Cob It 3
This document was uploaded by user and they confirmed that they have the permission to share it. If you are author or own the copyright of this book, please report to us by using this DMCA report form. Report DMCA
Overview
Download & View Cob It 3 as PDF for free.
More details
- Words: 1,617
- Pages: 30
Estándar de Control y Auditoria de Tecnologías de Información Ing. César Elizondo Mora
Historia ISACA • Fundada in 1969, como EDP Auditors Association • Más de 26,000 miembros en más de 100 países • Más de 160 capítulos alrededor del mundo
Antecedentes • El gremio de profesionales en TI se mostró preocupado por la falta de una guía estándar sobre el control en TI, que sirviera para diferentes grupos de interés. • LA ISACF, como órgano que agrupa a profesionales de diferentes áreas interesados en el control de TI, se dio a la tarea de desarrollar un conjunto común de conceptos sobre la materia.
Antecedentes • COBIT Integra y concilia normas y reglamentaciones existentes como: – ISO (9000-3) – Códigos de Conducta del Consejo Europeo – COSO, IFAC, IIA, AICPA y Otras
• Se publica por 1ra vez en Septiembre de 1996 • Se publica la 2a Edición en Abril de 1988 • Se publicó la 3a Edición en Marzo del 2000
Definición Control OBjectives for Information and Related Technology (Objetivos de control para la información y tecnologías relacionadas)
Misión Investigar, desarrollar, publicar y promover un conjunto internacional y actualizado de objetivos de control para tecnología de información que sea de uso cotidiano para gerentes y auditores.
Participantes • La Gerencia: Gerencia para apoyar sus decisiones de inversión en TI y control sobre el rendimiento de las mismas, analizar el costo beneficio del control. • Los Usuarios Finales: Finales quienes obtienen una garantía sobre la seguridad y el control de los productos que adquieren interna y externamente
Participantes • Los Auditores : para soportar sus opiniones sobre los controles de los proyectos de TI , su impacto en la organización y determinar el control mínimo requerido. • Los Responsables de TI: TI para identificar los controles que requieren en sus áreas
Características • Orientado al negocio • Alineado con estándares y regulaciones “de facto” • Basado en una revisión crítica y analítica de las tareas y actividades en TI • Alineado con estándares de control y auditoria (COSO, IFAC, IIA, AICPA)
Principios REQUERIMIENTOS DE INFORMACIÓN DEL NEGOCIO
PROCESOS DE TI RECURSOS DE TI
Requerimientos de la Información del Negocio CobiT combina los principios contenidos por modelos existentes y conocidos como COSO
Requerimientos de Calidad
Calidad.
Requerimientos Financieros (COSO)
Efectividad y eficiencia operacional.
Requerimientos de Seguridad
Confidencialidad.
Costo. Oportunidad.
Confiabilidad de los reportes financieros. Cumplimiento de leyes y regulaciones.
Integridad. Disponibilidad.
Objetivos del Negocio MO1 Seguimiento de los procesos MO2 Evaluar lo adecuado del control Interno MO3 Obtener aseguramiento independiente MO4 Proveer una auditoria independiente
CobiT
PO1 Definir un plan estratégico de TI PO2 Definir la arquitectura de información PO3 Determinar la dirección tecnológica PO4 Definir la organización y relaciones de TI PO5 Manejo de la inversión en TI PO6 Comunicación de la directrices Gerenciales PO7 Administración del Recurso Humano PO8 Asegurar el cumplir requerimientos externos PO9 Evaluación de Riesgos P10 Administración de Proyectos P11 Administración de Calidad
Req. Información
Monitoreo
Efectividad, Eficiencia, Confidencialidad, Integridad, Disponibilidad, Cumplimiento, Confiabilidad
Planeación y Organización
Recursos de TI ES1 Definición del nivel de servicio ES2 Administración del servicio de terceros ES3 Adm. de la capacidad y el desempeño ES4 Asegurar el servicio continuo ES5 Garantizar la seguridad del sistema ES6 Identificación y asignación de costos ES7 Capacitación de usuarios ES8 Soporte a los clientes de TI ES9 Administración de la configuración ES10 Administración de problemas e incidentes ES11 Administración de datos ES12 Administración de Instalaciones ES13 Administración de Operaciones
Datos, Aplicaciones Tecnología, Instalaciones, Recurso Humano
Entrega y Soporte
Adquisición e Implementación
AI1 Identificación de soluciones AI2 Adquisición y mantenimiento de SW aplicativo AI3 Adquisición y mantenimiento de arquitectura TI AI4 Desarrollo y mantenimiento de Procedimientos de TI AI5 Instalación y Acreditación de sistemas AI6 Administración de Cambios
Requerimientos de la Información del Negocio • Efectividad: Efectividad La información debe ser relevante y pertinente para los procesos del negocio y debe ser proporcionada en forma oportuna, correcta, consistente y utilizable • Eficiencia: Eficiencia Se debe proveer información mediante el empleo óptimo de los recursos (la forma más productiva y económica) • Confidencialidad: Confidencialidad Protección de la información sensitiva contra divulgación no autorizada • Integridad: Integridad Refiere a lo exacto y completo de la información así como a su validez de acuerdo con las expectativas de la empresa.
