CONTROL INTERNO EN

TECNOLOGÍAS DE
INFORMACIÓN - COBIT II

San Isidro, 10 Junio 2009

Elaborado: Oficina de Riesgos y Desarrollo

¿QUE ES COBIT ?

COBIT (Control Objectives for Information and

Related Technology) es un compendio de
Objetivos de Control para la Tecnología de
Información que incluye herramientas que
permiten a la administración cubrir la brecha
entre los requerimientos de control, la tecnología
y los riesgos de negocio.

2

EL MODELO DEL MARCO DE TRABAJO DE COBIT Administración. y alineados y monitoreados usando las métricas KGI y KPI de COBIT Indicadores clave de Rendiemiento Indicadores clave de Objetivos Objetivos de Control de Alto Nivel 3 . El modelo de procesos COBIT permite que las actividades de TI y los recursos que los soportan sean administrados y controlados basados en los objetivos de control de COBIT. relaciona los requerimientos de información y de gobierno a los objetivos de la función de servicio de TI. Alineación y Monitoreo de Cobit. Control. OBJETIVOS DE NEGOCIO Drivers de Gobernabilidad Gente Infraestructura Información Aplicaciones Resultados de Negocio Procesos de TI Objetivos de TI Criterios de Información Recursos de TI Procesos de TI El marco de trabajo COBIT.

PROCESOS. RECURSOS Y OBJETIVOS DE CONTROL Información Proces Procesos os Personas Dominios Infraestructura Dominio s Aplicaciones Criterios de Información Actividades Activida des 4 .ALINEANDO CRITERIOS.

Europa)  TCSEC (Trusted Computer Evaluación Criteria .U)  IIA SAC (Institute of Internal Auditors .K´)  ITSEC (Information Technology Security Evaluation Criteria . of the Treadway Commission)  OECD (Organizarion for Economic Cooperation and Development)  ISO 9003 (International Standars Organization)  NIST (National Institute of Standars and Technology)  DTI (Departament of Trade and Industry of the U.000 miembros COBIT Investigación: E.Systems Auditability and Control)  IS Auditing Standars Japón 5 .E.Orange Book.U-Europa-Australia-Japón Representatividad Consolidación y armonización 18 estándares  COSO (Committe Of Sponsoring Org.95 países 20.CONCEPTO BÁSICOS ISACA .

CONCEPTO BÁSICOS Para satisfacer los objetivos del negocio la información debe cumplir con criterios que COBIT extrae de los más reconocidos modelos: Requerimientos de calidad (ISO 9000-3) Calidad Costo Entrega Requerimientos fiduciarios (informe COSO) Requerimientos de seguridad (libro rojo. naranja. ISO 17799 y otros)  Disponibilidad  Integridad  Confidencialidad  Eficacia y eficiencia  Confiabilidad de la información  Cumplimiento con leyes y reglamentaciones 6 .

ya que la falta de difusion de normas y buenas prácticas que ayuden a generar conciencia de los riesgos mantiene la quimera del : “ A mi no me va pasar. no hay una terminología común con el negocio.” 7 .¿POR QUÉ COBIT? La Tecnología se ve como un costo.. y se recorta el presupuesto en la seguridad.

¿POR QUÉ COBIT? Gobierno de Tecnología de Información El rol de la Dirección La Dirección. uso. 8 . mantenimiento u operación de los sistemas de información. a través de su Gobierno Corporativo debe garantizar la debida diligencia por parte de todos los individuos involucrados en la administración. diseño. desarrollo.

los recursos de IT deben ser administrados por un conjunto de procesos.REGLA DE ORO DEL COBIT A fin. 9 . de proveer la información que la organización requiere para lograr sus objetivos. agrupados de forma adecuada y normalmente aceptada.

como uno de los recursos más valiosos de toda organización exitosa 10 . como factor crítico de éxito Aplica a todo tipo de organizaciones independiente de sus plataformas de TI Ratifica la importancia de la información.OBJETIVOS Y BENEFICIOS DE COBIT Proveer un marco único reconocido a nivel mundial de las “mejores prácticas” de control y seguridad de TI Consolidar y armonizar estándares originados en diferentes países desarrollados. Enlaza los objetivos y estrategias del negocio con la estructura de control de la TI.

¿A QUIÉN ESTA DIRIGIDO EL COBIT? Las Gerencias y Oficinas para saber que deben exigir. La Auditoría para sustentar sus opiniones sobre los riesgos y la adecuación de la tecnología a las mejores prácticas. Ser asesores proactivos del negocio 11 . como medir los resultados y cuales son sus responsabilidades en esos temas. Balancear el riesgo y la inversión en control de un ambiente a menudo impredecible.

¿A QUIÉN ESTA DIRIGIDO EL COBIT? El Area usuaria para saber que puede pedir a tecnología y que se le va a exigir sobre el control de los procesos del negocio. Son los interesados en saber si los recursos de Tecnología de Información se utilizan adecuadamente y les ayudan a alcanzar sus objetivos El Jefe de Informática para definir un acuerdo de servicios justificar su inversión y 12 .

ORIENTACION DEL COBIT Su orientación hacia el negocio consiste en vincular objetivos de negocio con objetivos de TI. orientado a proceso. basado en controles y dirigido por medidas. e identificar las responsabilidades asociadas del negocio y los propietarios de los procesos de TI. facilitar métricas y modelos de madurez para medir su éxito.” 13 . “Enfocado en el negocio.

NECESIDAD DE RESPUESTA A LOS RETOS DE TI Los 7 retos: Qué no se interrumpa el servicio Qué aporte valor Administrar los costos Dominar la complejidad Alineación con el Negocio Cumplimiento de Regulaciones Seguridad. 14 .

ventajas … Los 4 principios: Dirigir y controlar Con responsabilidad Con imputabilidad Mediante actividades (Procesos) 15 . ámbito.BUEN GOBIERNO DE TI Principios. participantes.

ámbito. participantes. ventajas … Los participantes (grupo de interés): Internos Externos 16 .NECESIDAD DE RESPUESTA A LOS RETOS DE TI Principios.

participantes. ventajas … Las 5 áreas: Alineación estratégica Aportación de Valor Gestión de Riesgos Gestión de Recursos Medidas de rendimiento 17 . ámbito.BUEN GOBIERNO DE TI Principios.

ventajas … Las 5 ventajas: Confianza de la Alta Dirección TI es co-responsable al negocio Retorno de Inversión Superior Servicios más confiables Mayor transparencia 18 . ámbito.BUEN GOBIERNO DE TI Principios. participantes.

MARCO DE BUEN GOBIERNO Y DE TI Las 5 características de un buen marco: Enfocado al Negocio Orientado a Procesos Generalmente aceptado Utilice un lenguaje común Cumpla con los requisitos regulatorios 19 .

políticas y procedimientos. detectados y corregidos sobre la tecnología de información. Es parte de la implementación del Sistema de Control Interno:  Componente de Control gerencia 3.10 Tecnología de Información y comunicaciones  Componente de Información y Comunicaciones.APLICABILIDAD EN LA CPMP ORIENTADO AL SCI Establecer Objetivos de Control a través de acciones. para alcanzar objetivos e intentar que incidentes no deseados sean prevenidos. 20 .

MUCHAS GRACIAS .