CONTROL OBJECTIVES FOR INFORMATION AND RELATED TECHNOLOGY ALUMNOS: •DAVID VERA OLIVERA •CRISTIAN RIVERA
COBIT • COBIT esta orientado a ser la
herramienta de gobierno de TI que ayude al entendimiento y a la administración de riesgos asociados con tecnología de información y con tecnologías relacionadas.
Misión: Soportar los objetivos empresariales mediante el desarrollo, promoción y entrega de investigaciones, estándares, competencias y prácticas para un efectivo gobierno, control y evaluación de los sistemas de información y la tecnología relacionada Information Systems Audit and Control Association (ISACATM)
Information Systems Audit and Control Foundation (ISACFTM)
Historia ISACA • Fundada in 1969, como EDP
Auditors Association • Más de 26,000 miembros en más de 100 paises • Más de 160 capítulos alrededor del mundo
• Antecedentes • Definición, Misión y Usuarios • Características Generales • Principios (Requerimientos de
Información, Recursos de TI y Procesos de TI)
• Estructura de CobiT • CobiT como Producto (Componentes) • CobiT y Otros estándares
Antecedentes • El gremio de profesionales en TI se
mostró preocupado por la falta de una guía estándar sobre el control en TI, que sirviera para diferentes grupos de interés. • LA ISACF, como órgano que agrupa a profesionales de diferentes áreas interesados en el control de TI, se dió a la tarea de dearrollar un conjunto común de conceptos sobre la materia.
Antecedentes • COBIT Integra y concilia normas y
reglamentaciones existentes como:
– ISO (9000-3) – Códigos de Conducta del Consejo Europeo – COSO, IFAC, IIA, ISACA, AICPA y Otras
• Incluye el contenido de los Objetivos de
Control emitidos por ISACA (EDPAA) • Se publica por 1ra vez en Septiembre de 1996 • Se publica la 2a Edición en Abril de 1988 • Se publicó la 3a Edición en Marzo de 2000
Definición Control OBjectives for Information and Related Technology (Objetivos de Control para Tecnología de Información y Tecnologías realacionadas)
Misión Investigar, desarrollar, publicar y promover un conjunto internacional y actualizado de objetivos de control para tecnología de información que sea de uso cotidiano para gerentes, auditores.
Usuarios • La Gerencia: para apoyar sus decisiones de inversión en TI y control sobre el rendimiento de las mismas, analizar el costo beneficio del control.
• Los Usuarios Finales: quienes obtienen una garantía sobre la seguridad y el control de los productos que adquieren interna y externamente
Usuarios • Los Auditores : para soportar sus
opiniones sobre los controles de los proyectos de TI , su impacto en la organización y determinar el control mínimo requerido. • Los Responsables de TI: para identificar los controles que requieren en sus áreas
Características • Orientado al negocio • Alineado con estándares y
regulaciones “de facto” • Basado en una revisión crítica y analítica de las tareas y actividades en TI • Alineado con estándares de control y auditoría (COSO, IFAC, IIA, ISACA, AICPA)
Principios REQUERIMIENTOS DE INFORMACIÓN DEL NEGOCIO
PROCESOS DE TI RECURSOS DE TI
Requerimientos de la Información del Negocio CobiT combina los principios contenidos por modelos existentes y conocidos, como COSO, SAC y SAS
Requerimientos de Calidad
Calidad.
Requerimientos Financieros (COSO)
Efectividad y eficiencia operacional.
Requerimientos de Seguridad
Confidencialidad.
Costo. Oportunidad.
Confiabilidad de los reportes financieros. Cumplimiento de leyes y regulaciones.
Integridad. Disponibilidad.