Requerimientos de la Información del Negocio • Disponibilidad: Disponibilidad accesibilidad a la información cuando sea requerida por los procesos del negocio y la salvaguarda de los recursos y capacidades asociadas a los mismos. • Cumplimiento: Cumplimiento de las leyes, regulaciones y compromisos contractuales con los cuales está comprometida la empresa. • Confiabilidad: Confiabilidad proveer la información apropiada para que la administración tome las decisiones adecuadas para manejar la empresa y cumplir con las responsabilidades de los reportes financieros y de cumplimiento normativo.
Recursos de TI • Datos: Datos Todos los objetos de información. Considera información interna y externa, gráficas, sonidos, etc. • Aplicaciones: Aplicaciones entendido como los sistemas de información, que integran procedimientos manuales y sistematizados. • Tecnología: Tecnología incluye hardware y software básico, sistemas operativos, sistemas de administración de bases de datos, de redes, telecomunicaciones, multimedia, etc. • Instalaciones: Instalaciones incluye los recursos necesarios para alojar y dar soporte a los sistemas de información. • Recurso Humano: Humano Por la habilidad, conciencia y productividad del personal para planear, adquirir, prestar servicios, dar soporte y monitorear los sistemas de Información.
Procesos de TI - Los Tres Niveles Dominios Procesos
Agrupación Natural de procesos, normalmente corresponden a un dominio o una responsabilidad organizacional
Conjuntos o series de actividades unidas con delimitación o cortes de control.
Actividades o tareas
Acciones requeridas para lograr un resultado medible.
Procesos de TI - Dominios • Planeación y Organización (Planning and Organization) • Adquisición e implementación (Acquisition and Implementation) • Entrega y Soporte (Delivery and Support) • Monitoreo (monitoring)
Procesos de TI - Procesos Planeación y Organización
Adquisición e Implementación
PO1 Definir un plan estratégico de TI PO2 Definir la arquitectura de información PO3 Determinar la dirección tecnológica PO4 Definir la organización y relaciones de TI PO5 Manejo de la inversión en TI PO6 Comunicación de la directrices Gerenciales PO7 Administración del Recurso Humano PO8 Asegurar el cumplir requerimientos externos PO9 Evaluación de Riesgos PO10 Administración de Proyectos PO11 Administración de Calidad AI1 Identificación de soluciones AI2 Adquisición y mantenimiento de SW aplicativo AI3 Adquisición y mantenimiento de arquitectura TI AI4 Desarrollo y mantenimiento de procedimientos de TI AI5 Instalación y Acreditación de sistemas AI6 Administración de Cambios
Procesos de TI - Procesos Entrega y Soporte
Monitoreo
ES1 Definición del nivel de servicio ES2 Administración del servicio de terceros ES3 Administración de la capacidad y el desempeño ES4 Asegurar el servicio continuo ES5 Garantizar la seguridad del sistema ES6 Identificación y asignación de costos ES7 Capacitación de usuarios ES8 Soporte a los clientes de TI ES9 Administración de la configuración ES10 Administración de problemas e incidentes ES11 Administración de datos ES12 Administración de instalaciones ES13 Administración de operaciones MO1 Seguimiento de los procesos MO2 Evaluar lo adecuado del control Interno MO3 Obtener aseguramiento independiente MO4 Proveer una auditoria independiente
Estructura de INFORMACIÓN
EVENTOS Objetivos de negocio Oportunidades de negocio Requerimientos externos Regulación Riesgos
Datos Aplicaciones Tecnología Instalaciones Recurso Humano
Efectividad Eficiencia Confidencialidad Integridad Disponibilidad Cumplimiento Confiabilidad
Estructura de Lo que usted Obtiene
Procesos del Negocio
Lo que Usted Necesita
Criterios Información
Recursos de TI Datos Aplicaciones Tecnología Instalaciones Recurso Humano
Efectividad Eficiencia Confidencialidad Integridad Disponibilidad Cumplimiento Confiabilidad
Como Producto • • • • • • •
Resumen Ejecutivo Marco de Referencia (Framework) Objetivos de Control Guías de Auditoria Guías de Administración Herramientas de implementación CD-ROM
- Resumen Ejecutivo • Documento dirigido a la alta gerencia • Presenta los antecedentes y la estructura básica de COBIT. • Describe de manera general los procesos, los recursos y los criterios de información, los cuales conforman la “Columna Vertebral” de COBIT.
