Cobit

  • October 2019
  • PDF

This document was uploaded by user and they confirmed that they have the permission to share it. If you are author or own the copyright of this book, please report to us by using this DMCA report form. Report DMCA


Overview

Download & View Cobit as PDF for free.

More details

  • Words: 3,478
  • Pages: 60
CONTROL OBJECTIVES FOR INFORMATION AND RELATED TECHNOLOGY ALUMNOS: •DAVID VERA OLIVERA •CRISTIAN RIVERA

COBIT • COBIT esta orientado a ser la

herramienta de gobierno de TI que ayude al entendimiento y a la administración de riesgos asociados con tecnología de información y con tecnologías relacionadas.

Misión: Soportar los objetivos empresariales mediante el desarrollo, promoción y entrega de investigaciones, estándares, competencias y prácticas para un efectivo gobierno, control y evaluación de los sistemas de información y la tecnología relacionada Information Systems Audit and Control Association (ISACATM)

Information Systems Audit and Control Foundation (ISACFTM)

Historia ISACA • Fundada in 1969, como EDP

Auditors Association • Más de 26,000 miembros en más de 100 paises • Más de 160 capítulos alrededor del mundo

• Antecedentes • Definición, Misión y Usuarios • Características Generales • Principios (Requerimientos de

Información, Recursos de TI y Procesos de TI)

• Estructura de CobiT • CobiT como Producto (Componentes) • CobiT y Otros estándares

Antecedentes • El gremio de profesionales en TI se

mostró preocupado por la falta de una guía estándar sobre el control en TI, que sirviera para diferentes grupos de interés. • LA ISACF, como órgano que agrupa a profesionales de diferentes áreas interesados en el control de TI, se dió a la tarea de dearrollar un conjunto común de conceptos sobre la materia.

Antecedentes • COBIT Integra y concilia normas y

reglamentaciones existentes como:

– ISO (9000-3) – Códigos de Conducta del Consejo Europeo – COSO, IFAC, IIA, ISACA, AICPA y Otras

• Incluye el contenido de los Objetivos de

Control emitidos por ISACA (EDPAA) • Se publica por 1ra vez en Septiembre de 1996 • Se publica la 2a Edición en Abril de 1988 • Se publicó la 3a Edición en Marzo de 2000

Definición Control OBjectives for Information and Related Technology (Objetivos de Control para Tecnología de Información y Tecnologías realacionadas)

Misión Investigar, desarrollar, publicar y promover un conjunto internacional y actualizado de objetivos de control para tecnología de información que sea de uso cotidiano para gerentes, auditores.

Usuarios • La Gerencia: para apoyar sus decisiones de inversión en TI y control sobre el rendimiento de las mismas, analizar el costo beneficio del control.

• Los Usuarios Finales: quienes obtienen una garantía sobre la seguridad y el control de los productos que adquieren interna y externamente

Usuarios • Los Auditores : para soportar sus

opiniones sobre los controles de los proyectos de TI , su impacto en la organización y determinar el control mínimo requerido. • Los Responsables de TI: para identificar los controles que requieren en sus áreas

Características • Orientado al negocio • Alineado con estándares y

regulaciones “de facto” • Basado en una revisión crítica y analítica de las tareas y actividades en TI • Alineado con estándares de control y auditoría (COSO, IFAC, IIA, ISACA, AICPA)

Principios REQUERIMIENTOS DE INFORMACIÓN DEL NEGOCIO

PROCESOS DE TI RECURSOS DE TI

Requerimientos de la Información del Negocio CobiT combina los principios contenidos por modelos existentes y conocidos, como COSO, SAC y SAS

Requerimientos de Calidad

Calidad.

Requerimientos Financieros (COSO)

Efectividad y eficiencia operacional.

Requerimientos de Seguridad

Confidencialidad.

Costo. Oportunidad.

Confiabilidad de los reportes financieros. Cumplimiento de leyes y regulaciones.

Integridad. Disponibilidad.

