de la
Información del Negocio
• Disponibilidad: accesibilidad a la información cuando
sea requerida por los procesos del negocio y la
salvaguarda de los recursos y capacidades asociadas a
los mismos.
• Cumplimiento: de las leyes, regulaciones y compromisos
contractuales con los cuales está comprometida la
empresa.
• Confiabilidad: proveer la información apropiada para que
la administración tome las decisiones adecuadas para
manejar la empresa y cumplir con las responsabilidades
de los reportes financieros y de cumplimiento normativo.
Recursos de TI
• Datos: Todos los objetos de información. Considera información
interna y externa, estructurada o nó, gráficas, sonidos, etc.
• Aplicaciones: entendido como los sistemas de información,
que integran procedimientos manuales y sistematizados.
• Tecnología:incluye hardware y software básico, sistemas
operativos, sistemas de administración de bases de datos, de
redes, telecomunicaciones, multimedia, etc.
• Instalaciones:Incluye los recursos necesarios para alojar y dar
soporte a los sistemas de información.
• Recurso Humano: Por la habilidad, conciencia y productividad
del personal para planear, adquirir, prestar servicios, dar soporte
y monitorear los sistemas de Información.
Objetivos del Definir un plan estratégico de TI
Definir la arquitectura de información
Negocio Determinar la dirección tecnológica
Definir la organización y relaciones de TI
Manejo de la inversión en TI
Seguimiento de los procesos Comunicación de la directrices Gerenciales
Evaluar lo adecuado del control Interno Administración del Recurso Humano
Obtener aseguramiento inndependiente
Proveer una auditoría independiente
CobiT Asegurar el cumplir requerimientos externos
Evaluación de Riesgos
Administración de Proyectos
Administración de Calidad
Req. Información
Efectividad, Eficiencia,
Confidencialidad, Integridad,
Seguimiento Disponibilidad, Planeación y
Cumplimiento, Confiabilidad Organización
Recursos de TI
Datos, Aplicaciones
Definición del nivel de servicio
Admistración del servicio de terceros Tecnología, Instalaciones, Adquisición e
Admon de la capacidad y el desempeño Recurso Humano Implementación
Asegurar el servicio continuo
Garantizar la seguridad del sistema
Identificación y asignación de costos
Capacitación de usuarios
Soporte a los clientes de TI
Admistración de la configuración Servicios y Identificación de soluciones
Administración de problemas e incidentes
Administración de datos
Soporte Adquisición y mantenimiento de SW aplicativo
Adquisición y mantenimiento de arquitectura TI
Administración de Instalaciones Desarrollo y mantenimiento de Procedimientos de TI
Administración de Operaciones Instalación y Acreditación de sistemas
Administración de Cambios
Procesos de TI
- Los Tres Niveles
Agrupación Natural de procesos,
Dominios normalmente corresponden a un
dominio o una responsabilidad
organizacional
Procesos
Conjuntos o series de actividades
unidas con delimitación o cortes de
control.
Actividades
Acciones requeridas para lograr un
o tareas resultado medible. Las Actividades
Tienen un ciclo de vida mientras
que las tareas son discretas.