Objetivos del Negocio Seguimiento de los procesosEvaluar lo adecuado del control Interno Obtener aseguramiento inndependiente Proveer una auditoría independiente
CobiT
Definir un plan estratégico de TI Definir la arquitectura de información Determinar la dirección tecnológica Definir la organización y relaciones de TI Manejo de la inversión en TI Comunicación de la directrices Gerenciales Administración del Recurso Humano Asegurar el cumplir requerimientos externos Evaluación de Riesgos Administración de Proyectos Administración de Calidad
Req. Información
Seguimiento
Efectividad, Eficiencia, Confidencialidad, Integridad, Disponibilidad, Cumplimiento, Confiabilidad
Planeación y Organización
Recursos de TI Definición del nivel de servicio Admistración del servicio de terceros Admon de la capacidad y el desempeño Asegurar el servicio continuo Garantizar la seguridad del sistema Identificación y asignación de costos Capacitación de usuarios Soporte a los clientes de TI Admistración de la configuración Administración de problemas e incidentes Administración de datos Administración de Instalaciones Administración de Operaciones
Datos, Aplicaciones Tecnología, Instalaciones, Recurso Humano
Servicios y Soporte
Adquisición e Implementación
Identificación de soluciones Adquisición y mantenimiento de SW aplicativo Adquisición y mantenimiento de arquitectura TI Desarrollo y mantenimiento de Procedimientos de TI Instalación y Acreditación de sistemas Administración de Cambios
Requerimientos de la Información del Negocio • Efectividad: La información debe ser relevante y pertinente para los procesos del negocio y debe ser proporcionada en forma oportuna, correcta, consistente y utilizable
• Eficiencia: Se debe proveer información mediante el empleo óptimo de los recursos (la forma más productiva y económica)
• Confidencialidad: Protección de la información sensitiva contra divulgación no autorizada
• Integridad: Refiere a lo exacto y completo de la información así como a su validez de acuerdo con las expectativas de la empresa.
Requerimientos de la Información del Negocio • Disponibilidad: accesibilidad a la información cuando sea requerida por los procesos del negocio y la salvaguarda de los recursos y capacidades asociadas a los mismos. • Cumplimiento: de las leyes, regulaciones y compromisos contractuales con los cuales está comprometida la empresa. • Confiabilidad: proveer la información apropiada para que la administración tome las decisiones adecuadas para manejar la empresa y cumplir con las responsabilidades de los reportes financieros y de cumplimiento normativo.
Recursos de TI • Datos: Todos los objetos de información. Considera información • • • •
interna y externa, estructurada o nó, gráficas, sonidos, etc. Aplicaciones: entendido como los sistemas de información, que integran procedimientos manuales y sistematizados. Tecnología: Incluye hardware y software básico, sistemas operativos, sistemas de administración de bases de datos, de redes, telecomunicaciones, multimedia, etc. Instalaciones: Incluye los recursos necesarios para alojar y dar soporte a los sistemas de información. Recurso Humano: Por la habilidad, conciencia y productividad del personal para planear, adquirir, prestar servicios, dar soporte y monitorear los sistemas de Información.
Objetivos del Negocio Seguimiento de los procesos Evaluar lo adecuado del control Interno Obtener aseguramiento inndependiente Proveer una auditoría independiente
CobiT
Definir un plan estratégico de TI Definir la arquitectura de información Determinar la dirección tecnológica Definir la organización y relaciones de TI Manejo de la inversión en TI Comunicación de la directrices Gerenciales Administración del Recurso Humano Asegurar el cumplir requerimientos externos Evaluación de Riesgos Administración de Proyectos Administración de Calidad
Req. Información
Seguimiento
Efectividad, Eficiencia, Confidencialidad, Integridad, Disponibilidad, Cumplimiento, Confiabilidad
Planeación y Organización
Recursos de TI Definición del nivel de servicio Admistración del servicio de terceros Admon de la capacidad y el desempeño Asegurar el servicio continuo Garantizar la seguridad del sistema Identificación y asignación de costos Capacitación de usuarios Soporte a los clientes de TI Admistración de la configuración Administración de problemas e incidentes Administración de datos Administración de Instalaciones Administración de Operaciones
Datos, Aplicaciones Tecnología, Instalaciones, Recurso Humano
Servicios y Soporte
Adquisición e Implementación
Identificación de soluciones Adquisición y mantenimiento de SW aplicativo Adquisición y mantenimiento de arquitectura TI Desarrollo y mantenimiento de Procedimientos de TI Instalación y Acreditación de sistemas Administración de Cambios
Procesos de TI - Los Tres Niveles Dominios Procesos
Agrupación Natural de procesos, normalmente corresponden a un dominio o una responsabilidad organizacional
Conjuntos o series de actividades unidas con delimitación o cortes de control.
