Paper Cobit

Auditoría de T.I.

Eduardo Leyton COBIT

Marco Referencial de Auditoría para la Gobernabilidad de T.I.

Eduardo Leyton Guerrero Auditor de Tecnologías de la Información

www.eduardoleyton.com

Saltar a la primera página

Control objetives for information and related Technology (Objetivos de Control para la Información y la Tecnología Relacionada)

Saltar a la primera página

www.eduardoleyton.com 1

Auditoría de T.I.

Eduardo Leyton Tópicos:

Que es COBIT

Justificación como Marco Referencial de Auditoría.

Definiciones Previas

Requisitos de Calidad, Fiduciarios y Otros

Modelo COBIT (Dominios y Ejes Centrales)

Análisis del Modelo por Dominios y comparaciones con el Marco Tradicional y Normas ISO.

Características de los Ejes Centrales Plantilla de

Procesos, tareas, procedimientos

Evolución. www.eduardoleyton.com

Organización COBIT:

Misión Investigar, desarrollar, publicar y promover un conjunto de objetivos de control en tecnologías de la información con autoridad, actualizados, de carácter internacionaly aceptados generalmente para el uso cotidiano de gerentes de empresas y auditores.

Porque nace CoBIT ? Un elemento crítico para el éxito y la supervivencia de las organizaciones es la administración efectiva de la información y la Tecnología de la información (TI) relacionada. Ello a implicado una creciente dependencia en información y en los sistemas que proporcionan o soportan dicha información; una creciente vulnerabilidad y un amplio espectro de amenazas; altos costos de inversiones en TI; y el considerable impacto que estas TI producen en las organizaciones creando además nuevas prácticas de negocios (WcS-ERP-BRP). Es por eso que para muchas organizaciones, la información y la tecnología que la soporta, representan los activos más valiosos de la empresa



Auditoría de T.I.

Eduardo Leyton Modelo COBIT:

Que es CoBIT ? Es un modelo de referencia que permite a la Audiencia (administradores, usuarios, auditores) reducir los espacios existentes entre los riesgos (rba) de negocio, las necesidades de control y los aspectos tecnológicos inherentes con el fin de lograr una adecuada gobernabilidad de los recursos de tecnologías de la información (COSO&CoBIT).

En efecto CoBIT apoya la gobernabilidad de los recursos de T.I., mediante la comprensión y la administración de los riesgos asociados a las Tecnología de la Información a través de un Marco Referencial de dominios, procesos y tareas estructuradas en forma simple y lógica.


Fundamentos COBIT:

Fundamentos del CoBIT CoBIT ha sido desarrollado como un estándar generalmente aplicable y aceptado para las buenas prácticas de seguridad y control en Tecnologías de la Información. Se fundamenta en los "Objetivos de Control existentes de la Information Systems Audit and Control Foundation (ISACF)", mejorados a partir de estándares internacionales técnicos, profesionales, regulatorios y específicos para la industria, tanto existentes como en surgimiento.

Las fuentes identificadas son: Estándares técnicos: ISAO, EDIFACT, etc

Códigos de Conducta: Council of Europe, OEDC, ISACA, etc. Criterios de Calificación: ISAO9000SPICE, IickIT, etc.

Estándares Profesionales: para control interno COSO, GAO, IFAC, IIA, ISACA, estándares CPA, etc

Prácticas y requerimientos específicos de la Industria: Banca otros. COSO (Committee of Sponsoring Organisations of the Treadway Commission Internal Control-Integrated Framework): Marco Referencial para la Administración de Controles Internos. (Modelo de Control de Negocios)



Auditoría de T.I.

Eduardo Leyton Definiciones previas de COBIT:

Control: se define como las políticas, procedimientos, prácticas y estructuras organizacionales diseñadas para garantizar razonablemente que los objetivos del negocio serán alcanzados y que los eventos no deseables serán prevenidos o detectados y corregidos.

Objetivo de control de T.I.: Propósitos que se desea alcanzar implementando procedimientos de control en una actividad de T.I. particular.

Requerimientos de Calidad: (calidad-costo- entrega de servicio) Este concepto no se refiere tan sólo a la confiabilidad, no fallas, aspectos subjetivos, o funcionamiento continuo etc; sino más bien se refiere a la prioridad que deberá asignarse al manejo de los riesgos al compararlos con las oportunidades. Es decir bajo un criterio de efectividad.

