COBIT

Control Objetives for information

and related technologies
AUDITORIA DE SISTEMAS DE INFORMACIN

Qu es COBIT?

Control Objetives for information and related

technologies (Objetivos de Control para Informacin
y Tecnologas Relacionadas), es una gua de mejores
prcticas presentado como
marco de referencia,
dirigida al control y supervisin de tecnologa de la
informacin.

Principales Caractersticas de COBIT

Enfocado al
negocio

Orientado a
los procesos

Basado en
los controles

Guiado por
la medicin

COBIT

El gobierno de TI es responsabilidad de los ejecutivos,

del consejo de directores y consta de liderazgo,
estructuras y procesos
organizacionales que
garantizan que TI en la empresa sostiene y extiende
las estrategias y objetivos organizacionales.

COBIT
Para que TI tenga xito en satisfacer los
requerimientos del negocio, la direccin debe
implementar un sistema de control interno o un marco
de trabajo. El marco de trabajo de control COBIT
contribuye a estas necesidades de la siguiente manera:
Estableciendo un vnculo con los requerimientos del negocio
Organizando las actividades de TI en un modelo de procesos
generalmente aceptado
Identificando los principales recursos de TI a ser utilizados
Definiendo los objetivos de control gerenciales a ser considerados

COBIT
Los Objetivos de Control para la Informacin y la

Tecnologa relacionada (COBIT) brindan buenas

prcticas a travs de un marco de trabajo de dominios y
procesos, y presenta las actividades en una estructura
manejable y lgica.
Las buenas prcticas de COBIT representan el consenso
de los expertos.
Estn enfocadas fuertemente en el control y menos en la
ejecucin.
Estas prcticas ayudarn a optimizar las inversiones
habilitadas por TI, asegurarn la entrega del servicio y
brindarn una medida contra la cual juzgar cuando las
cosas no vayan bien.

El gobierno corporativo

Proveer direccin
estratgica

Asegurar que los

objetivos son
logrados

Establecer una
adecuada
administracin de
riesgos

Verificar que los

recursos de la
empresa son
utilizados
responsablemente

La alta gerencia necesita que TI:

Garantice el logro de sus objetivos

Tenga suficiente flexibilidad para aprender y adaptarse
Cuente con un manejo juicioso de los riesgos que enfrenta
Reconozca de forma apropiada las oportunidades y acte de acuerdo a ellas

Quin necesita COBIT?

Interesados dentro de la empresa que tienen inters en generar valor
de las inversiones en TI.
Aquellos que toman decisiones de inversiones
Aquellos que deciden respecto a los requerimientos
Aquellos que utilizan los servicios de TI
Interesados internos y externos que proporcionan servicios de TI:
Aquellos que administran la organizacin y los procesos de TI
Aquellos que desarrollan capacidades
Aquellos que operan los servicios
Interesados internos y externos con responsabilidades de control/
riesgo:
Aquellos con responsabilidades de seguridad, privacidad y/o riesgo
Aquellos que realizan funciones de cumplimiento
Aquellos que requieren o proporcionan servicios de aseguramiento

COBIT: ENFOCADO AL NEGOCIO

PRINCIPIO BSICO

COBIT: ENFOCADO AL NEGOCIO

CRITERIOS DE INFORMACIN DE COBIT
La informacin debe cumplir los siguientes requisitos
de negocio y utilizados como Criterios de control:
La efectividad

La eficiencia

La confidencialidad

Relevante y pertinente.
Oportuna, correcta,
consistente y utilizable

Generada optimizando
los recursos

Proteccin contra
revelacin no
autorizada

La integridad

La disponibilidad

El cumplimiento

Precisin y completitud
de la informacin.
Validez

Disponible cuando sea

requerida.

Acatar leyes,
reglamentos y acuerdos
contractuales.

La confiabilidad
Informacin apropiada.

COBIT: ENFOCADO AL NEGOCIO

Gestin de recursos TI
INFORMACIN
Son los datos en todas sus formas,
de entrada, procesados,
generados.

ENTREGA

PROCESO TI

NECESITA

EJECUTA

APLICACIONES
Incluyen sistemas de usuario
automatizados como
procedimientos manuales que
procesan informacin.
INFRAESTRUCTURA Y RRHH
Comprende el hardware, software,
instalaciones, redes , etc.

COBIT: ORIENTADO A PROCESOS

Dominios de COBIT

COBIT: ORIENTADO A PROCESOS

PLANEAR Y ORGANIZAR (PO)
Este dominio cubre las estrategias y las tcticas, y tiene
que ver con identificar la manera en que TI puede
contribuir de la mejor manera al logro de los objetivos
del negocio. Adems, la realizacin de la visin
estratgica requiere ser planeada, comunicada y
administrada desde diferentes perspectivas.
Finalmente, se debe implementar una estructura
organizacional y una estructura tecnolgica apropiada.

PLANEAR Y ORGANIZAR (PO)

Este dominio cubre los siguientes cuestionamientos tpicos
de la gerencia:
Estn alineadas las estrategias de TI y del negocio?
La empresa est alcanzando un uso ptimo de sus
recursos?
Entienden todas las personas dentro de la
organizacin los objetivos de TI?
Se entienden y administran los riesgos de TI?
Es apropiada la calidad de los sistemas de TI para las
necesidades del negocio?

PLANEAR Y ORGANIZAR (PO)

P02 Definir la
arquitectura de
informacin

P03 Determinar
la direccin
tecnolgica

P04 Definir
procesos,
organizacin y
relaciones de TI.

P05 Administrar
la inversin en TI

P06 Comunicar
las aspiraciones y
la direccin de la
gerencia.