Objetivos del Negocio Seguimiento de los procesosEvaluar lo adecuado del control Interno Obtener aseguramiento inndependiente Proveer una auditoría independiente

CobiT

Definir un plan estratégico de TI Definir la arquitectura de información Determinar la dirección tecnológica Definir la organización y relaciones de TI Manejo de la inversión en TI Comunicación de la directrices Gerenciales Administración del Recurso Humano Asegurar el cumplir requerimientos externos Evaluación de Riesgos Administración de Proyectos Administración de Calidad

Req. Información

Seguimiento

Efectividad, Eficiencia, Confidencialidad, Integridad, Disponibilidad, Cumplimiento, Confiabilidad

Planeación y Organización

Recursos de TI Definición del nivel de servicio Admistración del servicio de terceros Admon de la capacidad y el desempeño Asegurar el servicio continuo Garantizar la seguridad del sistema Identificación y asignación de costos Capacitación de usuarios Soporte a los clientes de TI Admistración de la configuración Administración de problemas e incidentes Administración de datos Administración de Instalaciones Administración de Operaciones

Datos, Aplicaciones Tecnología, Instalaciones, Recurso Humano

Servicios y Soporte

Adquisición e Implementación

Identificación de soluciones Adquisición y mantenimiento de SW aplicativo Adquisición y mantenimiento de arquitectura TI Desarrollo y mantenimiento de Procedimientos de TI Instalación y Acreditación de sistemas Administración de Cambios

Requerimientos de la Información del Negocio • Efectividad: La información debe ser relevante y pertinente para los procesos del negocio y debe ser proporcionada en forma oportuna, correcta, consistente y utilizable

• Eficiencia: Se debe proveer información mediante el empleo óptimo de los recursos (la forma más productiva y económica)

• Confidencialidad: Protección de la información sensitiva contra divulgación no autorizada

• Integridad: Refiere a lo exacto y completo de la información así como a su validez de acuerdo con las expectativas de la empresa.

Requerimientos de la Información del Negocio • Disponibilidad: accesibilidad a la información cuando sea requerida por los procesos del negocio y la salvaguarda de los recursos y capacidades asociadas a los mismos. • Cumplimiento: de las leyes, regulaciones y compromisos contractuales con los cuales está comprometida la empresa. • Confiabilidad: proveer la información apropiada para que la administración tome las decisiones adecuadas para manejar la empresa y cumplir con las responsabilidades de los reportes financieros y de cumplimiento normativo.

Recursos de TI • Datos: Todos los objetos de información. Considera información • • • •

interna y externa, estructurada o nó, gráficas, sonidos, etc. Aplicaciones: entendido como los sistemas de información, que integran procedimientos manuales y sistematizados. Tecnología: Incluye hardware y software básico, sistemas operativos, sistemas de administración de bases de datos, de redes, telecomunicaciones, multimedia, etc. Instalaciones: Incluye los recursos necesarios para alojar y dar soporte a los sistemas de información. Recurso Humano: Por la habilidad, conciencia y productividad del personal para planear, adquirir, prestar servicios, dar soporte y monitorear los sistemas de Información.

Objetivos del Negocio Seguimiento de los procesos Evaluar lo adecuado del control Interno Obtener aseguramiento inndependiente Proveer una auditoría independiente

CobiT

Definir un plan estratégico de TI Definir la arquitectura de información Determinar la dirección tecnológica Definir la organización y relaciones de TI Manejo de la inversión en TI Comunicación de la directrices Gerenciales Administración del Recurso Humano Asegurar el cumplir requerimientos externos Evaluación de Riesgos Administración de Proyectos Administración de Calidad

Req. Información

Seguimiento

Efectividad, Eficiencia, Confidencialidad, Integridad, Disponibilidad, Cumplimiento, Confiabilidad

Planeación y Organización

Recursos de TI Definición del nivel de servicio Admistración del servicio de terceros Admon de la capacidad y el desempeño Asegurar el servicio continuo Garantizar la seguridad del sistema Identificación y asignación de costos Capacitación de usuarios Soporte a los clientes de TI Admistración de la configuración Administración de problemas e incidentes Administración de datos Administración de Instalaciones Administración de Operaciones

Datos, Aplicaciones Tecnología, Instalaciones, Recurso Humano

Servicios y Soporte

Adquisición e Implementación

Identificación de soluciones Adquisición y mantenimiento de SW aplicativo Adquisición y mantenimiento de arquitectura TI Desarrollo y mantenimiento de Procedimientos de TI Instalación y Acreditación de sistemas Administración de Cambios

Procesos de TI - Los Tres Niveles Dominios Procesos

Agrupación Natural de procesos, normalmente corresponden a un dominio o una responsabilidad organizacional

Conjuntos o series de actividades unidas con delimitación o cortes de control.

