Estándar de Controles y Auditoría
de Tecnología Informática
Fernando Izquierdo Duarte
2002
Information Systems Audit and Control Association®
Information Systems Audit and Control Foundation
Reconocida como líder
mundial en el gobierno, control
y evaluación de TI.
Misión: Soportar los objetivos empresariales
mediante el desarrollo, promoción y entrega de
investigaciones, estándares, competencias y
prácticas para un efectivo gobierno, control y
evaluación de los sistemas de información y la
tecnología relacionada
Information
Systems Audit and
Control
Association
(ISACATM)
Information
Systems Audit and
Control
Foundation
(ISACFTM)
Historia ISACA
• Fundada in 1969, como EDP Auditors
Association
• Más de 26,000 miembros en más de 100
paises
• Más de 160 capítulos alrededor del mundo
•
•
•
•
Antecedentes
Definición, Misión y Usuarios
Características Generales
Principios (Requerimientos de Información,
Recursos de TI y Procesos de TI)
• Estructura de CobiT
• CobiT como Producto (Componentes)
• CobiT y Otros estándares
Antecedentes
• El gremio de profesionales en TI se mostró
preocupado por la falta de una guía estándar
sobre el control en TI, que sirviera para
diferentes grupos de interés.
• LA ISACF, como órgano que agrupa a
profesionales de diferentes áreas interesados
en el control de TI, se dió a la tarea de
dearrollar un conjunto común de conceptos
sobre la materia.
Antecedentes
• COBIT Integra y concilia normas y reglamentaciones
existentes como:
– ISO (9000-3)
– Códigos de Conducta del Consejo Europeo
– COSO, IFAC, IIA, ISACA, AICPA y Otras
• Incluye el contenido de los Objetivos de Control
emitidos por ISACA (EDPAA)
• Se publica por 1ra vez en Septiembre de 1996
• Se publica la 2a Edición en Abril de 1988
• Se publicó la 3a Edición en Marzo de 2000
Definición
Control
OBjectives
for Information
and Related Technology
(Objetivos de Control para Tecnología de
Información y Tecnologías realacionadas)
Misión
Investigar, desarrollar, publicar y promover
un conjunto internacional y actualizado de
objetivos de control para tecnología de
información que sea de uso cotidiano para
gerentes, auditores.
Usuarios
• La Gerencia: para apoyar sus decisiones de
inversión en TI y control sobre el rendimiento
de las mismas, analizar el costo beneficio del
control.
• Los Usuarios Finales: quienes obtienen una
garantía sobre la seguridad y el control de los
productos que adquieren interna y externamente
Usuarios
• Los Auditores : para soportar sus opiniones
sobre los controles de los proyectos de TI ,
su impacto en la organización y determinar
el control mínimo requerido.
• Los Responsables de TI: para identificar
los controles que requieren en sus áreas
Características
• Orientado al negocio
• Alineado con estándares y regulaciones “de
facto”
• Basado en una revisión crítica y analítica de
las tareas y actividades en TI
• Alineado con estándares de control y auditoría
(COSO, IFAC, IIA, ISACA, AICPA)
Principios
REQUERIMIENTOS
DE INFORMACIÓN
DEL NEGOCIO
PROCESOS
DE TI
RECURSOS
DE TI
Requerimientos de la
Información del Negocio
CobiT combina los principios contenidos por modelos existentes
y conocidos, como COSO, SAC y SAS
Requerimientos
de Calidad
Calidad (Confiabilidad, amistosidad).
Costo.
Oportunidad.
Requerimientos
Financieros
(COSO)
Efectividad y eficiencia operacional.
Requerimientos
de Seguridad
Confidencialidad.
Confiabilidad de los reportes financieros.
Cumplimiento de leyes y regulaciones.
Integridad.
Disponibilidad.
