Upload
ccreyes87
View
2.145
Download
1
Embed Size (px)
Citation preview
1
U n i v e r s i d a d M a r i a n o G á l v e z d e G u a t e m a l aC o n t a d u r í a P ú b l i c a y A u d i t o r i a
A u d i t o r i a d e S i s t e m a s
INDICE
INTRODUCCIÓN..................................................................................................................2
COBIT: ESTÁNDARES INTERNACIONALES PARA EL MANEJO DE TECNOLOGÍAS DE INFORMACIÓN.................................................................................3
1. ¿QUÉ ES COBIT?.......................................................................................................3
1.1 Usuarios:...............................................................................................................3
1.2 Características.......................................................................................................3
2. PRINCIPIOS DE COBIT.............................................................................................4
2.1 Requerimientos de la información del negocio....................................................4
2.2 Requerimientos de Calidad:..................................................................................4
2.3 Requerimientos fiduciarios...................................................................................4
2.4 Requerimientos de Seguridad...............................................................................5
3. COMPONENTES DE COBIT.....................................................................................5
4. DOMINIOS DE COBIT..............................................................................................6
4.1 Planea y Organiza (PO)........................................................................................7
4.2 Adquirir e Implementar (AI)................................................................................9
4.3 Soporte y Entrega (DS).......................................................................................10
4.4 Monitoreo y Evaluación.....................................................................................12
5. DIRECTRICES GERENCIALES..............................................................................14
5.1 Focalizarse en el negocio....................................................................................15
5.2 Orientación a los procesos..................................................................................15
5.3 El riesgo del negocio, controles y la tecnología.................................................15
6. PROCESO DE IMPLANTACIÓN DE COBIT EN LAS EMPRESAS....................15
CONCLUSIÓN.....................................................................................................................17
BIBLIOGRAFIA..................................................................................................................18
2
U n i v e r s i d a d M a r i a n o G á l v e z d e G u a t e m a l aC o n t a d u r í a P ú b l i c a y A u d i t o r i a
A u d i t o r i a d e S i s t e m a s
INTRODUCCIÓN
Un elemento crítico para el éxito y la supervivencia de las organizaciones, es la administración efectiva de la información y de la Tecnología de Información (TI) relacionada. En esta sociedad global (donde la información viaja a través del “ciberespacio” sin las restricciones de tiempo, distancia y velocidad) esta criticalidademerge de:
La creciente dependencia en información y en los sistemas que proporcionan dicha información
La creciente vulnerabilidad y un amplio espectro de amenazas, tales como las “ciber amenazas” y la guerra de información
La escala y el costo de las inversiones actuales y futuras en información y en tecnología de información; y
El potencial que tienen las tecnologías para cambiar radicalmente las organizaciones y las prácticas de negocio, crear nuevas oportunidades y reducir costos.
Para muchas organizaciones, la información y la tecnología que la soporta, representan los activos mas valiosos de la empresa y por lo tanto es de vital importancia que se sigan normas y procedimientos cuya calidad garanticen la seguridad e integridad de la información de las empresas.
Es con esta necesidad en mente que se ha desarrollado el COBIT, un conjunto de estándares de aceptación mundial que permitan a las empresas que tienen sistemas de información seguirlas para garantizar el mejor uso y seguridad en la información electrónica que manipulan.
La presente investigación se enfoca en desarrollar los aspectos principales de este manual desde sus principios hasta procesos para implementarlo en las empresas.
3
U n i v e r s i d a d M a r i a n o G á l v e z d e G u a t e m a l aC o n t a d u r í a P ú b l i c a y A u d i t o r i a
A u d i t o r i a d e S i s t e m a s
COBIT: ESTÁNDARES INTERNACIONALES PARA EL MANEJO DE TECNOLOGÍAS DE INFORMACIÓN
1. ¿QUÉ ES COBIT?
Es un conjunto de mejores prácticas para el manejo de información creado por la Asociación para la Auditoría y Control de Sistemas de Información,(ISACA, en inglés: Information Systems Audit and Control Association), y el Instituto de Administración de las Tecnologías de la Información (ITGI, en inglés: IT Governance Institute) en 1992.
COBIT consolida y armoniza estándares de fuentes globales prominentes en un recurso crítico para la gerencia, los profesionales de control y los auditores.