Requerimientos Fiduciarios (Mandatarios, Obligatorios): Efectividad & Eficiencia de Operaciones, Confiabilidad de la Información, Cumplimiento de las Leyes & Regulaciones. (concepto basado del modelo COSO- información no sólo financiera)

Requerimientos de Seguridad de la Información: Confidencialidad, Integridad, Disponibilidad.


Que es COBIT:

COBIT ha sido desarrollado como standares generalmente aplicacbles y aceptados para mejorar las prácticas de control y seguridad de las Tecnologías de Información (TI) que provean un marco de referencia para la Administración, Usuarios y Auditores. Básicamente consta de4libros, a saber:

1. Resumen Ejecutivo consiste de una Visión Ejecutiva, la cual provee a la Administración un entendimiento de los principios y conceptos claves de COBIT y el marco que provee a la Administración con más detalle y entendimiento de COBIT y define cuatro dominios con sus correspondientes procesos de TI, 34 en total.

2. Marco de Referencia El marco describe en detalle los 34 Objetivos de COntrol de TI a un nivel macro, e identifica los requerimientos del negocio para la información e impactos preliminares de recursos de TI para cada objetivo de control. Los objetivos de control contiene declaraciones de los resultados deseados o propósitos a ser alcanzados para la Implementación de 302 objetivos de control específicos a través de los 34 Procesos de TI.



Auditoría de T.I.

Eduardo Leyton Que es COBIT:

3. Guías de Auditoría Las Guías de Auditoría, las cuales contienen pasos de auditoría sugeridos correspondientes a cada uno de los 34 Objetivos de Control macro para asistir a los auditores de sistemas de información en revisar los procesos de TI junto a los 302 detalles de objetivos de control para proveer seguridad a la administración y/o aconsejar sus mejoras.

4. Herramientas de Implementación Una Herramienta de Implementación, la cual contiene el Conocimiento de la Administración y Diagnóstico de Control de TI, una Guía de Implementación, FAQ, casos de estudio de organizaciones actualmente usando Cobit, y presentaciones que pueden ser usadas para introducir COBIT dentro de la organización. Esta nueva herramienta es diseñada para facilitar la Implementación de COBIT, relacionar sesiones aprendidas desde organizaciones que rápidamente y exitosamente aplicaron COBIT en sus ambientes de trabajo.


Modelo Básico de Negocios-T.I.

Procesos de Negocios: Requerimientos:

DATOS

SISTEMAS-APLICAC I

E N V TECNOLOGÍA F E O N R T M INSTALACIONES O A S Message Service C

Input Output I PERSONAS O * Personas

* Objetos N



Auditoría de T.I.

Eduardo Leyton Modelo COBIT: Procesos y T.I.

Procesos de Negocios

Eje Central Nº1 Requerimientos • Efectividad • Eficiencia CobiT Obj. de Control Información • Confidencialidad • Integridad

• D isponibilidad • Cumplimiento • Confiabilidad

Eje Central Nº2 Recursos TI

•Datos •Aplicaciones Planeamiento & Dominio Nº4 •Tecnología •Instalaciones Organización

•Personas

Monitoreo Dominio Nº1

Adquisición & Distribución & Implementación

Soporte

Dominio Nº3 Dominio Nº2


Modelo COBIT: Dominios-Procesos

PO1 definir un plan estratégico para T.I. PO2 definir la arquitectura de la información PO3 determinar la dirección tecnológica PO4 definir la organización de TI y relaciones

Eje Central Nº2 PO5 gerenciar la inversión en TI

M1 monitorear los procesos(de TI) PO6 comunicar los objetivos gerenciales y direcc.

M2 obtener una opinión independ. PO7 gerenciar los recursos humanos PO8 cumplimiento de requerimientos externos

Recursos TI PO9 evaluar los riesgos PO10 gerenciar los proyectos PO11 gerenciar la calidad

•Datos •Aplicaciones

Dominio Nº4 •Tecnología Planeamiento & •Instalaciones Organización

•Personas

Monitoreo Dominio Nº1

Dominio Nº3

Adquisición & Distribución & Implementación

Soporteº DS1 definir nivel de servicio Dominio Nº2

DS2 gerenciar servicios externos DS3 administ performance y capacidad DS4 asegurar continuidad de servicio

DS5 asegurar la seguridad de sistemas AI1 identificar soluciones automatizadas

DS6 identificar y asignar costos AI2 adquirir y mantener aplicaciones de software

DS7 educar y adiestrar a usuarios AI3 adquirir y mantener la infraestructura tecnolog.