Objetivos del
Negocio
Seguimiento de los procesos
Evaluar lo adecuado del control Interno
Obtener aseguramiento inndependiente
Proveer una auditoría independiente
CobiT
Definir un plan estratégico de TI
Definir la arquitectura de información
Determinar la dirección tecnológica
Definir la organización y relaciones de TI
Manejo de la inversión en TI
Comunicación de la directrices Gerenciales
Administración del Recurso Humano
Asegurar el cumplir requerimientos externos
Evaluación de Riesgos
Administración de Proyectos
Administración de Calidad
Req. Información
Seguimiento
Efectividad, Eficiencia,
Confidencialidad, Integridad,
Disponibilidad,
Cumplimiento, Confiabilidad
Planeación y
Organización
Recursos de TI
Definición del nivel de servicio
Admistración del servicio de terceros
Admon de la capacidad y el desempeño
Asegurar el servicio continuo
Garantizar la seguridad del sistema
Identificación y asignación de costos
Capacitación de usuarios
Soporte a los clientes de TI
Admistración de la configuración
Administración de problemas e incidentes
Administración de datos
Administración de Instalaciones
Administración de Operaciones
Datos, Aplicaciones
Tecnología, Instalaciones,
Recurso Humano
Servicios y
Soporte
Adquisición e
Implementación
Identificación de soluciones
Adquisición y mantenimiento de SW aplicativo
Adquisición y mantenimiento de arquitectura TI
Desarrollo y mantenimiento de Procedimientos de TI
Instalación y Acreditación de sistemas
Administración de Cambios
Requerimientos de la
Información del Negocio
• Efectividad: La información debe ser relevante y pertinente
para los procesos del negocio y debe ser proporcionada en
forma oportuna, correcta, consistente y utilizable
• Eficiencia: Se debe proveer información mediante el
empleo óptimo de los recursos (la forma más productiva y
económica)
• Confidencialidad: Protección de la información sensitiva
contra divilgación no autorizada
• Integridad: Refiere a lo exacto y completo de la
información así como a su validez de acuerdo con las
expectativas de la empresa.
Requerimientos de la
Información del Negocio
• Disponibilidad: accesibilidad a la información cuando
sea requerida por los procesos del negocio y la
salvaguarda de los recursos y capacidades asociadas a
los mismos.
• Cumplimiento: de las leyes, regulaciones y compromisos
contractuales con los cuales está comprometida la
empresa.
• Confiabilidad: proveer la información apropiada para que
la administración tome las decisiones adecuadas para
manejar la empresa y cumplir con las responsabilidades
de los reportes financieros y de cumplimiento normativo.
Recursos de TI
• Datos: Todos los objetos de información. Considera información
interna y externa, estructurada o nó, gráficas, sonidos, etc.
• Aplicaciones: entendido como los sistemas de información,
que integran procedimientos manuales y sistematizados.
• Tecnología:incluye hardware y software básico, sistemas
operativos, sistemas de administración de bases de datos, de
redes, telecomunicaciones, multimedia, etc.
• Instalaciones:Incluye los recursos necesarios para alojar y dar
soporte a los sistemas de información.
• Recurso Humano: Por la habilidad, conciencia y productividad
del personal para planear, adquirir, prestar servicios, dar soporte
y monitorear los sistemas de Información.