COBIT se aplica a los sistemas de información de toda la empresa, incluyendo las computadoras personales, mini computadoras y ambientes distribuidos. Está basado en la filosofía de que los recursos de TI necesitan ser administrados por un conjunto de procesos naturalmente agrupados para proveer la información pertinente y confiable que requiere una organización para lograr sus objetivos.
1.1 Usuarios:
La Gerencia: para apoyar sus decisiones de inversión en TI y control sobre el rendimiento de las mismas, analizar el costo beneficio del control.
Los Usuarios Finales: quienes obtienen una garantía sobre la seguridad y el control de los productos que adquieren interna y externamente.
Los Auditores: para soportar sus opiniones sobre los controles de los proyectos de TI, su impacto en la organización y determinar el control mínimo requerido.
Los Responsables de TI: para identificar los controles que requieren en sus áreas.
1.2 Características
Orientado al negocio Alineado con estándares y regulaciones "de facto" Basado en una revisión crítica y analítica de las tareas y actividades en TI Alineado con estándares de control y auditoria (COSO, IFAC, IIA, ISACA, AICPA)
4
U n i v e r s i d a d M a r i a n o G á l v e z d e G u a t e m a l aC o n t a d u r í a P ú b l i c a y A u d i t o r i a
A u d i t o r i a d e S i s t e m a s
2. PRINCIPIOS DE COBIT
2.1 Requerimientos de la información del negocio
2.2 Requerimientos de Calidad:
Calidad Costo Entrega.
2.3 Requerimientos fiduciarios
Efectividad: La información debe ser relevante y pertinente para los procesos del negocio y debe ser proporcionada en forma oportuna, correcta, consistente y utilizable.
Eficiencia: Se debe proveer información mediante el empleo óptimo de los recursos (la forma más productiva y económica).
COBIT
Requisitos del negocio
Recursos de TI
Procesos TI
Información a la empresa
Dirigir las inversiones
Para que sean
Para poder brindar
Que cumple con
5
U n i v e r s i d a d M a r i a n o G á l v e z d e G u a t e m a l aC o n t a d u r í a P ú b l i c a y A u d i t o r i a
A u d i t o r i a d e S i s t e m a s
Confiabilidad: proveer la información apropiada para que la administración tome las decisiones adecuadas para manejar la empresa y cumplir con sus responsabilidades.
Cumplimiento: de las leyes, regulaciones y compromisos contractuales con los cuales está comprometida la empresa.
2.4 Requerimientos de Seguridad
Confidencialidad: Protección de la información sensible contra divulgación no autorizada Integridad: Refiere a lo exacto y completo de la información así como a su validez de
acuerdo con las expectativas de la empresa. Disponibilidad: accesibilidad a la información cuando sea requerida por los procesos del
negocio y la salvaguarda de los recursos y capacidades asociadas a la misma. Recursos de TI
3. COMPONENTES DE COBIT
Tiene 34 objetivos nivel altos que cubren 220 objetivos de control clasificados en cuatro dominios: El plan y Organiza, Adquiere y Pone en práctica, Entrega y Apoya, y Supervisa y Evalúa.
4DOMINIOS
34PROCESOS
220OBJETIVOS DE
CONTROL
6
U n i v e r s i d a d M a r i a n o G á l v e z d e G u a t e m a l aC o n t a d u r í a P ú b l i c a y A u d i t o r i a
A u d i t o r i a d e S i s t e m a s
4. DOMINIOS DE COBIT
Planea y Organiza
Adquirir y poner en práctica
Soporte y Entrega
Monitoreo y Evaluación
7
U n i v e r s i d a d M a r i a n o G á l v e z d e G u a t e m a l aC o n t a d u r í a P ú b l i c a y A u d i t o r i a
A u d i t o r i a d e S i s t e m a s
4.1 Planea y Organiza (PO)
Este dominio cubre la estrategia y las tácticas y se refiere a la identificación de la forma en que la tecnología de información puede contribuir de la mejor manera al logro de los objetivos de negocio. Además, la consecución de la visión estratégica necesita ser planeada, comunicada y administrada desde diferentes perspectivas. Finalmente, deberán establecerse una organización y una infraestructura tecnológica apropiadas.