Actividades o tareas

Acciones requeridas para lograr un resultado medible. Las Actividades Tienen un ciclo de vida mientras que las tareas son discretas.

Procesos de TI - Dominios

• Planeación y Organización

(Planning and Organization) • Adquisición e implementación (Acquisition and Implementation) • Prestación de Servicios y Soporte (Delivery and Support) • Seguimiento (monitoring)

Procesos de TI - Procesos Planeación y Organización

Adquisición e Implementación

Definir un plan estratégico de TI Definir la arquitectura de información Determinar la dirección tecnológica Definir la organización y relaciones de TI Manejo de la inversión en TI Comunicación de la directrices Gerenciales Administración del Recurso Humano Asegurar el cumplir requerimientos externos Evaluación de Riesgos Administración de Proyectos Administración de Calidad Identificación de soluciones Adquisición y mantenimiento de SW aplicativo Adquisición y mantenimiento de arquitectura TI Desarrollo y mantenimiento de Procedimientos de TI Instalación y Acreditación de sistemas Administración de Cambios

Procesos de TI - Procesos Servicios y Soporte

Seguimiento

Definición del nivel de servicio Administración del servicio de terceros Administración de la capacidad y el desempeño Asegurar el servicio continuo Garantizar la seguridad del sistema Identificación y asignación de costos Capacitación de usuarios Soporte a los clientes de TI Administración de la configuración Administración de problemas e incidentes Administración de datos Administración de Instalaciones Administración de Operaciones Seguimiento de los procesos Evaluar lo adecuado del control Interno Obtener aseguramiento independiente Proveer una auditoría independiente

Dominio: Planeación y Organización Definición Este dominio cubre la estrategia y las tácticas y se refiere a la identificación de la forma en que la tecnología de información puede contribuir de la mejor manera al logro de los objetivos de negocio. Además, la consecución de la visión estratégica necesita ser planeada, comunicada y administrada desde diferentes perspectivas. Finalmente, deberán establecerse una organización y una infraestructura tecnológica apropiadas.

Dominio: Planeación y Organización Procesos PO1 Definición de un plan Estratégico Objetivo: Lograr un balance óptimo entre las oportunidades de tecnología de información y los requerimientos de TI de negocio PO2 Definición de la Arquitectura de Información Objetivo: Satisfacer los requerimientos de negocio, organizando de la mejor manera posible los sistemas de información, a través de la creación y mantenimiento de un modelo de información de negocio

Dominio: Planeación y Organización PO3 Determinación de la dirección tecnológica Objetivo: Aprovechar al máximo de la tecnología disponible o tecnología emergente, satisfaciendo los requerimientos de negocio PO4 Definición de la organización y de las relaciones de TI Objetivo: Prestación de servicios de TI Esto se realiza por medio de una organización conveniente en número y habilidades, con tareas y responsabilidades definidas y comunicadas

Dominio: Planeación y Organización PO5 Manejo de la inversión Objetivo: tiene como finalidad la satisfacción de los requerimientos de negocio, asegurando el financiamiento y el control de desembolsos de recursos financieros. PO6 Comunicación de la dirección y aspiraciones de la gerencia Objetivo: Asegura el conocimiento y comprensión de los usuarios sobre las aspiraciones del alto nivel (gerencia)

Dominio: Planeación y Organización PO7 Administración de recursos humanos Objetivo: Maximizar las contribuciones del personal a los procesos de TI, satisfaciendo así los requerimientos de negocio. PO8 Asegurar el cumplimiento requerimientos Externos Objetivo: Cumplir con obligaciones regulatorias y contractuales

con

los

legales,

Dominio: Planeación y Organización PO9 Evaluación de riesgos Objetivo: Asegurar el logro de los objetivos de TI y responder a las amenazas hacia la provisión de servicios de TI. PO10 Administración de proyectos Objetivo: Establecer prioridades servicios oportunamente y de presupuesto de inversión.

y entregar acuerdo al

Dominio: Planeación y Organización PO11 Administración de calidad Objetivo: Satisfacer los requerimientos del cliente.

