Cobit
-
Upload
api-3693824 -
Category
Documents
-
view
4.142 -
download
5
Transcript of Cobit
![Page 1: Cobit](https://reader036.fdocuments.net/reader036/viewer/2022062419/5571f1f749795947648be194/html5/thumbnails/1.jpg)
CONTROL OBJECTIVES FOR INFORMATION
AND RELATED TECHNOLOGY
ALUMNOS: •DAVID VERA OLIVERA •CRISTIAN RIVERA
![Page 2: Cobit](https://reader036.fdocuments.net/reader036/viewer/2022062419/5571f1f749795947648be194/html5/thumbnails/2.jpg)
COBITCOBIT
•COBIT esta orientado a ser la herramienta de gobierno de TI que ayude al entendimiento y a la administración de riesgos asociados con tecnología de información y con tecnologías relacionadas.
![Page 3: Cobit](https://reader036.fdocuments.net/reader036/viewer/2022062419/5571f1f749795947648be194/html5/thumbnails/3.jpg)
Misión: Soportar los objetivos empresariales mediante el desarrollo, promoción y entrega de
investigaciones, estándares, competencias y prácticas para un efectivo gobierno, control y evaluación de los sistemas de información y la
tecnología relacionada
Information Systems Audit and
Control Association(ISACATM)
Information Systems Audit and Control Foundation
(ISACFTM)
![Page 4: Cobit](https://reader036.fdocuments.net/reader036/viewer/2022062419/5571f1f749795947648be194/html5/thumbnails/4.jpg)
Historia ISACAHistoria ISACA
• Fundada in 1969, como EDP Fundada in 1969, como EDP Auditors AssociationAuditors Association
• Más de 26,000 miembros en más Más de 26,000 miembros en más de 100 paisesde 100 paises
• Más de 160 capítulos alrededor del Más de 160 capítulos alrededor del mundomundo
![Page 5: Cobit](https://reader036.fdocuments.net/reader036/viewer/2022062419/5571f1f749795947648be194/html5/thumbnails/5.jpg)
• AntecedentesAntecedentes• Definición, Misión y UsuariosDefinición, Misión y Usuarios• Características GeneralesCaracterísticas Generales• Principios Principios (Requerimientos de (Requerimientos de
Información, Recursos de TI y Procesos de Información, Recursos de TI y Procesos de TI)TI)
• Estructura de CobiTEstructura de CobiT• CobiT como Producto CobiT como Producto (Componentes)(Componentes)• CobiT y Otros estándaresCobiT y Otros estándares
![Page 6: Cobit](https://reader036.fdocuments.net/reader036/viewer/2022062419/5571f1f749795947648be194/html5/thumbnails/6.jpg)
AntecedentesAntecedentes
• El gremio de profesionales en TI se El gremio de profesionales en TI se mostró preocupado por la falta de una mostró preocupado por la falta de una guía estándar sobre el control en TI, que guía estándar sobre el control en TI, que sirviera para diferentes grupos de sirviera para diferentes grupos de interés.interés.
• LA ISACF, como órgano que agrupa a LA ISACF, como órgano que agrupa a profesionales de diferentes áreas profesionales de diferentes áreas interesados en el control de TI, se dió a interesados en el control de TI, se dió a la tarea de dearrollar un conjunto común la tarea de dearrollar un conjunto común de conceptos sobre la materia.de conceptos sobre la materia.