4.1.1 Objetivos: Formular estrategias y tácticas Identificar como IT contribuye al negocio Planear, comunicar y gestionar la realización de la visión estratégica
4.1.2 Alcance: Esta IT alineado estratégicamente Se hace uso óptimo de los recursos Entienden todos los objetivos de los recursos Se comprenden los riesgos de IT Es la calidad de IT apropiada a las necesidades de los negocios
4.1.3 Procesos:
PO1 Definición de un plan Estratégico
Objetivo: Lograr un balance óptimo entre las oportunidades de tecnología de información y los requerimientos de TI de negocio, para asegurar sus logros futuros.
PO2 Definición de la Arquitectura de Información
Objetivo: Satisfacer los requerimientos de negocio, organizando de la mejor manera posible los sistemas de información, a través de la creación y mantenimiento de un modelo de información de negocio, asegurándose que se definan los sistemas apropiados para optimizar la utilización de esta información.
PO3 Determinación de la dirección tecnológica
Objetivo: Aprovechar al máximo de la tecnología disponible o tecnología emergente, satisfaciendo los requerimientos de negocio, a través de la creación y mantenimiento de un plan de infraestructura tecnológica.
PO4 Definición de la organización y de las relaciones de TI
8
U n i v e r s i d a d M a r i a n o G á l v e z d e G u a t e m a l aC o n t a d u r í a P ú b l i c a y A u d i t o r i a
A u d i t o r i a d e S i s t e m a s
Objetivo: Prestación de servicios de TIEsto se realiza por medio de una organización conveniente en número y habilidades, con tareas y responsabilidades definidas y comunicadas.
PO5 Manejo de la inversión
Objetivo: tiene como finalidad la satisfacción de los requerimientos de negocio, asegurando el financiamiento y el control de desembolsos de recursos financieros.
PO6 Comunicación de la dirección y aspiraciones de la gerencia
Objetivo: Asegura el conocimiento y comprensión de los usuarios sobre las aspiraciones del alto nivel (gerencia), se concreta a través de políticas establecidas y transmitidas a la comunidad de usuarios, necesitándose para esto estándares para traducir las opciones estratégicas en reglas de usuario prácticas y utilizables.
PO7 Administración de recursos humanos
Objetivo: Maximizar las contribuciones del personal a los procesos de TI, satisfaciendo así los requerimientos de negocio, a través de técnicas sólidas para administración de personal.
PO8 Asegurar el cumplimiento con los requerimientos Externos
Objetivo: Cumplir con obligaciones legales, regulatorias y contractuales.
PO9 Evaluación de riesgos
Objetivo: Asegurar el logro de los objetivos de TI y responder a las amenazas hacia la provisión de servicios de TI.
PO10 Administración de proyectos
Objetivo: Establecer prioridades y entregar servicios oportunamente y de acuerdo al presupuesto de inversión.
PO11 Administración de calidad
Objetivo: Satisfacer los requerimientos del cliente
9
U n i v e r s i d a d M a r i a n o G á l v e z d e G u a t e m a l aC o n t a d u r í a P ú b l i c a y A u d i t o r i a
A u d i t o r i a d e S i s t e m a s
4.2 Adquirir e Implementar (AI)
Para llevar a cabo la estrategia de TI, las soluciones de Ti deben ser identificadas, desarrolladas o adquiridas, asi como implementadas e integradas dentro del proceso del negocio. Además, este dominio cubre los cambios y el mantenimiento realizados a sistemas existentes.
4.2.1 Objetivos Identificar, desarrollar, adquirir, implementar e integrar soluciones de IT Cambios y mantenimiento de sistemas existentes.
4.2.2 Alcance Son los nuevos productos capaces de entregar soluciones adecuadas al negocio. Se realizan los proyectos a tiempo. Trabajarán los sistemas apropiadamente cuando sean implementados. Los cambios afectarán las operaciones diarias.
4.2.3 Procesos
AI1 Identificación de Soluciones Automatizadas
Objetivo: Asegurar el mejor enfoque para cumplir con los requerimientos del usuario
AI2 Adquisición y mantenimiento del software aplicativo
Objetivo: Proporciona funciones automatizadas que soporten efectivamente al negocio.