Actividades o tareas
Acciones requeridas para lograr un resultado medible. Las Actividades Tienen un ciclo de vida mientras que las tareas son discretas.
Procesos de TI - Dominios
• Planeación y Organización
(Planning and Organization) • Adquisición e implementación (Acquisition and Implementation) • Prestación de Servicios y Soporte (Delivery and Support) • Seguimiento (monitoring)
Procesos de TI - Procesos Planeación y Organización
Adquisición e Implementación
Definir un plan estratégico de TI Definir la arquitectura de información Determinar la dirección tecnológica Definir la organización y relaciones de TI Manejo de la inversión en TI Comunicación de la directrices Gerenciales Administración del Recurso Humano Asegurar el cumplir requerimientos externos Evaluación de Riesgos Administración de Proyectos Administración de Calidad Identificación de soluciones Adquisición y mantenimiento de SW aplicativo Adquisición y mantenimiento de arquitectura TI Desarrollo y mantenimiento de Procedimientos de TI Instalación y Acreditación de sistemas Administración de Cambios
Procesos de TI - Procesos Servicios y Soporte
Seguimiento
Definición del nivel de servicio Administración del servicio de terceros Administración de la capacidad y el desempeño Asegurar el servicio continuo Garantizar la seguridad del sistema Identificación y asignación de costos Capacitación de usuarios Soporte a los clientes de TI Administración de la configuración Administración de problemas e incidentes Administración de datos Administración de Instalaciones Administración de Operaciones Seguimiento de los procesos Evaluar lo adecuado del control Interno Obtener aseguramiento independiente Proveer una auditoría independiente
Dominio: Planeación y Organización Definición Este dominio cubre la estrategia y las tácticas y se refiere a la identificación de la forma en que la tecnología de información puede contribuir de la mejor manera al logro de los objetivos de negocio. Además, la consecución de la visión estratégica necesita ser planeada, comunicada y administrada desde diferentes perspectivas. Finalmente, deberán establecerse una organización y una infraestructura tecnológica apropiadas.
Dominio: Planeación y Organización Procesos PO1 Definición de un plan Estratégico Objetivo: Lograr un balance óptimo entre las oportunidades de tecnología de información y los requerimientos de TI de negocio PO2 Definición de la Arquitectura de Información Objetivo: Satisfacer los requerimientos de negocio, organizando de la mejor manera posible los sistemas de información, a través de la creación y mantenimiento de un modelo de información de negocio
Dominio: Planeación y Organización PO3 Determinación de la dirección tecnológica Objetivo: Aprovechar al máximo de la tecnología disponible o tecnología emergente, satisfaciendo los requerimientos de negocio PO4 Definición de la organización y de las relaciones de TI Objetivo: Prestación de servicios de TI Esto se realiza por medio de una organización conveniente en número y habilidades, con tareas y responsabilidades definidas y comunicadas
Dominio: Planeación y Organización PO5 Manejo de la inversión Objetivo: tiene como finalidad la satisfacción de los requerimientos de negocio, asegurando el financiamiento y el control de desembolsos de recursos financieros. PO6 Comunicación de la dirección y aspiraciones de la gerencia Objetivo: Asegura el conocimiento y comprensión de los usuarios sobre las aspiraciones del alto nivel (gerencia)
Dominio: Planeación y Organización PO7 Administración de recursos humanos Objetivo: Maximizar las contribuciones del personal a los procesos de TI, satisfaciendo así los requerimientos de negocio. PO8 Asegurar el cumplimiento requerimientos Externos Objetivo: Cumplir con obligaciones regulatorias y contractuales
con
los
legales,
Dominio: Planeación y Organización PO9 Evaluación de riesgos Objetivo: Asegurar el logro de los objetivos de TI y responder a las amenazas hacia la provisión de servicios de TI. PO10 Administración de proyectos Objetivo: Establecer prioridades servicios oportunamente y de presupuesto de inversión.
y entregar acuerdo al
Dominio: Planeación y Organización PO11 Administración de calidad Objetivo: Satisfacer los requerimientos del cliente.