Procesos de TI
- Dominios
EVENTOS INFORMACIÓN
Criterios
Efectividad
Información Eficiencia
Confidencialidad
Integridad
Disponibilidad
Cumplimiento
Recursos de TI Confiabilidad
Datos
Aplicaciones
Tecnología Concuerdan
Instalaciones
Recurso Humano
Estructura de
Criterios de la Información (7)
CUBO de CobiT
Relación entre los
componentes
Dominios
Procesos TI
Procesos
Actividades
Objetivos del Definir un plan estratégico de TI
Definir la arquitectura de información
Negocio Determinar la dirección tecnológica
Definir la organización y relaciones de TI
Manejo de la inversión en TI
Seguimiento de los procesos Comunicación de la directrices Gerenciales
Evaluar lo adecuado del control Interno Administración del Recurso Humano
Obtener aseguramiento inndependiente
Proveer una auditoría independiente
CobiT Asegurar el cumplir requerimientos externos
Evaluación de Riesgos
Administración de Proyectos
Administración de Calidad
Req. Información
Efectividad, Eficiencia,
Confidencialidad, Integridad,
Seguimiento Disponibilidad, Planeación y
Cumplimiento, Confiabilidad Organización
Recursos de TI
Datos, Aplicaciones
Definición del nivel de servicio
Admistración del servicio de terceros Tecnología, Instalaciones, Adquisición e
Admon de la capacidad y el desempeño Recurso Humano Implementación
Asegurar el servicio continuo
Garantizar la seguridad del sistema
Identificación y asignación de costos
Capacitación de usuarios
Soporte a los clientes de TI
Admistración de la configuración Servicios y Identificación de soluciones
Administración de problemas e incidentes
Administración de datos
Soporte Adquisición y mantenimiento de SW aplicativo
Adquisición y mantenimiento de arquitectura TI
Administración de Instalaciones Desarrollo y mantenimiento de Procedimientos de TI
Administración de Operaciones Instalación y Acreditación de sistemas
Administración de Cambios
Como Producto
• Resumen Ejecutivo
• Marco de Referencia (Framework)
• Objetivos de Control
• Guías de Auditoría
• Guías de Administración
• Herramientas de implementación
• CD-ROM
• 2a Edición disponible en español
- Resumen Ejecutivo
• Documento dirigido a la alta gerencia
• Presenta los antecedentes y la estructura
básica de COBIT.
• Describe de manera general los procesos,
los recursos y los criterios de información,
los cuales conforman la “Columna
Vertebral” de COBIT.
- Marco de Referencia
• Incluye la introducción contenida en el
resumen ejecutivo
• Presenta las guías de navegación para que
los lectores se orienten en la exploración del
material de COBIT.
• Hace una presentación detallada de los 34
procesos contenidos en los cuatro
dominios.
- Objetivos de Control
• Integran en su contenido lo expuesto tanto
en el resumen ejecutivo como en el marco
de referencia
• Presenta los objetivos de control detallados
para cada uno de los 34 procesos.
• En total se describen 302 objetivos de
control (de 3 a 30 objetivos por cada uno de
los procesos)
- Guías de Auditoría
• Se hace una presentación del proceso de auditoría
generalmente aceptado (relevamiento de
información,evaluación de control, evaluación de
cumplimiento y evidenciación de los riesgos).
• Este documento incluye guías detalladas para
auditar cada uno de los 34 procesos teniendo en
cuenta los 318 objetivos de control detallados.
Guías de Administración
• Se enfoca de manera similar a los otros productos
• Integra los principios del Balanced Businnes
Scorecard.
• Para ayudar a determinar cuales son los adecuados
niveles de seguridad y control integra
losconceptos de:
– Modelo de madurez CMM (prácticas de Control)
– Indicadores claves de Desempeño de los procesos de TI
– Factores Críticos de Éxito a tener en cuenta para
mentener bajo control los procesos de TI.
Herramientas de
Implementación
• Muestra algunas de las lecciones aprendidas
por aquellas organizaciones que han aplicado
CobiT
• Incluye una guía de implementación con dos
herramientas: Diagnóstico de conciencia
Administrativa y Diagnóstico de Control en TI
• Respuestas a las 25 preguntas mas frecuentes
sobre CobiT
CD-ROM
• El CD-ROM de CobiT contiene toda la
información relacionada con los objetivos
de Control y guías de Auditoría, facilitando.
su búsqueda y acceso.
• Permite contar con las guías por objetivo de
control de una manera fácil y oportuna
cuando se están realizando labores de
auditoría.
Comparación de conceptos
de Control Interno
CobiT 1996/1998
Definición de Definición de Objetivos
Control Interno de Control de T I
COSO 1992
SAC 1991/1994
Contribuciones
Conceptos de
al concepto de Control Interno Conceptos de
Control Interno Control Interno