AI3 Adquisición y mantenimiento de la infraestructura tecnológica
Objetivo: Proporcionar las plataformas apropiadas para soportar aplicaciones de negocios
AI4 Desarrollo y mantenimiento de procedimientos
Objetivo: Asegurar el uso apropiado de las aplicaciones y de las soluciones tecnológicas establecidas.
AI5 Instalación y aceptación de los sistemas
Objetivo: Verificar y confirmar que la solución sea adecuada para el propósito deseado.
10
U n i v e r s i d a d M a r i a n o G á l v e z d e G u a t e m a l aC o n t a d u r í a P ú b l i c a y A u d i t o r i a
A u d i t o r i a d e S i s t e m a s
AI6 Administración de los cambios
Objetivo: Minimizar la probabilidad de interrupciones, alteraciones no autorizadas y errores.
4.3 Soporte y Entrega (DS)
En este dominio se hace referencia a la entrega de los servicios requeridos, que abarca desde las operaciones tradicionales hasta el entrenamiento, pasando por seguridad y aspectos de continuidad. Con el fin de proveer servicios, deberán establecerse los procesos de soporte necesarios. Este dominio incluye el procesamiento de los datos por sistemas de aplicación, frecuentemente clasificados como controles de aplicación.
4.3.1 Objetivos
La real entrega de los servicios requeridos. La gestión de la seguridad, continuidad, datos y facilidades operacionales.
4.3.2 Alcance
Son los servicios de IT entregados de acuerdo a las prioridades del negocio. Se optimizan los costos de IT Se utiliza IT de manera productiva y segura. Se mantiene la confidencialidad, integridad y disponibilidad.
4.3.3 Procesos
Ds1 Definición de niveles de servicio
Objetivo: Establecer una comprensión común del nivel de servicio requerido.
Ds2 Administración de servicios prestados por terceros
Objetivo: Asegurar que las tareas y responsabilidades de las terceras partes estén claramente definidas, que cumplan y continúen satisfaciendo los requerimientos
Ds3 Administración de desempeño y capacidad
Objetivo: Asegurar que la capacidad adecuada está disponible y que se esté haciendo el mejor uso de ella para alcanzar el desempeño deseado.
11
U n i v e r s i d a d M a r i a n o G á l v e z d e G u a t e m a l aC o n t a d u r í a P ú b l i c a y A u d i t o r i a
A u d i t o r i a d e S i s t e m a s
Ds4 Asegurar el Servicio Continuo
Objetivo: mantener el servicio disponible de acuerdo con los requerimientos y continuar su provisión en caso de interrupciones. Para ello se tiene un plan de continuidad probado y funcional, que esté alineado con el plan de continuidad del negocio y relacionado con los requerimientos de negocio.
Ds5 Garantizar la seguridad de sistemas
Objetivo: salvaguardar la información contra uso no autorizados, divulgación, modificación, daño o pérdida.
Ds6 Educación y entrenamiento de usuarios
Objetivo: Asegurar que los usuarios estén haciendo un uso efectivo de la tecnología y estén conscientes de los riesgos y responsabilidades involucrados. Para ello se realiza un plan completo de entrenamiento y desarrollo.
Ds7 Identificación y asignación de costos
Objetivo: Asegurar un conocimiento correcto de los costos atribuibles a los servicios de TI
Para ello se realiza un sistema de contabilidad de costos que asegure que éstos sean registrados, calculados y asignados a los niveles de detalle requeridos
Ds8 Apoyo y asistencia a los clientes de TI
Objetivo: asegurar que cualquier problema experimentado por los usuarios sea atendido apropiadamente
Para ello se realiza un Buró de ayuda que proporcione soporte y asesoría de primera línea.
Ds9 Administración de la configuración
Objetivo: Dar cuenta de todos los componentes de TI, prevenir alteraciones no autorizadas, verificar la existencia física y proporcionar una base para el sano manejo de cambios
Ds10 Administración de Problemas
Objetivo: Asegurar que los problemas e incidentes sean resueltos y que sus causas sean investigadas para prevenir que vuelvan a suceder.
12
U n i v e r s i d a d M a r i a n o G á l v e z d e G u a t e m a l aC o n t a d u r í a P ú b l i c a y A u d i t o r i a
A u d i t o r i a d e S i s t e m a s
Ds11 Administración de Datos
Objetivo: Asegurar que los datos permanezcan completos, precisos y válidos durante su entrada, actualización, salida y almacenamiento.