Dominio: Adquisición e Implementación Definición Para llevar a cabo la estrategia de TI, las soluciones de Ti deben ser identificadas, desarrolladas o adquiridas, así como implementadas e integradas dentro del proceso del negocio. Además, este dominio cubre los cambios y el mantenimiento realizados a sistemas existentes.
Dominio: Adquisición e Implementación Procesos AI1 Identificación de Soluciones Automatizadas Objetivo: Asegurar el mejor enfoque para cumplir con los requerimientos del usuario. AI2 Adquisición y mantenimiento del software aplicativo Objetivo: Proporciona funciones automatizadas que soporten efectivamente al negocio.
Dominio: Adquisición e Implementación AI3 Adquisición y mantenimiento de la infraestructura tecnológica Objetivo: Proporcionar las plataformas apropiadas para soportar aplicaciones de negocios. AI4 Desarrollo y mantenimiento de procedimientos Objetivo: Asegurar el uso apropiado de las aplicaciones y de las soluciones tecnológicas establecidas.
Dominio: Adquisición e Implementación AI5 Instalación y aceptación de los sistemas Objetivo: Verificar y confirmar que la solución sea adecuada para el propósito deseado. AI6 Administración de los cambios Objetivo: Minimizar la probabilidad de interrupciones, alteraciones no autorizadas y errores.
Dominio: Prestación y Soporte Definición En este dominio se hace referencia a la entrega de los servicios requeridos, que abarca desde las operaciones tradicionales hasta el entrenamiento, pasando por seguridad y aspectos de continuidad. Con el fin de proveer servicios, deberán establecerse los procesos de soporte necesarios. Este dominio incluye el procesamiento de los datos por sistemas de aplicación, frecuentemente clasificados como controles de aplicación.
Dominio: Prestación y Soporte Procesos Ds1 Definición de niveles de servicio Objetivo: Establecer una comprensión común del nivel de servicio requerido. Ds2 Administración de servicios prestados por terceros Objetivo: Asegurar que las tareas y responsabilidades de las terceras partes estén claramente definidas.
Dominio: Prestación y Soporte Ds3 Administración de desempeño y capacidad Objetivo: Asegurar que la capacidad adecuada está disponible y que se esté haciendo el mejor uso de ella para alcanzar el desempeño deseado. Ds4 Asegurar el Servicio Continuo Objetivo: mantener el servicio disponible de acuerdo con los requerimientos y continuar su provisión en caso de interrupciones.
Dominio: Prestación y Soporte Ds5 Garantizar la seguridad de sistemas Objetivo: salvaguardar la información contra uso no autorizados, divulgación, modificación, daño o pérdida. Ds6 Educación y entrenamiento de usuarios Objetivo: Asegurar que los usuarios estén haciendo un uso efectivo de la tecnología y estén conscientes de los riesgos y responsabilidades involucrados.
Dominio: Prestación y Soporte Ds7 Identificación y asignación de costos Objetivo: Asegurar un conocimiento correcto de los costos atribuibles a los servicios de TI. Ds8 Apoyo y asistencia a los clientes de TI Objetivo: asegurar que cualquier problema experimentado por los usuarios sea atendido apropiadamente.
Dominio: Prestación y Soporte Ds9 Administración de la configuración Objetivo: Dar cuenta de todos los componentes de TI, prevenir alteraciones no autorizadas, verificar la existencia física y proporcionar una base para el sano manejo de cambios. Ds10 Administración de Problemas Objetivo: Asegurar que los problemas e incidentes sean resueltos y que sus causas sean investigadas para prevenir que vuelvan a suceder.
Dominio: Prestación y Soporte Ds11 Administración de Datos Objetivo: Asegurar que los datos permanezcan completos, precisos y válidos durante su entrada, actualización, salida y almacenamiento. Ds12 Administración de las instalaciones Objetivo: Proporcionar un ambiente físico conveniente que proteja al equipo y al personal de TI contra peligros naturales o fallas humanas .