![Page 7: Cobit](https://reader036.fdocuments.net/reader036/viewer/2022062419/5571f1f749795947648be194/html5/thumbnails/7.jpg)
AntecedentesAntecedentes• COBIT Integra y concilia normas y COBIT Integra y concilia normas y
reglamentaciones existentes como:reglamentaciones existentes como:– ISO (9000-3)ISO (9000-3)– Códigos de Conducta del Consejo EuropeoCódigos de Conducta del Consejo Europeo– COSO, IFAC, IIA, ISACA, AICPA y OtrasCOSO, IFAC, IIA, ISACA, AICPA y Otras
• Incluye el contenido de los Objetivos de Incluye el contenido de los Objetivos de Control emitidos por ISACA (EDPAA)Control emitidos por ISACA (EDPAA)
• Se publica por 1ra vez en Septiembre de Se publica por 1ra vez en Septiembre de 19961996
• Se publica la 2a Edición en Abril de 1988Se publica la 2a Edición en Abril de 1988• Se publicó la 3a Edición en Marzo de 2000Se publicó la 3a Edición en Marzo de 2000
![Page 8: Cobit](https://reader036.fdocuments.net/reader036/viewer/2022062419/5571f1f749795947648be194/html5/thumbnails/8.jpg)
DefiniciónDefinición
CControlontrol
OBOBjectivesjectives
forfor IInformationnformation
and Related and Related TTechnologyechnology
(Objetivos de Control para (Objetivos de Control para Tecnología de Información y Tecnología de Información y Tecnologías realacionadas)Tecnologías realacionadas)
![Page 9: Cobit](https://reader036.fdocuments.net/reader036/viewer/2022062419/5571f1f749795947648be194/html5/thumbnails/9.jpg)
MisiónMisión
Investigar, desarrollar, publicar y Investigar, desarrollar, publicar y promover un conjunto internacional y promover un conjunto internacional y
actualizado de objetivos de control actualizado de objetivos de control para tecnología de información que para tecnología de información que sea de uso cotidiano para gerentes, sea de uso cotidiano para gerentes,
auditores.auditores.
![Page 10: Cobit](https://reader036.fdocuments.net/reader036/viewer/2022062419/5571f1f749795947648be194/html5/thumbnails/10.jpg)
UsuariosUsuarios
• La GerenciaLa Gerencia: para apoyar sus : para apoyar sus decisiones de inversión en TI y control decisiones de inversión en TI y control sobre el rendimiento de las mismas, sobre el rendimiento de las mismas, analizar el costo beneficio del control.analizar el costo beneficio del control.
• Los Usuarios FinalesLos Usuarios Finales: quienes : quienes obtienen una garantía sobre la obtienen una garantía sobre la seguridad y el control de los productos seguridad y el control de los productos que adquieren interna y externamenteque adquieren interna y externamente
![Page 11: Cobit](https://reader036.fdocuments.net/reader036/viewer/2022062419/5571f1f749795947648be194/html5/thumbnails/11.jpg)
UsuariosUsuarios
• Los AuditoresLos Auditores : : para soportar sus para soportar sus opiniones sobre los controles de los opiniones sobre los controles de los proyectos de TI , su impacto en la proyectos de TI , su impacto en la organización y determinar el control organización y determinar el control mínimo requerido.mínimo requerido.
• Los Responsables de TILos Responsables de TI: : para para identificar los controles que identificar los controles que requieren en sus áreasrequieren en sus áreas
![Page 12: Cobit](https://reader036.fdocuments.net/reader036/viewer/2022062419/5571f1f749795947648be194/html5/thumbnails/12.jpg)
CaracterísticasCaracterísticas
• Orientado al negocioOrientado al negocio
• Alineado con estándares y regulaciones Alineado con estándares y regulaciones “de facto”“de facto”
• Basado en una revisión crítica y analítica Basado en una revisión crítica y analítica de las tareas y actividades en TIde las tareas y actividades en TI
• Alineado con estándares de control y Alineado con estándares de control y auditoría (COSO, IFAC, IIA, ISACA, AICPA)auditoría (COSO, IFAC, IIA, ISACA, AICPA)
![Page 13: Cobit](https://reader036.fdocuments.net/reader036/viewer/2022062419/5571f1f749795947648be194/html5/thumbnails/13.jpg)
PrincipiosPrincipios
REQUERIMIENTOS DE INFORMACIÓN
DEL NEGOCIO
RECURSOSDE TI
PROCESOS DE TI
![Page 14: Cobit](https://reader036.fdocuments.net/reader036/viewer/2022062419/5571f1f749795947648be194/html5/thumbnails/14.jpg)
Requerimientos de la Requerimientos de la Información del Negocio Información del Negocio
Requerimientos de Calidad
Requerimientos Financieros
(COSO)
Requerimientos de Seguridad
Efectividad y eficiencia operacional.
Confiabilidad de los reportes financieros.