Objetivos del
Negocio
Seguimiento de los procesos
Evaluar lo adecuado del control Interno
Obtener aseguramiento inndependiente
Proveer una auditoría independiente
CobiT
Definir un plan estratégico de TI
Definir la arquitectura de información
Determinar la dirección tecnológica
Definir la organización y relaciones de TI
Manejo de la inversión en TI
Comunicación de la directrices Gerenciales
Administración del Recurso Humano
Asegurar el cumplir requerimientos externos
Evaluación de Riesgos
Administración de Proyectos
Administración de Calidad
Req. Información
Seguimiento
Efectividad, Eficiencia,
Confidencialidad, Integridad,
Disponibilidad,
Cumplimiento, Confiabilidad
Planeación y
Organización
Recursos de TI
Definición del nivel de servicio
Admistración del servicio de terceros
Admon de la capacidad y el desempeño
Asegurar el servicio continuo
Garantizar la seguridad del sistema
Identificación y asignación de costos
Capacitación de usuarios
Soporte a los clientes de TI
Admistración de la configuración
Administración de problemas e incidentes
Administración de datos
Administración de Instalaciones
Administración de Operaciones
Datos, Aplicaciones
Tecnología, Instalaciones,
Recurso Humano
Servicios y
Soporte
Adquisición e
Implementación
Identificación de soluciones
Adquisición y mantenimiento de SW aplicativo
Adquisición y mantenimiento de arquitectura TI
Desarrollo y mantenimiento de Procedimientos de TI
Instalación y Acreditación de sistemas
Administración de Cambios
Procesos de TI
- Los Tres Niveles
Dominios
Agrupación Natural de procesos,
normalmente corresponden a un
dominio o una responsabilidad
organizacional
Procesos
Conjuntos o series de actividades
unidas con delimitación o cortes de
control.
Actividades
o tareas
Acciones requeridas para lograr un
resultado medible. Las Actividades
Tienen un ciclo de vida mientras
que las tareas son discretas.
Procesos de TI
- Dominios
• Planeación y Organización (Planning and
Organization)
• Adquisición e implementación
(Acquisition and Implementation)
• Prestación de Servicios y Soporte
(Delivery and Support)
• Seguimiento (monitoring)
Procesos de TI
- Procesos
Planeación y
Organisación
Adquisición e
Implementación
Definir un plan estratégico de TI
Definir la arquitectura de información
Determinar la dirección tecnológica
Definir la organización y relaciones de TI
Manejo de la inversión en TI
Comunicación de la directrices Gerenciales
Administración del Recurso Humano
Asegurar el cumplir requerimientos externos
Evaluación de Riesgos
Administración de Proyectos
Administración de Calidad
Identificación de soluciones
Adquisición y mantenimiento de SW aplicativo
Adquisición y mantenimiento de arquitectura TI
Desarrollo y mantenimiento de Procedimientos de TI
Instalación y Acreditación de sistemas
Administración de Cambios
Procesos de TI
- Procesos
Servicios y
Soporte
Seguimiento
Definición del nivel de servicio
Admistración del servicio de terceros
Admon de la capacidad y el desempeño
Asegurar el servicio continuo
Garantizar la seguridad del sistema
Identificación y asignación de costos
Capacitación de usuarios
Soporte a los clientes de TI
Admistración de la configuración
Administración de problemas e incidentes
Administración de datos
Administración de Instalaciones
Administración de Operaciones
Seguimiento de los procesos
Evaluar lo adecuado del control Interno
Obtener aseguramiento independiente
Proveer una auditoría independiente
Estructura de
INFORMACIÓN
EVENTOS
Objetivos de
negocio
Oportunidades
de negocio
Requerimientos
externos
Regulación
Riesgos
Datos
Applicaciones
Tecnología
Instalaciones
Recurso Humano
Efectividad
Eficiencia
Confidencialidad
Integridad
Disponibilidad
Cumplimiento
Confiabilidad
Estructura de
Lo que usted
Obtiene
Procesos del
Negocio
Lo que Usted
Necesita
Criterios
Información
Recursos de TI
Datos
Aplicaciones
Tecnología
Instalaciones
Recurso Humano
Efectividad
Eficiencia
Confidencialidad
Integridad
Disponibilidad
Cumplimiento
Confiabilidad
Concuerdan
Estructura de
Procesos TI
CUBO de CobiT