- Marco de Referencia • Incluye la introducción contenida en el resumen ejecutivo • Presenta las guías de navegación para que los lectores se orienten en la exploración del material de COBIT. • Hace una presentación detallada de los 34 procesos contenidos en los cuatro dominios.
- Objetivos de Control • Integran en su contenido lo expuesto tanto en el resumen ejecutivo como en el marco de referencia • Presenta los objetivos de control detallados para cada uno de los 34 procesos. • En total se describen 318 objetivos de control repartidos entre los procesos
- Guías de Auditoría • Se hace una presentación del proceso de auditoria generalmente aceptado (evaluación de control, evaluación de cumplimiento y evidenciación de los riesgos). • Este documento incluye guías detalladas para auditar cada uno de los 34 procesos teniendo en cuenta los 318 objetivos de control detallados.
Guías de Administración • Se enfoca de manera similar a los otros productos • Integra los principios del Balanced Business Scorecard. • Para ayudar a determinar cuales son los adecuados niveles de seguridad y control integra los conceptos de: – – – –
Modelo de madurez CMM (prácticas de Control) Indicadores claves de desempeño Indicadores claves de meta Factores críticos de éxito a tener en cuenta para mantener bajo control los procesos de TI.
Herramientas de Implementación • Muestra algunas de las lecciones aprendidas por aquellas organizaciones que han aplicado CobiT • Incluye una guía de implementación con dos herramientas: Diagnóstico de conciencia Administrativa y Diagnóstico de Control en TI • Respuestas a las 25 preguntas mas frecuentes sobre CobiT
CD-ROM • El CD-ROM de CobiT contiene toda la información relacionada con los objetivos de Control y guías de Auditoria, facilitando. su búsqueda y acceso. • Permite contar con las guías por objetivo de control de una manera fácil y oportuna cuando se están realizando labores de auditoria.
¿ Preguntas ?
Historia ISACA • Fundada in 1969, como EDP Auditors Association • Más de 26,000 miembros en más de 100 países • Más de 160 capítulos alrededor del mundo
Antecedentes • El gremio de profesionales en TI se mostró preocupado por la falta de una guía estándar sobre el control en TI, que sirviera para diferentes grupos de interés. • LA ISACF, como órgano que agrupa a profesionales de diferentes áreas interesados en el control de TI, se dio a la tarea de desarrollar un conjunto común de conceptos sobre la materia.
Antecedentes • COBIT Integra y concilia normas y reglamentaciones existentes como: – ISO (9000-3) – Códigos de Conducta del Consejo Europeo – COSO, IFAC, IIA, AICPA y Otras
• Se publica por 1ra vez en Septiembre de 1996 • Se publica la 2a Edición en Abril de 1988 • Se publicó la 3a Edición en Marzo del 2000
Definición Control OBjectives for Information and Related Technology (Objetivos de control para la información y tecnologías relacionadas)
Misión Investigar, desarrollar, publicar y promover un conjunto internacional y actualizado de objetivos de control para tecnología de información que sea de uso cotidiano para gerentes y auditores.
Participantes • La Gerencia: Gerencia para apoyar sus decisiones de inversión en TI y control sobre el rendimiento de las mismas, analizar el costo beneficio del control. • Los Usuarios Finales: Finales quienes obtienen una garantía sobre la seguridad y el control de los productos que adquieren interna y externamente
Participantes • Los Auditores : para soportar sus opiniones sobre los controles de los proyectos de TI , su impacto en la organización y determinar el control mínimo requerido. • Los Responsables de TI: TI para identificar los controles que requieren en sus áreas
Características • Orientado al negocio • Alineado con estándares y regulaciones “de facto” • Basado en una revisión crítica y analítica de las tareas y actividades en TI • Alineado con estándares de control y auditoria (COSO, IFAC, IIA, AICPA)
Principios REQUERIMIENTOS DE INFORMACIÓN DEL NEGOCIO
PROCESOS DE TI RECURSOS DE TI
Requerimientos de la Información del Negocio CobiT combina los principios contenidos por modelos existentes y conocidos como COSO
Requerimientos de Calidad
Calidad.