Cumplimiento de leyes y regulaciones.
Calidad.
Costo.
Oportunidad.
Confidencialidad.
Integridad.
Disponibilidad.
CobiT combina los principios contenidos por modelos existentes y conocidos, como COSO, SAC y SAS
![Page 15: Cobit](https://reader036.fdocuments.net/reader036/viewer/2022062419/5571f1f749795947648be194/html5/thumbnails/15.jpg)
Recursos de TIDatos, Aplicaciones
Tecnología, Instalaciones, Recurso Humano
Req. InformaciónEfectividad, Eficiencia,
Confidencialidad, Integridad, Disponibilidad,
Cumplimiento, Confiabilidad
CobiT
Objetivos del Negocio
Planeación y Organización
Definir un plan estratégico de TIDefinir la arquitectura de informaciónDeterminar la dirección tecnológicaDefinir la organización y relaciones de TIManejo de la inversión en TIComunicación de la directrices GerencialesAdministración del Recurso HumanoAsegurar el cumplir requerimientos externosEvaluación de RiesgosAdministración de ProyectosAdministración de Calidad
Adquisición eImplementación
Identificación de solucionesAdquisición y mantenimiento de SW aplicativoAdquisición y mantenimiento de arquitectura TIDesarrollo y mantenimiento de Procedimientos de TIInstalación y Acreditación de sistemasAdministración de Cambios
Seguimiento
Seguimiento de los procesosEvaluar lo adecuado del control InternoObtener aseguramiento inndependienteProveer una auditoría independiente
Servicios y Soporte
Definición del nivel de servicioAdmistración del servicio de tercerosAdmon de la capacidad y el desempeñoAsegurar el servicio continuoGarantizar la seguridad del sistemaIdentificación y asignación de costosCapacitación de usuariosSoporte a los clientes de TIAdmistración de la configuraciónAdministración de problemas e incidentesAdministración de datosAdministración de InstalacionesAdministración de Operaciones
![Page 16: Cobit](https://reader036.fdocuments.net/reader036/viewer/2022062419/5571f1f749795947648be194/html5/thumbnails/16.jpg)
• EfectividadEfectividad: La información debe ser relevante y pertinente : La información debe ser relevante y pertinente para los procesos del negocio y debe ser proporcionada en para los procesos del negocio y debe ser proporcionada en forma oportuna, correcta, consistente y utilizable forma oportuna, correcta, consistente y utilizable
• EficienciaEficiencia: Se debe proveer información mediante el empleo : Se debe proveer información mediante el empleo óptimo de los recursos (la forma más productiva y económica)óptimo de los recursos (la forma más productiva y económica)
• ConfidencialidadConfidencialidad: Protección de la información sensitiva : Protección de la información sensitiva contra divulgación no autorizadacontra divulgación no autorizada
• IntegridadIntegridad: Refiere a lo exacto y completo de la información : Refiere a lo exacto y completo de la información así como a su validez de acuerdo con las expectativas de la así como a su validez de acuerdo con las expectativas de la empresa.empresa.
Requerimientos de la Requerimientos de la Información del Información del Negocio Negocio
![Page 17: Cobit](https://reader036.fdocuments.net/reader036/viewer/2022062419/5571f1f749795947648be194/html5/thumbnails/17.jpg)
• DisponibilidadDisponibilidad: accesibilidad a la información cuando sea : accesibilidad a la información cuando sea requerida por los procesos del negocio y la salvaguarda de requerida por los procesos del negocio y la salvaguarda de los recursos y capacidades asociadas a los mismos.los recursos y capacidades asociadas a los mismos.
• CumplimientoCumplimiento: de las leyes, regulaciones y compromisos : de las leyes, regulaciones y compromisos contractuales con los cuales está comprometida la empresa.contractuales con los cuales está comprometida la empresa.
• ConfiabilidadConfiabilidad: proveer la información apropiada para que la : proveer la información apropiada para que la administración tome las decisiones adecuadas para manejar administración tome las decisiones adecuadas para manejar la empresa y cumplir con las responsabilidades de los la empresa y cumplir con las responsabilidades de los reportes financieros y de cumplimiento normativo.reportes financieros y de cumplimiento normativo.