Relación entre los
componentes
Criterios de la Información (7)
Dominios
Procesos
Actividades
Objetivos del
Negocio
Seguimiento de los procesos
Evaluar lo adecuado del control Interno
Obtener aseguramiento inndependiente
Proveer una auditoría independiente
CobiT
Definir un plan estratégico de TI
Definir la arquitectura de información
Determinar la dirección tecnológica
Definir la organización y relaciones de TI
Manejo de la inversión en TI
Comunicación de la directrices Gerenciales
Administración del Recurso Humano
Asegurar el cumplir requerimientos externos
Evaluación de Riesgos
Administración de Proyectos
Administración de Calidad
Req. Información
Seguimiento
Efectividad, Eficiencia,
Confidencialidad, Integridad,
Disponibilidad,
Cumplimiento, Confiabilidad
Planeación y
Organización
Recursos de TI
Definición del nivel de servicio
Admistración del servicio de terceros
Admon de la capacidad y el desempeño
Asegurar el servicio continuo
Garantizar la seguridad del sistema
Identificación y asignación de costos
Capacitación de usuarios
Soporte a los clientes de TI
Admistración de la configuración
Administración de problemas e incidentes
Administración de datos
Administración de Instalaciones
Administración de Operaciones
Datos, Aplicaciones
Tecnología, Instalaciones,
Recurso Humano
Servicios y
Soporte
Adquisición e
Implementación
Identificación de soluciones
Adquisición y mantenimiento de SW aplicativo
Adquisición y mantenimiento de arquitectura TI
Desarrollo y mantenimiento de Procedimientos de TI
Instalación y Acreditación de sistemas
Administración de Cambios
Como Producto
•
•
•
•
•
•
•
•
Resumen Ejecutivo
Marco de Referencia (Framework)
Objetivos de Control
Guías de Auditoría
Guías de Administración
Herramientas de implementación
CD-ROM
2a Edición disponible en español
- Resumen Ejecutivo
• Documento dirigido a la alta gerencia
• Presenta los antecedentes y la estructura
básica de COBIT.
• Describe de manera general los procesos,
los recursos y los criterios de información,
los cuales conforman la “Columna
Vertebral” de COBIT.
- Marco de Referencia
• Incluye la introducción contenida en el
resumen ejecutivo
• Presenta las guías de navegación para que
los lectores se orienten en la exploración del
material de COBIT.
• Hace una presentación detallada de los 34
procesos contenidos en los cuatro
dominios.
- Objetivos de Control
• Integran en su contenido lo expuesto tanto
en el resumen ejecutivo como en el marco
de referencia
• Presenta los objetivos de control detallados
para cada uno de los 34 procesos.
• En total se describen 302 objetivos de
control (de 3 a 30 objetivos por cada uno de
los procesos)
- Guías de Auditoría
• Se hace una presentación del proceso de auditoría
generalmente aceptado (relevamiento de
información,evaluación de control, evaluación de
cumplimiento y evidenciación de los riesgos).
• Este documento incluye guías detalladas para
auditar cada uno de los 34 procesos teniendo en
cuenta los 318 objetivos de control detallados.
Guías de Administración
• Se enfoca de manera similar a los otros productos
• Integra los principios del Balanced Businnes
Scorecard.
• Para ayudar a determinar cuales son los adecuados
niveles de seguridad y control integra
losconceptos de:
– Modelo de madurez CMM (prácticas de Control)
– Indicadores claves de Desempeño de los procesos de TI
– Factores Críticos de Éxito a tener en cuenta para
mentener bajo control los procesos de TI.
Herramientas de
Implementación
• Muestra algunas de las lecciones aprendidas
por aquellas organizaciones que han aplicado
CobiT
• Incluye una guía de implementación con dos
herramientas: Diagnóstico de conciencia
Administrativa y Diagnóstico de Control en TI
• Respuestas a las 25 preguntas mas frecuentes
sobre CobiT
CD-ROM
• El CD-ROM de CobiT contiene toda la
información relacionada con los objetivos
de Control y guías de Auditoría, facilitando.
su búsqueda y acceso.
• Permite contar con las guías por objetivo de
control de una manera fácil y oportuna
cuando se están realizando labores de
auditoría.