Dominio: Prestación y Soporte Ds13 Administración de la operación Objetivo: Asegurar que las funciones importantes de soporte de TI estén siendo llevadas a cabo regularmente y de una manera ordenada.
Dominio: Monitoreo Definición Todos los procesos de una organización necesitan ser evaluados regularmente a través del tiempo para verificar su calidad y suficiencia en cuanto a los requerimientos de control, integridad y confidencialidad. Este es, precisamente, el ámbito de este dominio.
Dominio: Monitoreo Procesos M1 Monitoreo del Proceso Objetivo: Asegurar el logro de los objetivos establecidos para los procesos de TI. M2 Evaluar lo adecuado del Control Interno Objetivo: Asegurar el logro de los objetivos de control interno establecidos para los procesos de TI.
Dominio: Monitoreo M3 Obtención de Aseguramiento Independiente Objetivo: Incrementar los niveles de confianza entre la organización, clientes y proveedores externos. M4 Proveer Auditoria Independiente Objetivo: Incrementar los niveles de confianza y beneficiarse de recomendaciones basadas en mejores prácticas de su implementación.
Estructura de INFORMACIÓN
EVENTOS Objetivos de negocio Oportunidades de negocio Requerimientos externos Regulación Riesgos
Datos Applicaciones Tecnología Instalaciones Recurso Humano
Efectividad Eficiencia Confidencialidad Integridad Disponibilidad Cumplimiento Confiabilidad
Estructura de Lo que usted Obtiene
Procesos del Negocio
Lo que Usted Necesita
Criterios Información
Recursos de TI Datos Aplicaciones Tecnología Instalaciones Recurso Humano
Efectividad Eficiencia Confidencialidad Integridad Disponibilidad Cumplimiento Confiabilidad
Concuerdan
Estructura de
Dominios Procesos Actividades
r
s o s
R
u ec
Recurso Humano
u
g e S
Instalaciones
Co
ia f n
d a rid
Tecnología
lid a C
li i b
Applicaciones
ad
d a d
Datos
Procesos TI
CUBO de CobiT Relación entre los componentes
Criterios de la Información (7)
de
TI
Objetivos del Negocio Seguimiento de los procesos Evaluar lo adecuado del control Interno Obtener aseguramiento inndependiente Proveer una auditoría independiente
CobiT
Definir un plan estratégico de TI Definir la arquitectura de información Determinar la dirección tecnológica Definir la organización y relaciones de TI Manejo de la inversión en TI Comunicación de la directrices Gerenciales Administración del Recurso Humano Asegurar el cumplir requerimientos externos Evaluación de Riesgos Administración de Proyectos Administración de Calidad
Req. Información
Seguimiento
Efectividad, Eficiencia, Confidencialidad, Integridad, Disponibilidad, Cumplimiento, Confiabilidad
Planeación y Organización
Recursos de TI Definición del nivel de servicio Admistración del servicio de terceros Admon de la capacidad y el desempeño Asegurar el servicio continuo Garantizar la seguridad del sistema Identificación y asignación de costos Capacitación de usuarios Soporte a los clientes de TI Admistración de la configuración Administración de problemas e incidentes Administración de datos Administración de Instalaciones Administración de Operaciones
Datos, Aplicaciones Tecnología, Instalaciones, Recurso Humano
Servicios y Soporte
Adquisición e Implementación
Identificación de soluciones Adquisición y mantenimiento de SW aplicativo Adquisición y mantenimiento de arquitectura TI Desarrollo y mantenimiento de Procedimientos de TI Instalación y Acreditación de sistemas Administración de Cambios
Como Producto • Resumen Ejecutivo • Marco de Referencia (Framework) • Objetivos de Control • Guías de Auditoría • Guías de Administración • Herramientas de implementación • CD-ROM • 3a Edición disponible en español
- Resumen Ejecutivo • Documento dirigido a la alta gerencia • Presenta los antecedentes y la estructura básica de COBIT. • Describe de manera general los procesos, los recursos y los criterios de información, los cuales conforman la “Columna Vertebral” de COBIT.
- Marco de Referencia • Incluye la introducción contenida en
el resumen ejecutivo • Presenta las guías de navegación para que los lectores se orienten en la exploración del material de COBIT. • Hace una presentación detallada de los 34 procesos contenidos en los cuatro dominios.