Requerimientos de la Requerimientos de la Información del Negocio Información del Negocio
![Page 18: Cobit](https://reader036.fdocuments.net/reader036/viewer/2022062419/5571f1f749795947648be194/html5/thumbnails/18.jpg)
Recursos de TIRecursos de TI• DatosDatos: Todos los objetos de información. Considera información : Todos los objetos de información. Considera información
interna y externa, estructurada o nó, gráficas, sonidos, etc.interna y externa, estructurada o nó, gráficas, sonidos, etc.
• AplicacionesAplicaciones: entendido como los sistemas de información, que : entendido como los sistemas de información, que integran procedimientos manuales y sistematizados.integran procedimientos manuales y sistematizados.
• TecnologíaTecnología: Incluye hardware y software básico, sistemas : Incluye hardware y software básico, sistemas operativos, sistemas de administración de bases de datos, de operativos, sistemas de administración de bases de datos, de redes, telecomunicaciones, multimedia, etc.redes, telecomunicaciones, multimedia, etc.
• InstalacionesInstalaciones: Incluye los recursos necesarios para alojar y dar : Incluye los recursos necesarios para alojar y dar soporte a los sistemas de información.soporte a los sistemas de información.
• Recurso HumanoRecurso Humano: Por la habilidad, conciencia y productividad del : Por la habilidad, conciencia y productividad del personal para planear, adquirir, prestar servicios, dar soporte y personal para planear, adquirir, prestar servicios, dar soporte y monitorear los sistemas de Información.monitorear los sistemas de Información.
![Page 19: Cobit](https://reader036.fdocuments.net/reader036/viewer/2022062419/5571f1f749795947648be194/html5/thumbnails/19.jpg)
Recursos de TIDatos, Aplicaciones
Tecnología, Instalaciones, Recurso Humano
Req. InformaciónEfectividad, Eficiencia,
Confidencialidad, Integridad, Disponibilidad,
Cumplimiento, Confiabilidad
CobiT
Objetivos del Negocio
Planeación y Organización
Definir un plan estratégico de TIDefinir la arquitectura de informaciónDeterminar la dirección tecnológicaDefinir la organización y relaciones de TIManejo de la inversión en TIComunicación de la directrices GerencialesAdministración del Recurso HumanoAsegurar el cumplir requerimientos externosEvaluación de RiesgosAdministración de ProyectosAdministración de Calidad
Adquisición eImplementación
Identificación de solucionesAdquisición y mantenimiento de SW aplicativoAdquisición y mantenimiento de arquitectura TIDesarrollo y mantenimiento de Procedimientos de TIInstalación y Acreditación de sistemasAdministración de Cambios
Seguimiento
Seguimiento de los procesosEvaluar lo adecuado del control InternoObtener aseguramiento inndependienteProveer una auditoría independiente
Servicios y Soporte
Definición del nivel de servicioAdmistración del servicio de tercerosAdmon de la capacidad y el desempeñoAsegurar el servicio continuoGarantizar la seguridad del sistemaIdentificación y asignación de costosCapacitación de usuariosSoporte a los clientes de TIAdmistración de la configuraciónAdministración de problemas e incidentesAdministración de datosAdministración de InstalacionesAdministración de Operaciones
![Page 20: Cobit](https://reader036.fdocuments.net/reader036/viewer/2022062419/5571f1f749795947648be194/html5/thumbnails/20.jpg)
Procesos de TI Procesos de TI - Los Tres Niveles- Los Tres Niveles
DominiosAgrupación Natural de procesos, normalmente corresponden a un dominio o una responsabilidad organizacional
Procesos
Conjuntos o series de actividades unidas con delimitación o cortes de control.
Actividadeso tareas
Acciones requeridas para lograr un resultado medible. Las ActividadesTienen un ciclo de vida mientras que las tareas son discretas.