Lo cual se logra a través de una combinación efectiva de controles generales y de aplicación sobre las operaciones de TI. Para tal fin, la gerencia deberá diseñar formatos de entrada de datos para los usuarios de manera que se minimicen lo errores y las omisiones durante la creación de los datos.
Ds12 Administración de las instalaciones
Objetivo: Proporcionar un ambiente físico conveniente que proteja al equipo y al personal de TI contra peligros naturales (fuego, polvo, calor excesivos) o fallas humanas lo cual se hace posible con la instalación de controles físicos y ambientales adecuados que sean revisados regularmente para su funcionamiento apropiado definiendo procedimientos que provean control de acceso del personal a las instalaciones y contemplen su seguridad física.
Ds13 Administración de la operación
Objetivo: Asegurar que las funciones importantes de soporte de TI estén siendo llevadas a cabo regularmente y de una manera ordenada
Esto se logra a través de una calendarización de actividades de soporte que sea registrada y completada en cuanto al logro de todas las actividades. Para ello, la gerencia deberá establecer y documentar procedimientos para las operaciones de tecnología de información (incluyendo operaciones de red), los cuales deberán ser revisados periódicamente para garantizar su eficiencia y cumplimiento.
4.4 Monitoreo y Evaluación
Todos los procesos de una organización necesitan ser evaluados regularmente a través del tiempo para verificar su calidad y suficiencia en cuanto a los requerimientos de control, integridad y confidencialidad. Este es, precisamente, el ámbito de este dominio.
4.4.1 Objetivos :
Gestión del desempeño Monitoreo y control interno Cumplimiento de regulaciones Gobierno
13
U n i v e r s i d a d M a r i a n o G á l v e z d e G u a t e m a l aC o n t a d u r í a P ú b l i c a y A u d i t o r i a
A u d i t o r i a d e S i s t e m a s
4.4.2 Alcance
Es el desempeño de IT medido con el fin de detectar problemas antes de que sea tarde Asegura la gestión que los controles internos son efectivos y eficientes. Puede el desempeño de IT relacionarse con los objetivos del negocio. Son los riesgos, controles el cumplimiento y el desempeño medidos y reportados.
4.4.3 Procesos
M1 Monitoreo del Proceso
Objetivo: Asegurar el logro de los objetivos establecidos para los procesos de TI. Lo cual se logra definiendo por parte de la gerencia reportes e indicadores de desempeño gerenciales y la implementación de sistemas de soporte así como la atención regular a los reportes emitidos.
M2 Evaluar lo adecuado del Control Interno
Objetivo: Asegurar el logro de los objetivos de control interno establecidos para los procesos de TI.
Para ello la gerencia es la encargada de monitorear la efectividad de los controles internos a través de actividades administrativas y de supervisión, comparaciones, reconciliaciones y otras acciones rutinarias., evaluar su efectividad y emitir reportes sobre ellos en forma regular. Estas actividades de monitoreo continuo por parte de la Gerencia deberán revisar la existencia de puntos vulnerables y problemas de seguridad.
M3 Obtención de Aseguramiento Independiente
Objetivo: Incrementar los niveles de confianza entre la organización, clientes y proveedores externos. Este proceso se lleva a cabo a intervalos regulares de tiempo.
Para ello la gerencia deberá obtener una certificación o acreditación independiente de seguridad y control interno antes de implementar nuevos servicios de tecnología de información que resulten críticos, como así también para trabajar con nuevos proveedores de servicios de tecnología de información. Luego la gerencia deberá adoptar como trabajo rutinario tanto hacer evaluaciones periódicas sobre la efectividad de los servicios de tecnología de información y de los proveedores de estos servicios como así también asegurarse el cumplimiento de los compromisos contractuales de los servicios de tecnología de información y de los proveedores de estos servicios.