P07 Administrar
recursos
humanos Ti

P08 Administrar
calidad

P09 Evaluar y
administrar
riesgos de TI

P10 Administrar
proyectos

COBIT: ORIENTADO A PROCESOS

ADQUIRIR E IMPLEMENTAR (AI)
Para llevar a cabo la estrategia de TI, las soluciones
de TI necesitan ser identificadas, desarrolladas o
adquiridas as como implementadas e integradas en
los procesos del negocio. Adems, el cambio y el
mantenimiento de los sistemas existentes est
cubierto por este dominio para garantizar que las
soluciones sigan satisfaciendo los objetivos del
negocio.

ADQUIRIR E IMPLEMENTAR (AI)

Este dominio, por lo general, cubre los siguientes

cuestionamientos de la gerencia:
Es probable que los nuevos proyectos generan
soluciones que satisfagan las necesidades del
negocio?
Es probable que los nuevos proyectos sean
entregados a tiempo y dentro del presupuesto?
Trabajarn adecuadamente los nuevos sistemas
una vez sean implementados?
Los cambios no afectarn a las operaciones
actuales del negocio?

ADQUIRIR E IMPLEMENTAR (AI)

AI1 Identificar
soluciones
automatizadas

AI2 Adquirir y
mantener el
software
aplicativo

AI3 Adquirir y
mantener la
infraestructura
tecnolgica

AI4 Facilitar la
operacin y el
uso

AI5 Adquirir
recursos de TI

AI6 Administrar
cambios

AI7Instalar y
acreditar
soluciones y
cambios

COBIT: ORIENTADO A PROCESOS

ENTREGAR Y DAR SOPORTE (DS)
Este dominio cubre la entrega en s de los servicios
requeridos, lo que incluye la prestacin del servicio,
la administracin de la seguridad y de la
continuidad, el soporte del servicio a los usuarios, la
administracin de los datos y de las instalaciones
operativos.

ENTREGAR Y DAR SOPORTE (DS)

Por lo general cubre las siguientes preguntas de la gerencia:
Se estn entregando los servicios de TI de acuerdo con las
prioridades del negocio?
Estn optimizados los costos de TI?
Es capaz la fuerza de trabajo de utilizar los sistemas de TI
de manera productiva y segura?
Estn implantadas de forma adecuada la confidencialidad,
la integridad y la disponibilidad?
Este dominio cubre la entrega en s de los servicios
requeridos, lo que incluye la prestacin del servicio, la
administracin de la seguridad y de la continuidad, el soporte
del servicio a los usuarios, la administracin de los datos y de
las instalaciones operativos.

ENTREGAR Y DAR SOPORTE (DS)

DS1 Definir y
administrar
niveles de
servicio

DS2 Administrar
servicios de
terceros

DS3 Administrar
desempeo y
capacidad

DS4 Garantizar
la continuidad
del servicio

DS5 Garantizar
la seguridad de
los sistemas

DS6 Identificar y
asignar costos

DS7 Educar y
entrenar a los
usuarios

DS8 Administrar
la mesa de
servicio y los
incidentes

ENTREGAR Y DAR SOPORTE (DS)

DS9
Administrar la
configuracin

DS10
Administrar
problemas

DS11
Administrar los
datos

DS12
Administrar el
ambiente fsico

DS13
Administrar las
operaciones

COBIT: ORIENTADO A PROCESOS

MONITOREAR Y EVALUAR (ME)
Todos los procesos de TI deben evaluarse de forma
regular en el tiempo en cuanto a su calidad y
cumplimiento de los requerimientos de control. Este
dominio abarca la administracin del desempeo, el
monitoreo del control interno, el cumplimiento
regulatorio y la aplicacin del gobierno.

MONITOREAR Y EVALUAR (ME)

Por lo general abarca las siguientes preguntas de la

gerencia:
Se mide el desempeo de TI para detectar los
problemas antes de que sea demasiado tarde?
La Gerencia garantiza que los controles internos
son efectivos y eficientes?
Puede vincularse el desempeo de lo que TI ha
realizado con las metas del negocio?
Se miden y reportan los riesgos, el control, el
cumplimiento y el desempeo?

ENTREGAR Y DAR SOPORTE (DS)

ME1 Monitorear
y evaluar el
desempeo de TI

ME2 Monitorerar
y evaluar el
control interno

ME3 Garantizar
cumplimiento
regulatorio

ME4
Proporcionar
gobierno de TI

COBIT: BASADO EN CONTROLES

COBIT define objetivos de control para los 34

procesos, as como para el proceso general y los

controles de aplicacin.

COBIT: BASADO EN CONTROLES

Estos objetivos de control de TI proporcionan un conjunto
de requerimientos que debe considerar la gerencia para
un control efectivo de cada proceso de TI.
Son sentencias de acciones de gerencia para aumentar el
valor o reducir el riesgo.
Consisten en polticas, procedimientos, prcticas y
estructuras organizacionales.
Estn diseadas para proporcionar un aseguramiento
razonable de que los objetivos de negocio se conseguirn
y que los eventos no deseables se prevendrn, detectarn
y corregirn.

COBIT: BASADO EN CONTROLES

La gerencia debe tomar decisiones sobre los objetivos
de control:
Seleccionando
aquellos
aplicables

Decidir aquellos
que deben
implementarse

Elegir como
implementarlos
(frecuencia,
extensin,
automatizacin,
etc)

Aceptar el
riesgo de no
implementar
aquellos que
podran aplicar.

COBIT: IMPULSADO POR LA MEDICIN

MODELO GENRICO DE MADUREZ

COBIT: IMPULSADO POR LA MEDICIN

Marco de trabajo de COBIT

Fuente
Tomado de COBIT 4.1 en espaol.