![Page 21: Cobit](https://reader036.fdocuments.net/reader036/viewer/2022062419/5571f1f749795947648be194/html5/thumbnails/21.jpg)
• Planeación y OrganizaciónPlaneación y Organización ((Planning and Organization)Planning and Organization)
• Adquisición e implementaciónAdquisición e implementación (Acquisition and Implementation)(Acquisition and Implementation)
• Prestación de Servicios y Prestación de Servicios y SoporteSoporte (Delivery and Support) (Delivery and Support)
• SeguimientoSeguimiento (monitoring)(monitoring)
Procesos de TI Procesos de TI - Dominios- Dominios
![Page 22: Cobit](https://reader036.fdocuments.net/reader036/viewer/2022062419/5571f1f749795947648be194/html5/thumbnails/22.jpg)
Procesos de TI Procesos de TI - Procesos- Procesos
Adquisición eImplementación
Identificación de solucionesAdquisición y mantenimiento de SW aplicativoAdquisición y mantenimiento de arquitectura TIDesarrollo y mantenimiento de Procedimientos de TIInstalación y Acreditación de sistemasAdministración de Cambios
Planeación y Organización
Definir un plan estratégico de TIDefinir la arquitectura de informaciónDeterminar la dirección tecnológicaDefinir la organización y relaciones de TIManejo de la inversión en TIComunicación de la directrices GerencialesAdministración del Recurso HumanoAsegurar el cumplir requerimientos externosEvaluación de RiesgosAdministración de ProyectosAdministración de Calidad
![Page 23: Cobit](https://reader036.fdocuments.net/reader036/viewer/2022062419/5571f1f749795947648be194/html5/thumbnails/23.jpg)
Procesos de TI Procesos de TI - Procesos- Procesos
Servicios y Soporte
Definición del nivel de servicioAdministración del servicio de tercerosAdministración de la capacidad y el desempeñoAsegurar el servicio continuoGarantizar la seguridad del sistemaIdentificación y asignación de costosCapacitación de usuariosSoporte a los clientes de TIAdministración de la configuraciónAdministración de problemas e incidentesAdministración de datosAdministración de InstalacionesAdministración de Operaciones
Seguimiento
Seguimiento de los procesosEvaluar lo adecuado del control InternoObtener aseguramiento independienteProveer una auditoría independiente
![Page 24: Cobit](https://reader036.fdocuments.net/reader036/viewer/2022062419/5571f1f749795947648be194/html5/thumbnails/24.jpg)
Dominio: Planeación y OrganizaciónDominio: Planeación y Organización
DefiniciónEste dominio cubre la estrategia y las tácticas y se refiere a la identificación de la forma en que la tecnología de información puede contribuir de la mejor manera al logro de los objetivos de negocio. Además, la consecución de la visión estratégica necesita ser planeada, comunicada y administrada desde diferentes perspectivas. Finalmente, deberán establecerse una organización y una infraestructura tecnológica apropiadas.
![Page 25: Cobit](https://reader036.fdocuments.net/reader036/viewer/2022062419/5571f1f749795947648be194/html5/thumbnails/25.jpg)
Dominio: Planeación y OrganizaciónDominio: Planeación y Organización
ProcesosPO1 Definición de un plan Estratégico
Objetivo: Lograr un balance óptimo entre las oportunidades de tecnología de información y los requerimientos de TI de negocio
PO2 Definición de la Arquitectura de Información
Objetivo: Satisfacer los requerimientos de negocio, organizando de la mejor manera posible los sistemas de información, a través de la creación y mantenimiento de un modelo de información de negocio
![Page 26: Cobit](https://reader036.fdocuments.net/reader036/viewer/2022062419/5571f1f749795947648be194/html5/thumbnails/26.jpg)
Dominio: Planeación y OrganizaciónDominio: Planeación y Organización
PO3 Determinación de la dirección tecnológica
Objetivo: Aprovechar al máximo de la tecnología disponible o tecnología emergente, satisfaciendo los requerimientos de negocio
PO4 Definición de la organización y de las relaciones de TIObjetivo: Prestación de servicios de TIEsto se realiza por medio de una organización conveniente en número y habilidades, con tareas y responsabilidades definidas y comunicadas
![Page 27: Cobit](https://reader036.fdocuments.net/reader036/viewer/2022062419/5571f1f749795947648be194/html5/thumbnails/27.jpg)
Dominio: Planeación y OrganizaciónDominio: Planeación y Organización
PO5 Manejo de la inversión
Objetivo: tiene como finalidad la satisfacción de los requerimientos de negocio, asegurando el financiamiento y el control de desembolsos de recursos financieros.