M4 Proveer Auditoria Independiente
14
U n i v e r s i d a d M a r i a n o G á l v e z d e G u a t e m a l aC o n t a d u r í a P ú b l i c a y A u d i t o r i a
A u d i t o r i a d e S i s t e m a s
Objetivo: Incrementar los niveles de confianza y beneficiarse de recomendaciones basadas en mejores prácticas de su implementación, lo que se logra con el uso de auditorias independientes desarrolladas a intervalos regulares de tiempo. Para ello la gerencia deberá establecer los estatutos para la función de auditoria, destacando en este documento la responsabilidad, autoridad y obligaciones de la auditoria. El auditor deberá ser independiente del auditado, esto significa que los auditores no deberán estar relacionados con la sección o departamento que esté siendo auditado y en lo posible deberá ser independiente de la propia empresa. Esta auditoria deberá respetar la ética y los estándares profesionales, seleccionando para ello auditores que sean técnicamente competentes, es decir que cuenten con habilidades y conocimientos que aseguren tareas efectivas y eficientes de auditoria.
5. DIRECTRICES GERENCIALES
15
U n i v e r s i d a d M a r i a n o G á l v e z d e G u a t e m a l aC o n t a d u r í a P ú b l i c a y A u d i t o r i a
A u d i t o r i a d e S i s t e m a s
5.1 Focalizarse en el negocio
COBIT ayuda a alinear IT con el negocio Al medir el desempeño de IT se soporta mejor la estrategia del negocio Al soportar COBIT unas métricas enfocadas al negocio se asegura así una mejor entrega de
valor y no el logro de la excelencia tecnológica.
5.2 Orientación a los procesos
Cuando una organización implementa COBIT se orienta hacia procesos Incidentes y problemas no interfieren el transcurrir de los procesos Las excepciones pueden ser claramente definidas como parte de los procesos Cuando los procesos tienes sus propios dueños se mejora la confiabilidad de la organización
ante cambios o crisis organizacionales
5.3 El riesgo del negocio, controles y la tecnología
Empieza en los requerimientos del negocio Es orientado a los procesos Identifica recursos críticos de IT Define los objetivos de control de la gestión para ser considerados Reúne estándares internacionales Es el estándar de facto para el control sobre IT
6. PROCESO DE IMPLANTACIÓN DE COBIT EN LAS EMPRESAS
16
U n i v e r s i d a d M a r i a n o G á l v e z d e G u a t e m a l aC o n t a d u r í a P ú b l i c a y A u d i t o r i a
A u d i t o r i a d e S i s t e m a s
17
U n i v e r s i d a d M a r i a n o G á l v e z d e G u a t e m a l aC o n t a d u r í a P ú b l i c a y A u d i t o r i a
A u d i t o r i a d e S i s t e m a s
CONCLUSIÓN
La administración de una empresa requiere de prácticas generalmente aplicables y aceptadas de control y gobierno en TI para medir en forma comparativa tanto su ambiente de TI existente, como su ambiente planeado.
COBIT es una herramienta que permite a los gerentes comunicarse y salvar la brecha existente entre los requerimientos de control, aspectos técnicos y riesgos de negocio. COBIT habilita el desarrollo de una política clara y de buenas prácticas de control de TI a través de organizaciones, a nivel mundial.
El objetivo de COBIT es proporcionar estos objetivos de control, dentro del marco referencial definido, y obtener la aprobación y el apoyo de las entidades comerciales, gubernamentales y profesionales en todo el mundo. Por lo tanto, COBIT está orientado a ser la herramienta de gobierno de TI que ayude al entendimiento y a la administración de riesgos asociados con tecnología de información y con tecnologías relacionadas.
18
U n i v e r s i d a d M a r i a n o G á l v e z d e G u a t e m a l aC o n t a d u r í a P ú b l i c a y A u d i t o r i a
A u d i t o r i a d e S i s t e m a s
BIBLIOGRAFIA
1. Buscador Wordhttp://word.bienesyautos.com/word-cobit/Consulta hecha (13/08/2010)
2. Wikipediahttp://es.wikipedia.org/wiki/Objetivos_de_control_para_la_información_y_tecnologías_relacionadasConsulta hecha (13/10/2010)
3. Monografiashttp://www.monografias.com/trabajos38/cobit/cobit.shtmlhttp://www.monografias.com/trabajos14/auditoriasistemas/auditoriasistemas.shtmConsulta hecha (13/10/2010)
4. COBIT: Objetivos de Control2d.a Edición Abril de 1998Emitido por Comité Directivo de COBIT