DS8 ayudar y aconsejar clientes de TI AI4 desarrollar y mantener procedimientos

DS9 gerenciar la configuración(de sis.) AI5 instalar y acreditar los sistemas

DS10 manejar problemas e incidentes AI6 gerenciar los cambios

DS11 administrar los datos DS12 administrar las instalaciones DS13 administrar las operaciones



Auditoría de T.I.

Eduardo Leyton Ciclo de la Información COBIT

Procesos de Negocios Cumplimiento

Genera

Requerimientos Información • Efectividad •

Eficiencia • Confidencialidad • Integridad

• Disponibilidad • Cumplimiento Recursos TI Medio • Confiabilidad

•Datos

•Aplicaciones •Tecnología •Instalaciones •Personas


Como Abordar Cobit ?

La estructura del CobiT parte de una premisa simple y pragmática

“Los recursos T.I. necesitan ser administrados o manejados por un conjunto de procesos T.I. naturalmente agrupados para proveer la información que la organización necesita para lograr sus objetivos”



Auditoría de T.I.

Eduardo Leyton Niveles de COBIT:

Hay en esencia tres niveles, en donde debemos poner nuestros esfuerzos cuando consideramos el manejo de los recursos T.I.

Dominios

34 Procesos

Actividades

(PC/PS)


Visión Global de COBIT: Dominios-Procesos-Tareas

GERENTE DE LA EMPRESA

CRITERIOS DE INFORMACION

DOMINIOS

PROCESOS

ACTIVIDADES



Auditoría de T.I.

Eduardo Leyton Proceso Global de

Auditoría

Un proceso T.I. es auditado, para:

Obtener una comprensión de los requerimientos de negocios relativo a los riesgos e identificar las medidas de control

Evaluar lo apropiado de los controles identificados

Asegurar el cumplimiento al chequear si los controles identificados trabajan prescribiendo, consistentemente y continuamente en el tiempo

Substantivar el riesgo de los objetivos de control no logrados (asignar valor al riesgo)


Proceso de Auditoría para cada proceso IT

OBTENER RIESGOS RELACIONADOS CON LOS

EL ENTENDIMIENTO REQUERIMIENTOS DE NEGOCIOS Y LOS CONTROLES QUE LOS CUBREN

CONTROLES

GRADO EN QUE LOS EVALUACION DE OBJETIVOS DE CONTROL

LOS CONTROLES SON ALCANZADOS OBJETIVOS DE OB.DE

CONTROL NO CONTROL CUBIERTOS CUBIERTOS

ASEGURAR QUE LOS CONTROLES CUANTIFICACIÓN ASEGURAR EL ESTABLECIDOS ESTEN

RIESGO CUMPLIMIENTO OPERANDO Y SON CONSISTENTES Y CONTINUOS

RECONOCER EL IMPACTO ASOCIADO AL OB. DE CON- TROL NO CUBIERTO

GUIAS DE AUDITORIA www.eduardoleyton.com


Auditoría de T.I. Eduardo Leyton

Ejes Centrales de COBIT

Requerimientos de Negocios sobre la Información

Efectividad Eficiencia Confiabilidad

Confidencialidad Integridad

Disponibilidad Cumplimiento

Recursos Tecnológicos

Datos

Sistemas y Aplicaciones Tecnología

Instalaciones Personas


Ejes Centrales de COBIT

La información que los procesos de negocio necesitan, es provista al utilizar recursos tecnológicos. En orden a asegurar que los requerimientos de negocios para la información sean cumplidos, adecuadas medidas de

control necesitan ser definidas, implementadas y monitoreadas sobre

esos recursos



Auditoría de T.I.

Eduardo Leyton Ejes Centrales de COBIT

Este enfoque o marco de trabajo cubre todos los aspectos de la información y la tecnología que lo soporta. El cumplir con los 32 objetivos de Alto Nivel, les asegura a los dueños de los procesos de negocio la existencia de un adecuado Sistema de Control para el medio ambiente Tecnológico


GUIAS DE AUDITORIA DEL CobiT

El propósito de las guías de auditoría es proveer una estructura simple para auditar controles basado en prácticas generalmente aceptadas, que se complementan con el esquema CobiT

Las guías, son genéricas y de alto nivel en su estructura. Habilitan al auditor para revisar procesos T.I. específicos, con el objeto de indicar a la administración donde los controles son insuficientes o donde los procesos necesitan ser mejorados



Auditoría de T.I.