Dominio: Adquisición e Implementación Definición Para llevar a cabo la estrategia de TI, las soluciones de Ti deben ser identificadas, desarrolladas o adquiridas, así como implementadas e integradas dentro del proceso del negocio. Además, este dominio cubre los cambios y el mantenimiento realizados a sistemas existentes.

Dominio: Adquisición e Implementación Procesos AI1 Identificación de Soluciones Automatizadas Objetivo: Asegurar el mejor enfoque para cumplir con los requerimientos del usuario. AI2 Adquisición y mantenimiento del software aplicativo Objetivo: Proporciona funciones automatizadas que soporten efectivamente al negocio.

Dominio: Adquisición e Implementación AI3 Adquisición y mantenimiento de la infraestructura tecnológica Objetivo: Proporcionar las plataformas apropiadas para soportar aplicaciones de negocios. AI4 Desarrollo y mantenimiento de procedimientos Objetivo: Asegurar el uso apropiado de las aplicaciones y de las soluciones tecnológicas establecidas.

Dominio: Adquisición e Implementación AI5 Instalación y aceptación de los sistemas Objetivo: Verificar y confirmar que la solución sea adecuada para el propósito deseado. AI6 Administración de los cambios Objetivo: Minimizar la probabilidad de interrupciones, alteraciones no autorizadas y errores.

Dominio: Prestación y Soporte Definición En este dominio se hace referencia a la entrega de los servicios requeridos, que abarca desde las operaciones tradicionales hasta el entrenamiento, pasando por seguridad y aspectos de continuidad. Con el fin de proveer servicios, deberán establecerse los procesos de soporte necesarios. Este dominio incluye el procesamiento de los datos por sistemas de aplicación, frecuentemente clasificados como controles de aplicación.

Dominio: Prestación y Soporte Procesos Ds1 Definición de niveles de servicio Objetivo: Establecer una comprensión común del nivel de servicio requerido. Ds2 Administración de servicios prestados por terceros Objetivo: Asegurar que las tareas y responsabilidades de las terceras partes estén claramente definidas.

Dominio: Prestación y Soporte Ds3 Administración de desempeño y capacidad Objetivo: Asegurar que la capacidad adecuada está disponible y que se esté haciendo el mejor uso de ella para alcanzar el desempeño deseado. Ds4 Asegurar el Servicio Continuo Objetivo: mantener el servicio disponible de acuerdo con los requerimientos y continuar su provisión en caso de interrupciones.

Dominio: Prestación y Soporte Ds5 Garantizar la seguridad de sistemas Objetivo: salvaguardar la información contra uso no autorizados, divulgación, modificación, daño o pérdida. Ds6 Educación y entrenamiento de usuarios Objetivo: Asegurar que los usuarios estén haciendo un uso efectivo de la tecnología y estén conscientes de los riesgos y responsabilidades involucrados.

Dominio: Prestación y Soporte Ds7 Identificación y asignación de costos Objetivo: Asegurar un conocimiento correcto de los costos atribuibles a los servicios de TI. Ds8 Apoyo y asistencia a los clientes de TI Objetivo: asegurar que cualquier problema experimentado por los usuarios sea atendido apropiadamente.

Dominio: Prestación y Soporte Ds9 Administración de la configuración Objetivo: Dar cuenta de todos los componentes de TI, prevenir alteraciones no autorizadas, verificar la existencia física y proporcionar una base para el sano manejo de cambios. Ds10 Administración de Problemas Objetivo: Asegurar que los problemas e incidentes sean resueltos y que sus causas sean investigadas para prevenir que vuelvan a suceder.

Dominio: Prestación y Soporte Ds11 Administración de Datos Objetivo: Asegurar que los datos permanezcan completos, precisos y válidos durante su entrada, actualización, salida y almacenamiento. Ds12 Administración de las instalaciones Objetivo: Proporcionar un ambiente físico conveniente que proteja al equipo y al personal de TI contra peligros naturales o fallas humanas .

Dominio: Prestación y Soporte Ds13 Administración de la operación Objetivo: Asegurar que las funciones importantes de soporte de TI estén siendo llevadas a cabo regularmente y de una manera ordenada.

