Escolar Documentos
Profissional Documentos
Cultura Documentos
TRABAJO DE INVESTIGACIÒN
PRESENTADO POR:
CORRESPONDIENTE AL CURSO DE
CARRERA PROFESIONAL DE
LICENCIATURA EN CONTADURIA PÚBLICA Y AUDITORÍA
1
INDICE
INTRODUCCIÓN .............................................................................................................................. 1
1.SISTEMA DE INFORMACIÓN COBIT ...................................................................................... 4
1.1 Estándar de Control de Sistemas COBIT ...................................................................... 4
1.1.1 Antecedentes................................................................................................................. 4
1.1.2 Generalidades ............................................................................................................... 4
1.2 La necesidad del control de la tecnología de información ...................................... 4
1.3 DESTINATARIOS ................................................................................................................. 6
1.4 Dominios y Procedimientos de Control COBIT ........................................................... 6
1.4.1 Planeación y Organización ........................................................................................ 7
1.4.1.1 Definir un plan estratégico de TI ....................................................................... 7
1.4.1.2 Definir la arquitectura de la información ........................................................ 7
1.4.1.3 Determinar la dirección tecnológica ................................................................ 7
1.4.1.4 Definir los procesos, la organización y las relaciones de TI ..................... 8
1.4.1.5 Administrar la inversión en TI ........................................................................... 8
1.4.1.6 Comunicar las aspiraciones y la dirección de la gerencia ........................ 8
1.4.1.7 Administrar los recursos humanos de TI ....................................................... 8
1.4.1.8 Administrar la calidad .......................................................................................... 9
1.4.1.9 Evaluar y administrar los riesgos de TI .......................................................... 9
1.4.1.10 Administrar proyectos ....................................................................................... 9
1.4.2 Adquisición e Implementación ................................................................................. 9
1.4.2.1 Identificar soluciones automatizadas ............................................................ 10
1.4.2.2 Adquirir y mantener software aplicativo ....................................................... 10
1.4.2.3 Adquirir y mantener infraestructura tecnológica. ...................................... 10
1.4.2.4 Facilitar la operación y el uso .......................................................................... 10
1.4.2.5 Adquirir recursos de TI...................................................................................... 11
1.4.2.6 Administrar cambios .......................................................................................... 11
1.4.2.7 Instalar y acreditar soluciones y cambios ................................................... 11
1.4.3 Entrega y Soporte ...................................................................................................... 11
1.4.3.1 Definir y administrar los niveles de servicio ............................................... 11
1.4.3.2 Administrar los servicios de terceros ........................................................... 12
1.4.3.3 Administrar el desempeño y la capacidad ................................................... 12
1.4.3.4 Garantizar la continuidad de los servicios................................................... 12
2
1.4.3.5 Garantizar la seguridad de los sistemas ...................................................... 12
1.4.3.6 Identificar y asignar costos .............................................................................. 13
1.4.3.7 Educar y entrenar a los usuarios.................................................................... 13
1.4.3.8 Administrar la mesa de servicio y los incidentes ...................................... 13
1.4.3.10 Administración de problemas ....................................................................... 13
1.4.4 Monitoreo...................................................................................................................... 14
1.4.4.1 Monitorear y evaluar el desempeño de TI .................................................... 14
1.4.4.2 Monitorear y evaluar el control interno ......................................................... 14
1.4.4.3 Garantizar el cumplimiento regulatorio ........................................................ 14
1.4.4.4 Proporcionar gobierno de TI ............................................................................ 15
CONCLUSIÓN ................................................................................................................................ 16
Hoy en día, COBIT se ha convertido en el integrador de las mejores y más avanzadas
prácticas de TI y el marco de referencia general para el gobierno de TI que ayuda a
comprender y administrar los riesgos y beneficios asociados con la TI. ............................... 16
BIOBLIOGRAFIA ........................................................................................................................... 17
3
1.SISTEMA DE INFORMACIÓN COBIT
1.1 Estándar de Control de Sistemas COBIT
1.1.1 Antecedentes
COBIT se fundamenta en los Objetivos de Control existentes de la Information
Systems Audit and Control Foundation (ISACF), mejorados a partir de estándares
internacionales técnicos, profesionales, regulatorios y específicos para la industria,
tanto existentes como en surgimiento.
Se determinó que las mejoras a los objetivos de control originales deberían consistir
en:
-El desarrollo de un marco referencial para control en TI como fundamento para los
objetivos de control en TI y como una guía para la investigación consistente en
auditoría y control de TI;
-Una alineación del marco referencial general y de los objetivos de control
individuales, con estándares y regulaciones internacionales existentes de hecho y
de derecho.
1.1.2 Generalidades
COBIT es una herramienta para la administración y operación a un nivel superior a
los estándares de tecnología para la administración de sistemas de información.