Eduardo Leyton

(CONTINUACION ....)

Se proponen guías de Auditoría, para cada uno de los procesos T.I., basados en la estructura de un proceso genérico de auditoría, en sus objetivos y en los requerimientos CobiT

orientación a Objetivos de Negocios

focalización sobre los recursos que necesitan ser manejadas

consideraciones de los requerimientos sobre la información


(CONTINUACIÓN...)

Las guías del CobiT para cada uno de los procesos T.I., se

desarrollan en fases, las cuales son:

Fase de Identificación/Documentación Fase de Evaluación

Fase de Testeo de Cumplimiento Fase de Testeo Substantivo (Valorar Riesgo)



Auditoría de T.I.

Eduardo Leyton EJEMPLO 1 Dominio:1 Proceso

P09

Dominio Planificación

Y Organización

P07 P09 P10 Garantizar

Evaluar Riesgos Administrar Cumplimiento con Proyectos Requisitos Externos

Plan de Evaluar Métodos Identificación Métricas Acción de Riesgos Evaluación

De Riesgos De Riesgos Riesgos Negocios Riesgos


EJEMPLO 2 Dominio: 3 Proceso: DS8

SERVICIO Y

SOPORTE

DS8

Asistencia y Asesoria a Clientes

Análisis y Registro de Monitoreo Escalamiento Reporte de Helpdesk Preguntas de Atenc. a de Problemas Tenden. Clientes



Auditoría de T.I.

Eduardo Leyton EJEMPLO Dominio: 3 Proceso:

DS8

• Obtener el Entendimiento:

Entrevistando •Administrador de la función Helpdesk

•Selección de Usuarios de Servicios de Información Obteniendo

•Políticas y Procedimientos relacionados con los Servicios de Información de soporte al Cliente •Reportes relativos a consultas de usuarios, resolución de consultas y estadísticas de la performance del help desk

• Evaluar los Controles por:

Análisis de •Naturaleza de la función help desk es efectiva

•Nivel de la documentación para las actividades de help desk es adecuado •Existen procesos para registrar incidentes del servicio y es usado correctamente

•etc.


EJEMPLO (Continuación...) • Asegurar el cumplimiento por:

Testeo de •Políticas y Procedimientos relacionados con el Help Desk están siendo aplicados •Atención de consultas se está ejecutando de una manera oportuna •Para una muestra de peticiones de ayuda: confirmación de la exactitud, oprtunidad, y suficiencia de las respuestas

• Sustantivar el Riesgo por:

Realizando •Entrevistas a usuarios seleccionados para conocer el grado de satisfacción sobre actividades del help desk y reportes de actividades •Revisar la competencia y capacidad del personal del help desk •Revisar una selección de escalamiento de preguntas y evaluar sus respuestas

Identificando •Interacción inadecuada para las actividades del help desk respecto a otras funciones dentro de los serv. de información •Procedimientos y actividades insuficientes en relación a recepción de preguntas, registro, escalamiento y resolución

•Procesos de escalación deficientes •Usuarios insatisfechos con el proceso de reporte de problemas y su oportunidad en la resolución



Auditoría de T.I.

Eduardo Leyton Evolución del COBIT

CobiT I

UN MARCO DEFINICION DE:

- OBJETIVOS DE CONTROL - GUIAS DE AUDITORIA

CobiT II

- GUIAS DE AUTOEVALUACION - ACTUALIZAR E INVESTIGAR NUEVAS FUENTES

CobiT III

- GUIAS DE CONTROL - ADICIONES A OBJETIVOS DE CONTROL -IINDICADORES DE

ACTUACION


Conclusiones

CobiT representa un gran avance hacia la estructuración del control de las Tecnologías de la Información

Aumento en la Eficiencia y cobertura de las auditorias

Uso de herramientas y estándares reconocidos como buenas prácticas de Auditoría

Estandarización del trabajo del Auditor



Auditoría de T.I.

Eduardo Leyton Conclusiones-2

Base de controles

Entorno de Seguridad y Control común Estandarización y metodologización en los procesos T.I.

Mejoras en relación Auditoría - Informática

Necesidad de extender su uso más alla de la auditoría


Preguntas



Documents

Paper Cobit