PO6 Comunicación de la dirección y aspiraciones de la gerenciaObjetivo: Asegura el conocimiento y comprensión de los usuarios sobre las aspiraciones del alto nivel (gerencia)
![Page 28: Cobit](https://reader036.fdocuments.net/reader036/viewer/2022062419/5571f1f749795947648be194/html5/thumbnails/28.jpg)
Dominio: Planeación y OrganizaciónDominio: Planeación y Organización
PO7 Administración de recursos humanos
Objetivo: Maximizar las contribuciones del personal a los procesos de TI, satisfaciendo así los requerimientos de negocio.
PO8 Asegurar el cumplimiento con los requerimientos Externos
Objetivo: Cumplir con obligaciones legales, regulatorias y contractuales
![Page 29: Cobit](https://reader036.fdocuments.net/reader036/viewer/2022062419/5571f1f749795947648be194/html5/thumbnails/29.jpg)
Dominio: Planeación y OrganizaciónDominio: Planeación y Organización
PO9 Evaluación de riesgos
Objetivo: Asegurar el logro de los objetivos de TI y responder a las amenazas hacia la provisión de servicios de TI.
PO10 Administración de proyectos
Objetivo: Establecer prioridades y entregar servicios oportunamente y de acuerdo al presupuesto de inversión.
![Page 30: Cobit](https://reader036.fdocuments.net/reader036/viewer/2022062419/5571f1f749795947648be194/html5/thumbnails/30.jpg)
Dominio: Planeación y OrganizaciónDominio: Planeación y Organización
PO11 Administración de calidad
Objetivo: Satisfacer los requerimientos del cliente.
![Page 31: Cobit](https://reader036.fdocuments.net/reader036/viewer/2022062419/5571f1f749795947648be194/html5/thumbnails/31.jpg)
Dominio: Adquisición e ImplementaciónDominio: Adquisición e Implementación
DefiniciónPara llevar a cabo la estrategia de TI, las soluciones de Ti deben ser identificadas, desarrolladas o adquiridas, así como implementadas e integradas dentro del proceso del negocio. Además, este dominio cubre los cambios y el mantenimiento realizados a sistemas existentes.
![Page 32: Cobit](https://reader036.fdocuments.net/reader036/viewer/2022062419/5571f1f749795947648be194/html5/thumbnails/32.jpg)
Dominio: Adquisición e ImplementaciónDominio: Adquisición e Implementación
ProcesosAI1 Identificación de Soluciones Automatizadas
Objetivo: Asegurar el mejor enfoque para cumplir con los requerimientos del usuario.
AI2 Adquisición y mantenimiento del software aplicativo
Objetivo: Proporciona funciones automatizadas que soporten efectivamente al negocio.
![Page 33: Cobit](https://reader036.fdocuments.net/reader036/viewer/2022062419/5571f1f749795947648be194/html5/thumbnails/33.jpg)
Dominio: Adquisición e ImplementaciónDominio: Adquisición e Implementación
AI3 Adquisición y mantenimiento de la infraestructura tecnológica
Objetivo: Proporcionar las plataformas apropiadas para soportar aplicaciones de negocios.
AI4 Desarrollo y mantenimiento de procedimientos
Objetivo: Asegurar el uso apropiado de las aplicaciones y de las soluciones tecnológicas establecidas.
![Page 34: Cobit](https://reader036.fdocuments.net/reader036/viewer/2022062419/5571f1f749795947648be194/html5/thumbnails/34.jpg)
Dominio: Adquisición e ImplementaciónDominio: Adquisición e Implementación
AI5 Instalación y aceptación de los sistemas
Objetivo: Verificar y confirmar que la solución sea adecuada para el propósito deseado.
AI6 Administración de los cambios
Objetivo: Minimizar la probabilidad de interrupciones, alteraciones no autorizadas y errores.