Dominio: Monitoreo Definición Todos los procesos de una organización necesitan ser evaluados regularmente a través del tiempo para verificar su calidad y suficiencia en cuanto a los requerimientos de control, integridad y confidencialidad. Este es, precisamente, el ámbito de este dominio.

Dominio: Monitoreo Procesos M1 Monitoreo del Proceso Objetivo: Asegurar el logro de los objetivos establecidos para los procesos de TI. M2 Evaluar lo adecuado del Control Interno Objetivo: Asegurar el logro de los objetivos de control interno establecidos para los procesos de TI.

Dominio: Monitoreo M3 Obtención de Aseguramiento Independiente Objetivo: Incrementar los niveles de confianza entre la organización, clientes y proveedores externos. M4 Proveer Auditoria Independiente Objetivo: Incrementar los niveles de confianza y beneficiarse de recomendaciones basadas en mejores prácticas de su implementación.

Estructura de INFORMACIÓN

EVENTOS Objetivos de negocio Oportunidades de negocio Requerimientos externos Regulación Riesgos

Datos Applicaciones Tecnología Instalaciones Recurso Humano

Efectividad Eficiencia Confidencialidad Integridad Disponibilidad Cumplimiento Confiabilidad

Estructura de Lo que usted Obtiene

Procesos del Negocio

Lo que Usted Necesita

Criterios Información

Recursos de TI Datos Aplicaciones Tecnología Instalaciones Recurso Humano

Efectividad Eficiencia Confidencialidad Integridad Disponibilidad Cumplimiento Confiabilidad

Concuerdan

Estructura de

Dominios Procesos Actividades

r

s o s

R

u ec

Recurso Humano

u

g e S

Instalaciones

Co

ia f n

d a rid

Tecnología

lid a C

li i b

Applicaciones

ad

d a d

Datos

Procesos TI

CUBO de CobiT Relación entre los componentes

Criterios de la Información (7)

de

TI

Objetivos del Negocio Seguimiento de los procesos Evaluar lo adecuado del control Interno Obtener aseguramiento inndependiente Proveer una auditoría independiente

CobiT

Definir un plan estratégico de TI Definir la arquitectura de información Determinar la dirección tecnológica Definir la organización y relaciones de TI Manejo de la inversión en TI Comunicación de la directrices Gerenciales Administración del Recurso Humano Asegurar el cumplir requerimientos externos Evaluación de Riesgos Administración de Proyectos Administración de Calidad

Req. Información

Seguimiento

Efectividad, Eficiencia, Confidencialidad, Integridad, Disponibilidad, Cumplimiento, Confiabilidad

Planeación y Organización

Recursos de TI Definición del nivel de servicio Admistración del servicio de terceros Admon de la capacidad y el desempeño Asegurar el servicio continuo Garantizar la seguridad del sistema Identificación y asignación de costos Capacitación de usuarios Soporte a los clientes de TI Admistración de la configuración Administración de problemas e incidentes Administración de datos Administración de Instalaciones Administración de Operaciones

Datos, Aplicaciones Tecnología, Instalaciones, Recurso Humano

Servicios y Soporte

Adquisición e Implementación

Identificación de soluciones Adquisición y mantenimiento de SW aplicativo Adquisición y mantenimiento de arquitectura TI Desarrollo y mantenimiento de Procedimientos de TI Instalación y Acreditación de sistemas Administración de Cambios

Como Producto • Resumen Ejecutivo • Marco de Referencia (Framework) • Objetivos de Control • Guías de Auditoría • Guías de Administración • Herramientas de implementación • CD-ROM • 3a Edición disponible en español

- Resumen Ejecutivo • Documento dirigido a la alta gerencia • Presenta los antecedentes y la estructura básica de COBIT. • Describe de manera general los procesos, los recursos y los criterios de información, los cuales conforman la “Columna Vertebral” de COBIT.

- Marco de Referencia • Incluye la introducción contenida en

el resumen ejecutivo • Presenta las guías de navegación para que los lectores se orienten en la exploración del material de COBIT. • Hace una presentación detallada de los 34 procesos contenidos en los cuatro dominios.

