Enfoque de Control
Interno..COBIT
Auditoria y Control de gestión
Gabriela Rementería
Otoño 2009
La Administración con la TI
Expectativas
-Ciclo de vida de los productos disminuye
-El nivel del Servicio aumenta
-Los costos en TI aumentan
Responsabilidades
-Salvaguardar
activos
-La información
ha llegado a ser
el bien de mayor
valor
-Rediseño de procesos
-La necesidad de calidad aumenta
-Retorno sobre
la inversión TI
-Mejoramiento continuo
-Procesos distribuidos
-Organizaciones aplanadas
Expectativas y
Responsabilidad
necesitan de un
ambiente de control
La Administración y el Control
La Administración para concentrarse en el logro de sus objetivos debe
establecer adecuados sistema de CI. El SCI existe para dar soporte a los
procesos del negocio, para promover la eficiencia/eficacia de las operaciones,
dar cumplimiento al marco normativo y lograr la confiabilidad de los informes
Financieros (COSO)
La necesidad del aseguramiento del valor de TI,
la administración de los riesgos asociados a TI,
así como el incremento de requerimientos para
controlar la información, se entiende ahora como
elementos claves del gobierno de las
organizaciones.
El valor, el riesgo y el control constituyen la
esencia del………………
Gobierno del TI
El Gobierno del TI es responsabilidad de la Alta Dirección,
de los equipos directivos y consta de liderazgos, estructuras
y procesos organizacionales que garantizan que la TI de la
organización sostiene y extiende las estrategias y objetivos
institucionales.
Control
OBjectives
for Information
and related Technology
Misión
Investigar, desarrollar
y promover un set
internacional de
objetivos de control
relacionados con la TI.
Su uso y aplicación
puede ser tanto para
la Dirección como la
para la Auditoria
VISION
SER EL MODELO
DE
CONTROL
PARA TI
Áreas focales
del Gobierno TI
-Alineación Estratégica: se enfoca en garantizar el
vínculo entre los planes de negocio y de TI; en definir,
mantener y validar la propuesta de valor de TI; y en
alinear las operaciones de TI con las operaciones de la
organización.
-Entrega de Valor: se refiere a ejecutar la propuesta
de valor a todo lo largo del ciclo de entrega,
asegurando que TI genere los beneficios prometidos
en la estrategia, concentrándose en optimizar los
costos y en brindar el valor intrínseco de la TI
-Administración de recursos: se trata de la
inversión óptima, así como la administración adecuada
de los recursos críticos de TI: aplicaciones,
información, infraestructura y personas.
-Administración de Riesgos: requiere conciencia de
los riesgos por parte de los altos ejecutivos, un claro
entendimiento del deseo de riesgo que tiene la
organización, comprender los requerimientos
de cumplimiento, transparencia de los riesgos
significativos, y la inclusión de las responsabilidades
de adm. de riesgos dentro de la organización.
-Medición del Desempeño: Rastrear y monitorear la
estrategia de implementación, la terminación del
proyecto, el uso de los recursos, el desempeño de los
procesos y la entrega del servicio.
Productos de Cobit
Se organizan en tres niveles:
 Administración y Consejo Ejecutivo
 Administración del negocio y de TI
 Profesionales en gobierno,
aseguramiento, control y seguridad
Por qué necesita COBIT?
Alta Dirección
-Para evaluar las decisiones de inversión en TI
-Para balancear riesgos y controles de las inversiones
-Para comparar lo existente y el ambiente futuro de TI
En definitiva: Lograr una seguridad razonable que los objetivos del negocio,
apoyados por TI, serán alcanzados, y que la exposición al riesgo es tratada.
Auditores
Provee criterios para la revisión
y evaluación de ambientes TI. Además,
Permite mejora la eficacia y efectividad
de la auditoria.
Permite dar respuesta a la pregunta:
¿Qué controles mínimos son necesarios?
Informática
Para evaluar su gestión
Y mejorar sus actividades
Usuarios
Para tener certeza sobre el nivel de control de los productos
que provee el servicio y terceras partes.
COBIT: En qué consiste?
Consiste en un medio de control de la TI, basado en criterios
de negocios, documentado por objetivos de control,
organizado en dominios, procesos y actividades TI
Aspectos principales
del ámbito COBIT
Requerimientos de la
organización



Requerimiento de Calidad:
Calidad, entrega y costo
Requerimiento de Seguridad:
Privacidad, Integridad y
disponibilidad
Siete criterios
de la
Requerimientos Fidiuciarios:
información
Efectividad y eficiencia de las
operaciones, Cumplimiento
con leyes y regulaciones, y
Confiabilidad en los reportes
financieros
Efectividad,
Eficiencia
Confidencialidad
Integridad,
Disponibilidad
Cumplimiento
Confiabilidad
Requerimientos de la
organización