![Page 35: Cobit](https://reader036.fdocuments.net/reader036/viewer/2022062419/5571f1f749795947648be194/html5/thumbnails/35.jpg)
Dominio: Prestación y SoporteDominio: Prestación y Soporte
DefiniciónEn este dominio se hace referencia a la entrega de los servicios requeridos, que abarca desde las operaciones tradicionales hasta el entrenamiento, pasando por seguridad y aspectos de continuidad. Con el fin de proveer servicios, deberán establecerse los procesos de soporte necesarios. Este dominio incluye el procesamiento de los datos por sistemas de aplicación, frecuentemente clasificados como controles de aplicación.
![Page 36: Cobit](https://reader036.fdocuments.net/reader036/viewer/2022062419/5571f1f749795947648be194/html5/thumbnails/36.jpg)
Dominio: Prestación y SoporteDominio: Prestación y Soporte
ProcesosDs1 Definición de niveles de servicio
Objetivo: Establecer una comprensión común del nivel de servicio requerido.
Ds2 Administración de servicios prestados por terceros
Objetivo: Asegurar que las tareas y responsabilidades de las terceras partes estén claramente definidas.
![Page 37: Cobit](https://reader036.fdocuments.net/reader036/viewer/2022062419/5571f1f749795947648be194/html5/thumbnails/37.jpg)
Dominio: Prestación y SoporteDominio: Prestación y Soporte
Ds3 Administración de desempeño y capacidad
Objetivo: Asegurar que la capacidad adecuada está disponible y que se esté haciendo el mejor uso de ella para alcanzar el desempeño deseado.
Ds4 Asegurar el Servicio Continuo
Objetivo: mantener el servicio disponible de acuerdo con los requerimientos y continuar su provisión en caso de interrupciones.
![Page 38: Cobit](https://reader036.fdocuments.net/reader036/viewer/2022062419/5571f1f749795947648be194/html5/thumbnails/38.jpg)
Dominio: Prestación y SoporteDominio: Prestación y Soporte
Ds5 Garantizar la seguridad de sistemas
Objetivo: salvaguardar la información contra uso no autorizados, divulgación, modificación, daño o pérdida.
Ds6 Educación y entrenamiento de usuarios
Objetivo: Asegurar que los usuarios estén haciendo un uso efectivo de la tecnología y estén conscientes de los riesgos y responsabilidades involucrados.
![Page 39: Cobit](https://reader036.fdocuments.net/reader036/viewer/2022062419/5571f1f749795947648be194/html5/thumbnails/39.jpg)
Dominio: Prestación y SoporteDominio: Prestación y Soporte
Ds7 Identificación y asignación de costos
Objetivo: Asegurar un conocimiento correcto de los costos atribuibles a los servicios de TI.
Ds8 Apoyo y asistencia a los clientes de TI
Objetivo: asegurar que cualquier problema experimentado por los usuarios sea atendido apropiadamente.
![Page 40: Cobit](https://reader036.fdocuments.net/reader036/viewer/2022062419/5571f1f749795947648be194/html5/thumbnails/40.jpg)
Dominio: Prestación y SoporteDominio: Prestación y Soporte
Ds9 Administración de la configuración
Objetivo: Dar cuenta de todos los componentes de TI, prevenir alteraciones no autorizadas, verificar la existencia física y proporcionar una base para el sano manejo de cambios.
Ds10 Administración de Problemas
Objetivo: Asegurar que los problemas e incidentes sean resueltos y que sus causas sean investigadas para prevenir que vuelvan a suceder.
![Page 41: Cobit](https://reader036.fdocuments.net/reader036/viewer/2022062419/5571f1f749795947648be194/html5/thumbnails/41.jpg)
Dominio: Prestación y SoporteDominio: Prestación y Soporte
Ds11 Administración de Datos
Objetivo: Asegurar que los datos permanezcan completos, precisos y válidos durante su entrada, actualización, salida y almacenamiento.
Ds12 Administración de las instalaciones
Objetivo: Proporcionar un ambiente físico conveniente que proteja al equipo y al personal de TI contra peligros naturales o fallas humanas .