- Objetivos de Control • Integran en su contenido lo expuesto tanto en el resumen ejecutivo como en el marco de referencia • Presenta los objetivos de control detallados para cada uno de los 34 procesos. • En total se describen 302 objetivos de control (de 3 a 30 objetivos por cada uno de los procesos)
- Guías de Auditoría • Se hace una presentación del proceso de
auditoría generalmente aceptado (relevamiento de información,evaluación de control, evaluación de cumplimiento y evidenciación de los riesgos). • Este documento incluye guías detalladas para auditar cada uno de los 34 procesos teniendo en cuenta los 318 objetivos de control detallados.
Guías de Administración • Se enfoca de manera similar a los otros
productos • Integra los principios del Balanced Businnes Scorecard. • Para ayudar a determinar cuales son los adecuados niveles de seguridad y control integra losconceptos de: – Modelo de madurez CMM (prácticas de Control) – Indicadores claves de Desempeño de los procesos de TI – Factores Críticos de Éxito a tener en cuenta para mentener bajo control los procesos de TI.
Herramientas de Implementación • Muestra algunas de las lecciones
aprendidas por aquellas organizaciones que han aplicado CobiT • Incluye una guía de implementación con dos herramientas: Diagnóstico de conciencia Administrativa y Diagnóstico de Control en TI • Respuestas a las 25 preguntas mas frecuentes sobre CobiT
CD-ROM • El CD-ROM de CobiT contiene toda la información relacionada con los objetivos de Control y guías de Auditoría, facilitando. su búsqueda y acceso. • Permite contar con las guías por objetivo de control de una manera fácil y oportuna cuando se están realizando labores de auditoría.
Comparación de conceptos de Control Interno CobiT 1996/1998 Definición de Control Interno
Definición de Objetivos de Control de T I
COSO 1992 Contribuciones al concepto de Control Interno
SAS 78 - 1995
SAC 1991/1994 Conceptos de Control Interno
enmienda
Conceptos de Control Interno
SAS 55 - 1988
Comparación de Conceptos de Control COBIT Dirigido a:
SAC
Administración, Usuarios, Auditores de Auditores Internos Sistemas Responsables de TI
COSO
SASs 55/78
Administración
Auditores Externos
El Control Interno es Visto Conjunto de procesos incluyendo como políticas, procedimientos, prácticas y estructura Organizacional
Conjunto de procesos, subsistemas y personas
Procesos
Procesos
Los Objetivos Organizacionales de Control Interno
Efectividad y Eficiencia de las operaciones
Efectividad y Eficiencia de las operaciones
Efectividad y Eficiencia de las operaciones
Efectividad y Eficiencia de las operaciones
Confidencialidad, Integridad y disponibilidad de la información
Confiabilidad en los reportes Confiabilidad en los reportes financieros financieros
Confiabilidad en los reportes financieros
Confiabilidad en los reportes financieros
Cumplimiento con leyes y normas
Cumplimiento con leyes y normas
Cumplimiento con leyes y normas
Dominios:
Componentes:
Componentes:
Componentes:
Planeación y Organización
Ambiente de Control
Ambiente de Control
Ambiente de Control
Adquisición e implantación
Sistemas Manuales y Automatizados.
Evaluación de Riesgo
Evaluación de Riesgo
Actividades de Control
Actividades de Control
Información y Comunicación
Información y Comunicación
Seguimiento
Seguimiento
Tecnología de Información
Toda la Organización
Estados Financieros
Evaluación de la Por un periodo de tiempo Efectividad del Control I.
Por un periodo de tiempo
En un punto en el tiempo
Por un periodo de tiempo
Responsable por el Control Administración Interno
Administración
Administración
Administración
Tamaño
1193 páginas en 12 módulos 353 páginas en 4 volúmenes
Cumplimiento con leyes y normas Componentes o Dominios
Servicio y Soporte Seguimiento Enfocado a
Tecnología de Información
187 páginas en 4 volúmenes
Procedimientos de Control
63 páginas en 2 documentos
Gracias por su atención.