Metas de
negocio y
de TI
Recursos TI
-Las aplicaciones incluyen, tanto
sistemas de usuario automatizados
como procedimientos manuales que
procesan información
-La información son los datos en todas
sus formas de entrada, procesados y
generados por los sistemas de
información, en cualquier forma en que
son utilizados por el negocio.
-La infraestructura es la tecnología y las
instalaciones (hardware, sistemas
operativos, sistemas de administración
de base de datos, redes, multimedia,
etc., así como el sitio donde se
encuentran y el ambiente que los
soportan), que permiten el
procesamiento de las aplicaciones.
-Las personas son los funcionarios
requeridos para planear, organizar,
adquirir, implementar, entregar,
soportar, monitorear y evaluar los
sistemas y los servicios de información.
Proceso TI: Dominios
Dominio:
Agrupación natural de
procesos
Dominios de COBIT
-Planeación y organización
-Adquisición e implementación
-Entrega y soporte
-Monitoreo y evaluación
Los cuatros dominios están compuestos de 34 subdominios/procesos
Cada subdominio tiene registrado:
-El criterio de la TI al cual es relevante
-Recursos TI involucrados
-Objetivos de control
-Pruebas detalladas de auditoria
El Cubo
de COBIT
Este dominio cubre las estrategias y las tácticas y se refiere a la
identificación de la forma en que la tecnología de información puede
contribuir de la mejor manera al logro de los objetivos del negocio.
Además, la consecución de la visión estratégica necesita ser planeada,
comunicada y administrada desde diferentes perspectivas. Finalmente,
deberá establecerse una organización y una infraestructura tecnológica
apropiada.
Tópicos
-Estrategia y tácticas
-Visión planeada
-Organización e
infraestructura
Preguntas
Descripción
Orientación a los procesos
Planeación y organización
1. Están las TI y los negocios estratégicamente
alineados?
2. Esta alcanzando la entidad un óptimo uso de
sus recursos
3. Alguien en las organización entiende los
objetivos de TI
4. Son los riesgos de TI entendidos y están siendo
administrados?
5. Es la calidad de los sistema de TI apropiada
para las necesidades de la entidad?
Para llevar a cabo la estrategia de TI, las soluciones de TI deben ser
identificadas, desarrolladas o adquiridas, así como implementadas e
integradas dentro del proceso del negocio. Además, este dominio
cubre los cambios y el mantenimiento realizados a sistemas existentes,
para asegurar que el ciclo de vida es continuo para esos sistemas
Tópicos
-Soluciones de TI
-Cambios y
mantenimientos
Preguntas
Descripción
Orientación a los procesos
Adquisición e Implementación
1. Los nuevos proyectos tienen probabilidad de
entregar soluciones que satisfagan las
necesidades de la entidad?
2. Los nuevos proyectos tienen probabilidad de
entregar a tiempo y dentro de presupuesto?
3. Los nuevos sistemas trabajaran apropiadamente
cuando se entreguen?
4. Los cambios serán realizados sin alterar las
actuales operaciones de la organización?
A este dominio le concierne la entrega efectiva de los servicios
requeridos, que van desde las operaciones tradicionales pasando por
los aspectos de seguridad y continuidad hasta el entrenamiento. Para
prestar servicios, se deben establecer los procesos de soporte
necesarios. Este dominio incluye el procesamiento efectivo de datos
mediante los sistemas de aplicación, clasificados a menudo bajo los
controles de aplicación.
Tópicos
-Entrega de los
servicios requeridos
-Establecer los
procesos de soporte
-Procesamiento por
los sistemas aplicados
Preguntas
Descripción
Orientación a los procesos
Entrega y soporte
1. Están siendo los servicios de TI entregados en
línea con las prioridades de la entidad?
2. Son los costos de TI optimizados?
3. Es capaz la fuerza de trabajo de usar los
sistemas productivamente y seguramente?
4. Es adecuada la seguridad, integridad y
disponibilidad?
Todos los procesos de TI necesitan ser evaluados regularmente a
través del tiempo por su calidad y el cumplimiento con los
requerimientos de control. Este dominio resuelve así la supervisión del
proceso de control de la administración y el aseguramiento
independiente suministrada por la auditoría interna y externa u
obtenida por fuentes alternativas
Tópicos
-Evaluar sobre tiempos,
asegura la entrega
-Supervisión del
sistema de control
-Medir desempeño
Preguntas
Descripción
Orientación a los procesos
Monitorear y Evaluar
1. Se puede medir el desempeño de TI y los
problemas pueden ser detectados antes que sea
tarde?
2. Se necesita aseguramiento independiente para
asegurarse que las áreas críticas están operando
como se espera?
MODELO DEL MARCO DE TRABAJO DEL COBIT
Objetivos del Negocio
ME1
ME2
ME3
ME4
Monitorear y evaluar el desempeño TI
Monitorear y evaluar el control interno
Garantizar cumplimiento regulatorio
Proporcionar gobierno TI
Monitorear
y evaluar
Información
PO1 Definir el plan estratégico de TI
PO2 Definir la arquitectura de la información
PO3 Determinar la dirección tecnológica
PO4 Definir procesos, organización y relaciones de TI
PO5 Administrar la inversión de TI
PO6 Comunicar las aspiraciones y la dirección de la gerencia
PO7 Administrar recursos humanos de TI
PO8 Administrar calidad
PO9 Evaluar y administrar riesgos de TI
PO10 Administrar proyectos
Efectividad, Eficiencia
Confidencialidad
Integridad, Disponibilidad
Cumplimiento y Confiabilidad
Planear y
Organizar
Recursos
Aplicaciones
Información
Infraestructura
Personas
DS1 Definir y administrar niveles de servicio
DS2 Administrar servicios de terceros
DS3 Administrar desempeño y capacidad
DS4 Garantizar la continuidad del servicio
DS5 Garantizar la seguridad de los sistemas
DS6 Identificar y asignar datos
DS7 Educar y entrenar a los usuarios
DS8 Administrar la mesa de servicio y los incidentes
DS9 Administrar la configuración
DS10 Administrar los problemas
DS11 Administrar los datos
DS12 Administrar el ambiente físico
DS13 Administrar las operaciones
Entregar y
dar soporte
Adquirir e
implantar
AI1
AI2
AI3
AI4
AI5
AI6
AI7
Identificar soluciones automatizadas
Adquirir y mantener el software aplicativo
Adquirir y mantener la infraestructura tecnológica
Facilitar la operación y el uso
Adquirir recursos de TI
Administrar cambio
Instalar y acreditar soluciones y cambios
Descargar

Enfoque de Control Interno..COBIT - tps5to-utn-frre