Requerimientos Financieros (COSO)
Efectividad y eficiencia operacional.
Requerimientos de Seguridad
Confidencialidad.
Costo. Oportunidad.
Confiabilidad de los reportes financieros. Cumplimiento de leyes y regulaciones.
Integridad. Disponibilidad.
Objetivos del Negocio MO1 Seguimiento de los procesos MO2 Evaluar lo adecuado del control Interno MO3 Obtener aseguramiento independiente MO4 Proveer una auditoria independiente
CobiT
PO1 Definir un plan estratégico de TI PO2 Definir la arquitectura de información PO3 Determinar la dirección tecnológica PO4 Definir la organización y relaciones de TI PO5 Manejo de la inversión en TI PO6 Comunicación de la directrices Gerenciales PO7 Administración del Recurso Humano PO8 Asegurar el cumplir requerimientos externos PO9 Evaluación de Riesgos P10 Administración de Proyectos P11 Administración de Calidad
Req. Información
Monitoreo
Efectividad, Eficiencia, Confidencialidad, Integridad, Disponibilidad, Cumplimiento, Confiabilidad
Planeación y Organización
Recursos de TI ES1 Definición del nivel de servicio ES2 Administración del servicio de terceros ES3 Adm. de la capacidad y el desempeño ES4 Asegurar el servicio continuo ES5 Garantizar la seguridad del sistema ES6 Identificación y asignación de costos ES7 Capacitación de usuarios ES8 Soporte a los clientes de TI ES9 Administración de la configuración ES10 Administración de problemas e incidentes ES11 Administración de datos ES12 Administración de Instalaciones ES13 Administración de Operaciones
Datos, Aplicaciones Tecnología, Instalaciones, Recurso Humano
Entrega y Soporte
Adquisición e Implementación
AI1 Identificación de soluciones AI2 Adquisición y mantenimiento de SW aplicativo AI3 Adquisición y mantenimiento de arquitectura TI AI4 Desarrollo y mantenimiento de Procedimientos de TI AI5 Instalación y Acreditación de sistemas AI6 Administración de Cambios
Requerimientos de la Información del Negocio • Efectividad: Efectividad La información debe ser relevante y pertinente para los procesos del negocio y debe ser proporcionada en forma oportuna, correcta, consistente y utilizable • Eficiencia: Eficiencia Se debe proveer información mediante el empleo óptimo de los recursos (la forma más productiva y económica) • Confidencialidad: Confidencialidad Protección de la información sensitiva contra divulgación no autorizada • Integridad: Integridad Refiere a lo exacto y completo de la información así como a su validez de acuerdo con las expectativas de la empresa.
Requerimientos de la Información del Negocio • Disponibilidad: Disponibilidad accesibilidad a la información cuando sea requerida por los procesos del negocio y la salvaguarda de los recursos y capacidades asociadas a los mismos. • Cumplimiento: Cumplimiento de las leyes, regulaciones y compromisos contractuales con los cuales está comprometida la empresa. • Confiabilidad: Confiabilidad proveer la información apropiada para que la administración tome las decisiones adecuadas para manejar la empresa y cumplir con las responsabilidades de los reportes financieros y de cumplimiento normativo.
Recursos de TI • Datos: Datos Todos los objetos de información. Considera información interna y externa, gráficas, sonidos, etc. • Aplicaciones: Aplicaciones entendido como los sistemas de información, que integran procedimientos manuales y sistematizados. • Tecnología: Tecnología incluye hardware y software básico, sistemas operativos, sistemas de administración de bases de datos, de redes, telecomunicaciones, multimedia, etc. • Instalaciones: Instalaciones incluye los recursos necesarios para alojar y dar soporte a los sistemas de información. • Recurso Humano: Humano Por la habilidad, conciencia y productividad del personal para planear, adquirir, prestar servicios, dar soporte y monitorear los sistemas de Información.
Procesos de TI - Los Tres Niveles Dominios Procesos
Agrupación Natural de procesos, normalmente corresponden a un dominio o una responsabilidad organizacional
Conjuntos o series de actividades unidas con delimitación o cortes de control.
Actividades o tareas
Acciones requeridas para lograr un resultado medible.