El objetivo principal de COBIT es el desarrollo de políticas claras y buenas prácticas
para la seguridad y el control de Tecnología de Información, con el fin de obtener la
aprobación y el apoyo de las entidades comerciales, gubernamentales y
profesionales en todo el mundo
COBIT es la herramienta más avanzada para la gobernabilidad, control y auditoría
de información que ayude a comprender y a administrar los riesgos asociados con
la información y tecnologías relacionadas.
1.2 La necesidad del control de la tecnología de información
En los últimos años, la necesidad de un marco de referencia para la seguridad y el
control de la tecnología de información (TI) se presenta con una evidencia cada vez
mayor ante los reguladores, legisladores, usuarios y prestadores de servicios.
Par el éxito y la supervivencia de una organización la administración eficiente de la
Tecnología de Información (TI) es sumamente crítica. En esta sociedad de
información globalizada, en la cual la información viaja a través del ciberespacio sin
limitaciones de tiempo, distancia ni velocidad, este problema surge de:
El aumento de la dependencia de la información y de los sistemas que o proveen.
El aumento de la vulnerabilidad y del amplio espectro de amenazas, tales como las
ciber amenazas y la guerra de la información.
La escala y costos de las inversiones actuales y futuras en información y en
sistemas de información.
4
El potencial que poseen las tecnologías para cambiar drásticamente las
organizaciones y las practicas de negocio, crear nuevas oportunidades y reducir
costos.
Para muchas organizaciones, la información y la tecnología que le da soporte
representan el bien más valioso. En realidad, la información y los sistemas de
información han penetrado en las organizaciones, desde las plataformas de
usuarios a las redes de área local y amplía hasta los servidores de clientes y los
sistemas mainframe. Muchas organizaciones reconocen los beneficios potenciales
que puede producir la tecnología. Sin embargo, las organizaciones exitosas
comprenden y manejan los riesgos asociados con la implementación de nuevas
tecnologías. Por lo tanto, es necesario que la gerencia evalúe y comprenda
básicamente los riesgos y las limitaciones de TI para proveer una
dirección eficaz y los controles adecuados
5
1.3 DESTINATARIOS
COBIT está concebido para tres tipos diferentes de destinatarios:
Gerentes:
para ayudarlos a equilibrar el riesgo y la inversión en controles en un ambiente de
TI a menudo imprevisible.
Usuarios:
para obtener la garantía de la seguridad y los controles de los servicios de TI
provistos por personal de la organización o por terceros.
6
1.4.1 Planeación y Organización
Este dominio cubre la estrategia y las tácticas y se refiere a la identificación de la
forma en que la tecnología de información puede contribuir de la mejor manera al
logro de los objetivos del negocio. Además, la consecución de la visión estratégica
necesita ser planeada, comunicada y administrada desde diferentes perspectivas.
Finalmente, deberán establecerse una organización y una infraestructura
tecnológica apropiadas.
8
posicionada de forma apropiada, que tenga las habilidades necesarias para
alcanzar las metas organizacionales
1.4.1.8 Administrar la calidad
a) Sistema de administración de calidad
Establecer y mantener un QMS que proporcione un enfoque estándar, formal y
continuo, con respecto a la administración de la calidad, que esté alineado con los
requerimientos del negocio. El OMS identifica los requerimientos y los criterios de
calidad, los procesos claves de TI, y su secuencia e interacción, así como las
políticas, criterios y métodos para definir, detectar, corregir y prever las no
conformidades. El OMS debe definir la estructura organizacional para la
administración de la calidad, cubriendo los roles, las tareas y las responsabilidades.
Todas las áreas clave desarrollan sus planes de calidad de acuerdo a los criterios y
políticas, y registran los datos de calidad. Monitorear y medir la efectividad y
aceptación del OMS y mejorarla cuando sea necesario.
1.4.1.9 Evaluar y administrar los riesgos de TI
a) Alineación de la administración de riesgos de TI y del negocio
Integrar el gobierno, la administración de riesgos y el marco de control de TI, al
marco de trabajo de administración de riesgos de la organización. Esto incluye la
alineación con el apetito de riesgo y con el nivel de tolerancia al riesgo de la
organización.
1.4.1.10 Administrar proyectos
a) Marco de trabajo para la administración de programas
Mantener el programa de los proyectos, relacionados con el portafolio de programas
de inversión en TI, por medio de la identificación, definición, otorgamiento de
prioridades, selección, inicio, administración y control de los proyectos. Asegurarse
de que los proyectos apoyen los objetivos del programa. Coordinar las actividades
e interdependencias de múltiples proyectos, administrar la contribución de todos los
proyectos dentro del programa hasta obtener los resultados esperados, y resolver
los requerimientos y conflictos de recursos.