Comparación de conceptos
de Control Interno
CobiT 1996/1998
Definición de
Control Interno
Definición de Objetivos
de Control de T I
COSO 1992
Contribuciones
al concepto de
Control Interno
SAS 78 - 1995
SAC 1991/1994
Conceptos de
Control Interno
enmienda
Conceptos de
Control Interno
SAS 55 - 1988
C om p aración d e C on cep tos d e C on trol
C O B IT
D irig id o a :
SAC
A d m in istra ció n , U su a rio s, A u d ito res d e A u d ito res In tern o s
S istem a s R esp o n sa b les d e T I
CO SO
S A S s 55/78
A d m in istra ció n
A u d ito res E xtern o s
E l C o n tro l In tern o es V isto C o n ju n to d e p ro ceso s in clu y en d o
co m o
p o lítica s, p ro ced im ien to s, p rá ctica s y
estru ctu ra O rg a n iza cio n a l
C o n ju n to d e p ro ceso s,
su b sistem a s y p erso n a s
P ro ceso s
P ro ceso s
L o s O b jetiv o s
O rg a n iza cio n a les d e
C o n tro l In tern o
E fectiv id a d y E ficien cia d e la s
o p era cio n es
E fectiv id a d y E ficien cia d e
la s o p era cio n es
E fectiv id a d y E ficie n cia d e la s
o p era cio n es
E fectiv id a d y E ficien cia d e la s
o p era cio n es
C o n fid en cia lid a d , In te g rid a d y
d isp o n ib ilid a d d e la in fo rm a ció n
C o n fia b ilid a d en lo s rep o rtes C o n fia b ilid a d en lo s rep o rtes
fin a n ciero s
fin a n ciero s
C o n fia b ilid a d en lo s rep o rtes
fin a n ciero s
C o n fia b ilid a d en lo s rep o rtes
fin a n ciero s
C u m p lim ien to co n ley es y
n o rm a s
C u m p lim ien to co n ley es y
n o rm a s
C u m p lim ien to co n ley es y
n o rm a s
D o m in io s:
C o m p o n en tes:
C o m p o n en tes:
C o m p o n en tes:
P la n ea ció n y O rg a n iza ció n
A m b ien te d e C o n tro l
A m b ien te d e C o n tro l
A m b ien te d e C o n tro l
A d q u isició n e im p la n ta ció n
S istem a s M a n u a les y
A u to m a tiza d o s.
E v a lu a ció n d e R iesg o
E v a lu a ció n d e R iesg o
A ctiv id a d es d e C o n tro l
A ctiv id a d es d e C o n tro l
In fo rm a ció n y C o m u n ica ció n
In fo rm a ció n y C o m u n ica ció n
S eg u im ien to
S eg u im ien to
C u m p lim ien to co n ley es y n o rm a s
C o m p o n en tes o D o m in io s
S erv icio y S o p o rte
S eg u im ien to
P ro ced im ien to s d e C o n tro l
E n fo ca d o a
T ecn o lo g ía d e In fo rm a ció n
T ecn o lo g ía d e In fo rm a ció n
T o d a la O rg a n iza ció n
E sta d o s F in a n ciero s
E v a lu a ció n d e la
E fectiv id a d d el C o n tro l I.
P o r u n p erio d o d e tiem p o
P o r u n p erio d o d e tiem p o
E n u n p u n to en el tiem p o
P o r u n p erio d o d e tiem p o
R esp o n sa b le p o r el C o n tro l A d m in istra ció n
In tern o
A d m in istra ció n
A d m in istra ció n
A d m in istra ció n
Tamaño
1 1 9 3 p á g in a s en 1 2 m ó d u lo s
3 5 3 p á g in a s en 4 v o lú m en es
6 3 p á g in a s en 2 d o cu m en to s
1 8 7 p á g in a s en 4 v o lú m en es
GRACIAS POR
ASISTIR A ESTA
CONFERENCIA
www.isaca.org
www.isaca-bogota.org