Procesos de TI - Dominios • Planeación y Organización (Planning and Organization) • Adquisición e implementación (Acquisition and Implementation) • Entrega y Soporte (Delivery and Support) • Monitoreo (monitoring)
Procesos de TI - Procesos Planeación y Organización
Adquisición e Implementación
PO1 Definir un plan estratégico de TI PO2 Definir la arquitectura de información PO3 Determinar la dirección tecnológica PO4 Definir la organización y relaciones de TI PO5 Manejo de la inversión en TI PO6 Comunicación de la directrices Gerenciales PO7 Administración del Recurso Humano PO8 Asegurar el cumplir requerimientos externos PO9 Evaluación de Riesgos PO10 Administración de Proyectos PO11 Administración de Calidad AI1 Identificación de soluciones AI2 Adquisición y mantenimiento de SW aplicativo AI3 Adquisición y mantenimiento de arquitectura TI AI4 Desarrollo y mantenimiento de procedimientos de TI AI5 Instalación y Acreditación de sistemas AI6 Administración de Cambios
Procesos de TI - Procesos Entrega y Soporte
Monitoreo
ES1 Definición del nivel de servicio ES2 Administración del servicio de terceros ES3 Administración de la capacidad y el desempeño ES4 Asegurar el servicio continuo ES5 Garantizar la seguridad del sistema ES6 Identificación y asignación de costos ES7 Capacitación de usuarios ES8 Soporte a los clientes de TI ES9 Administración de la configuración ES10 Administración de problemas e incidentes ES11 Administración de datos ES12 Administración de instalaciones ES13 Administración de operaciones MO1 Seguimiento de los procesos MO2 Evaluar lo adecuado del control Interno MO3 Obtener aseguramiento independiente MO4 Proveer una auditoria independiente
Estructura de INFORMACIÓN
EVENTOS Objetivos de negocio Oportunidades de negocio Requerimientos externos Regulación Riesgos
Datos Aplicaciones Tecnología Instalaciones Recurso Humano
Efectividad Eficiencia Confidencialidad Integridad Disponibilidad Cumplimiento Confiabilidad
Estructura de Lo que usted Obtiene
Procesos del Negocio
Lo que Usted Necesita
Criterios Información
Recursos de TI Datos Aplicaciones Tecnología Instalaciones Recurso Humano
Efectividad Eficiencia Confidencialidad Integridad Disponibilidad Cumplimiento Confiabilidad
Como Producto • • • • • • •
Resumen Ejecutivo Marco de Referencia (Framework) Objetivos de Control Guías de Auditoria Guías de Administración Herramientas de implementación CD-ROM
- Resumen Ejecutivo • Documento dirigido a la alta gerencia • Presenta los antecedentes y la estructura básica de COBIT. • Describe de manera general los procesos, los recursos y los criterios de información, los cuales conforman la “Columna Vertebral” de COBIT.
- Marco de Referencia • Incluye la introducción contenida en el resumen ejecutivo • Presenta las guías de navegación para que los lectores se orienten en la exploración del material de COBIT. • Hace una presentación detallada de los 34 procesos contenidos en los cuatro dominios.
- Objetivos de Control • Integran en su contenido lo expuesto tanto en el resumen ejecutivo como en el marco de referencia • Presenta los objetivos de control detallados para cada uno de los 34 procesos. • En total se describen 318 objetivos de control repartidos entre los procesos
- Guías de Auditoría • Se hace una presentación del proceso de auditoria generalmente aceptado (evaluación de control, evaluación de cumplimiento y evidenciación de los riesgos). • Este documento incluye guías detalladas para auditar cada uno de los 34 procesos teniendo en cuenta los 318 objetivos de control detallados.
Guías de Administración • Se enfoca de manera similar a los otros productos • Integra los principios del Balanced Business Scorecard. • Para ayudar a determinar cuales son los adecuados niveles de seguridad y control integra los conceptos de: – – – –
Modelo de madurez CMM (prácticas de Control) Indicadores claves de desempeño Indicadores claves de meta Factores críticos de éxito a tener en cuenta para mantener bajo control los procesos de TI.
Herramientas de Implementación • Muestra algunas de las lecciones aprendidas por aquellas organizaciones que han aplicado CobiT • Incluye una guía de implementación con dos herramientas: Diagnóstico de conciencia Administrativa y Diagnóstico de Control en TI • Respuestas a las 25 preguntas mas frecuentes sobre CobiT
CD-ROM • El CD-ROM de CobiT contiene toda la información relacionada con los objetivos de Control y guías de Auditoria, facilitando. su búsqueda y acceso. • Permite contar con las guías por objetivo de control de una manera fácil y oportuna cuando se están realizando labores de auditoria.
¿ Preguntas ?
Related Documents
Cob It 3
June 2020 5
Cob It
April 2020 19
Cob It 0
June 2020 5
Cob It Summary Table
November 2019 9
Ran Cob 3
May 2020 2
A Cob
May 2020 11More Documents from ""