1.4.2 Adquisición e Implementación
Para llevar a cabo la estrategia de TI, las soluciones de TI deben ser identificadas,
desarrolladas o adquiridas, así como
implementadas e integradas dentro del
proceso del negocio. Además, este dominio
cubre los cambios y el mantenimiento
realizados a sistemas existentes
9
1.4.2.1 Identificar soluciones automatizadas
a) Definición y mantenimiento de los requerimientos técnicos y funcionales del
negocio
Identificar, dar prioridades, especificar y acordar los requerimientos de negocio
funcionales y técnicos que cubran el alcance completo de todas las iniciativas
requeridas para lograr los resultados esperados de los programas de inversión en
TI. Definir los criterios de aceptación de los requerimientos.
Estas iniciativas deben incluir todos los cambios requeridos dada la naturaleza del
‘negocio, de los procesos, de las aptitudes y habilidades del personal, su estructura
organizacional y la tecnología de apoyo.
Los requerimientos toman en cuenta las necesidades funcionales, la dirección
tecnológica, el desempeño, el costo, la confiabilidad, la compatibilidad, la auditoría,
la seguridad, la disponibilidad y continuidad, la ergonomía, la funcionalidad, la
seguridad y la legislación de la empresa. Establecer procesos para garantizar y
administrar la integridad, exactitud y la validez de los requerimientos del negocio,
como base para el control de la adquisición y el desarrollo continuo de sistemas.
Estos requerimientos deben ser propiedad del patrocinador del negocio.
1.4.2.2 Adquirir y mantener software aplicativo
a) Diseño de alto nivel
Traducir los requerimientos del negocio a una especificación de diseño de alto nivel
para desarrollo de software, tomando en cuenta las directivas tecnológicas y la
arquitectura de información dentro de la organización, y aprobar las
especificaciones de diseño para garantizar que el diseño de alto nivel responde a
los requerimientos.
12
1.4.3.6 Identificar y asignar costos
a) Definición de servicios
Identificar todos los costos de TI y equipararlos a los servicios de TI para soportar
un modelo de costos transparente. Los servicios de TI deben vincularse a los
procesos del negocio de forma que el negocio pueda identificar los niveles de
facturación de los servicios asociados
1.4.3.7 Educar y entrenar a los usuarios
a) Identificación de necesidades de entrenamiento y educación
Establecer y actualizar de forma regular un programa de entrenamiento para cada
grupo objetivo de empleados, que incluya:
• Estrategias y requerimientos actuales y futuros del negocio.
• Valores corporativos (valores éticos, cultura de control y seguridad, etc.)
• Implementación de nuevo software e infraestructura de TI (paquetes y
aplicaciones) Habilidades, perfiles de competencias y certificaciones actuales y/o
credenciales necesarias.
• Métodos de impartición (por ejemplo, aula, web), tamaño del grupo objetivo,
accesibilidad y tiempo.
1.4.3.8 Administrar la mesa de servicio y los incidentes
a) Mesa de Servicios
Establecer la función de mesa de servicio, la cual es la conexión del usuario con TI,
para registrar, comunicar, atender y analizar todas las llamadas, incidentes
reportados, requerimientos de servicio y solicitudes de información. Deben existir
procedimientos de monitoreo y escalamiento basados en los niveles de servicio
acordados en los SLAs, que permitan clasificar y priorizar cualquier problema
reportado como incidente, solicitud de servicio o solicitud de información. Medir la
satisfacción del usuario final respecto a la calidad de la mesa de servicios y de los
servicios de TI
1.4.3.9 Administrar la configuración
a) Repositorio de configuración y línea base
Establecer un repositorio central que contenga toda la información referente a los
elementos de configuración. Este repositorio incluye hardware, software aplicativo,
middleware, parámetros, documentación, procedimientos y herramientas para
operar, acceder y utilizar los sistemas y los servicios. La información importante a
considerar es el nombre, números de versión y detalles de licenciamiento. Una línea
base de elementos de configuración debe mantenerse para cada sistema y servicio,
como un punto de control al cual regresar después de realizar cambios.
13
Implementar procesos para reportar y clasificar problemas que han sido
identificados como parte de la administración de incidentes. Los pasos involucrados
en la clasificación de problemas son similares a los pasos para clasificar incidentes;
son determinar la categoría, impacto, urgencia y prioridad. Los problemas deben
categorizarse de manera apropiada en grupos o dominios relacionados (por
ejemplo, hardware, software, software de soporte). Estos grupos pueden coincidir
con las responsabilidades organizacionales o con la base de usuarios y clientes, y
son la base para asignar los problemas al personal de soporte.
1.4.4 Monitoreo
Todos los procesos necesitan ser evaluados regularmente a través del tiempo para
verificar su calidad y suficiencia en cuanto a los requerimientos de control.
15
CONCLUSIÓN
16
BIOBLIOGRAFIA
http://www.eafit.edu.co/escuelas/administracion/consultorio-
contable/Documents/boletines/auditoria-control/b13.pdf
https://auditorsystemgrp1.weebly.com/cobit.html
http://auditordesistemas.blogspot.com/2012/02/programa-de-auditoria-cobit.html
Auditoria de Sistemas, Estandar Cobit 4.1
17