- Objetivos de Control • Integran en su contenido lo expuesto tanto en el resumen ejecutivo como en el marco de referencia • Presenta los objetivos de control detallados para cada uno de los 34 procesos. • En total se describen 302 objetivos de control (de 3 a 30 objetivos por cada uno de los procesos)

- Guías de Auditoría • Se hace una presentación del proceso de

auditoría generalmente aceptado (relevamiento de información,evaluación de control, evaluación de cumplimiento y evidenciación de los riesgos). • Este documento incluye guías detalladas para auditar cada uno de los 34 procesos teniendo en cuenta los 318 objetivos de control detallados.

Guías de Administración • Se enfoca de manera similar a los otros

productos • Integra los principios del Balanced Businnes Scorecard. • Para ayudar a determinar cuales son los adecuados niveles de seguridad y control integra losconceptos de: – Modelo de madurez CMM (prácticas de Control) – Indicadores claves de Desempeño de los procesos de TI – Factores Críticos de Éxito a tener en cuenta para mentener bajo control los procesos de TI.

Herramientas de Implementación • Muestra algunas de las lecciones

aprendidas por aquellas organizaciones que han aplicado CobiT • Incluye una guía de implementación con dos herramientas: Diagnóstico de conciencia Administrativa y Diagnóstico de Control en TI • Respuestas a las 25 preguntas mas frecuentes sobre CobiT

CD-ROM • El CD-ROM de CobiT contiene toda la información relacionada con los objetivos de Control y guías de Auditoría, facilitando. su búsqueda y acceso. • Permite contar con las guías por objetivo de control de una manera fácil y oportuna cuando se están realizando labores de auditoría.

Comparación de conceptos de Control Interno CobiT 1996/1998 Definición de Control Interno

Definición de Objetivos de Control de T I

COSO 1992 Contribuciones al concepto de Control Interno

SAS 78 - 1995

SAC 1991/1994 Conceptos de Control Interno

enmienda

Conceptos de Control Interno

SAS 55 - 1988

Comparación de Conceptos de Control COBIT Dirigido a:

SAC

Administración, Usuarios, Auditores de Auditores Internos Sistemas Responsables de TI

COSO

SASs 55/78

Administración

Auditores Externos

El Control Interno es Visto Conjunto de procesos incluyendo como políticas, procedimientos, prácticas y estructura Organizacional

Conjunto de procesos, subsistemas y personas

Procesos

Procesos

Los Objetivos Organizacionales de Control Interno

Efectividad y Eficiencia de las operaciones

Efectividad y Eficiencia de las operaciones

Efectividad y Eficiencia de las operaciones

Efectividad y Eficiencia de las operaciones

Confidencialidad, Integridad y disponibilidad de la información

Confiabilidad en los reportes Confiabilidad en los reportes financieros financieros

Confiabilidad en los reportes financieros

Confiabilidad en los reportes financieros

Cumplimiento con leyes y normas

Cumplimiento con leyes y normas

Cumplimiento con leyes y normas

Dominios:

Componentes:

Componentes:

Componentes:

Planeación y Organización

Ambiente de Control

Ambiente de Control

Ambiente de Control

Adquisición e implantación

Sistemas Manuales y Automatizados.

Evaluación de Riesgo

Evaluación de Riesgo

Actividades de Control

Actividades de Control

Información y Comunicación

Información y Comunicación

Seguimiento

Seguimiento

Tecnología de Información

Toda la Organización

Estados Financieros

Evaluación de la Por un periodo de tiempo Efectividad del Control I.

Por un periodo de tiempo

En un punto en el tiempo

Por un periodo de tiempo

Responsable por el Control Administración Interno

Administración

Administración

Administración

Tamaño

1193 páginas en 12 módulos 353 páginas en 4 volúmenes

Cumplimiento con leyes y normas Componentes o Dominios

Servicio y Soporte Seguimiento Enfocado a

Tecnología de Información

187 páginas en 4 volúmenes

Procedimientos de Control

63 páginas en 2 documentos

Gracias por su atención.

Related Documents

Cobit
October 2019 20
Cobit - Resumo
June 2020 8
Cobit Ppt
August 2019 24
Cobit 5 F Pregu.docx
June 2020 4
Cobit 5.pdf
June 2020 2
Cobit 5.docx
June 2020 3