![Page 42: Cobit](https://reader036.fdocuments.net/reader036/viewer/2022062419/5571f1f749795947648be194/html5/thumbnails/42.jpg)
Dominio: Prestación y SoporteDominio: Prestación y Soporte
Ds13 Administración de la operación
Objetivo: Asegurar que las funciones importantes de soporte de TI estén siendo llevadas a cabo regularmente y de una manera ordenada.
![Page 43: Cobit](https://reader036.fdocuments.net/reader036/viewer/2022062419/5571f1f749795947648be194/html5/thumbnails/43.jpg)
Dominio: MonitoreoDominio: Monitoreo
DefiniciónTodos los procesos de una organización necesitan ser evaluados regularmente a través del tiempo para verificar su calidad y suficiencia en cuanto a los requerimientos de control, integridad y confidencialidad. Este es, precisamente, el ámbito de este dominio.
![Page 44: Cobit](https://reader036.fdocuments.net/reader036/viewer/2022062419/5571f1f749795947648be194/html5/thumbnails/44.jpg)
Dominio: MonitoreoDominio: Monitoreo
ProcesosM1 Monitoreo del Proceso
Objetivo: Asegurar el logro de los objetivos establecidos para los procesos de TI.
M2 Evaluar lo adecuado del Control Interno
Objetivo: Asegurar el logro de los objetivos de control interno establecidos para los procesos de TI.
![Page 45: Cobit](https://reader036.fdocuments.net/reader036/viewer/2022062419/5571f1f749795947648be194/html5/thumbnails/45.jpg)
Dominio: MonitoreoDominio: Monitoreo
M3 Obtención de Aseguramiento Independiente
Objetivo: Incrementar los niveles de confianza entre la organización, clientes y proveedores externos.
M4 Proveer Auditoria Independiente
Objetivo: Incrementar los niveles de confianza y beneficiarse de recomendaciones basadas en mejores prácticas de su implementación.
![Page 46: Cobit](https://reader036.fdocuments.net/reader036/viewer/2022062419/5571f1f749795947648be194/html5/thumbnails/46.jpg)
INFORMACIÓN
Efectividad Eficiencia
Confidencialidad Integridad
Disponibilidad Cumplimiento Confiabilidad
EVENTOS
Objetivos de negocio
Oportunidades de negocio
Requerimientos externos
RegulaciónRiesgos
DatosApplicaciones
TecnologíaInstalaciones
Recurso Humano
Estructura deEstructura de
![Page 47: Cobit](https://reader036.fdocuments.net/reader036/viewer/2022062419/5571f1f749795947648be194/html5/thumbnails/47.jpg)
Procesos del Negocio
Recursos de TI
DatosAplicacionesTecnología
InstalacionesRecurso Humano
Información
Lo que usted Obtiene
Lo que Usted Necesita
Criterios
Efectividad Eficiencia
Confidencialidad Integridad
Disponibilidad Cumplimiento Confiabilidad
Concuerdan
Estructura deEstructura de
![Page 48: Cobit](https://reader036.fdocuments.net/reader036/viewer/2022062419/5571f1f749795947648be194/html5/thumbnails/48.jpg)
Pro
ces
os
TI Dominios
Procesos
Actividades
CUBO de CobiTRelación entre loscomponentes
Da
tos
Ap
plic
aci
on
es
Te
cno
log
ía
Inst
ala
cio
ne
s
Re
cu
rso
Hu
ma
no
Recursos d
e TI
Calidad
Confiabilid
ad
Segurid
ad
Criterios de la Información (7)
Estructura deEstructura de
![Page 49: Cobit](https://reader036.fdocuments.net/reader036/viewer/2022062419/5571f1f749795947648be194/html5/thumbnails/49.jpg)
Recursos de TIDatos, Aplicaciones
Tecnología, Instalaciones, Recurso Humano
Req. InformaciónEfectividad, Eficiencia,
Confidencialidad, Integridad, Disponibilidad,
Cumplimiento, Confiabilidad
CobiT
Objetivos del Negocio
Planeación y Organización
Definir un plan estratégico de TIDefinir la arquitectura de informaciónDeterminar la dirección tecnológicaDefinir la organización y relaciones de TIManejo de la inversión en TIComunicación de la directrices GerencialesAdministración del Recurso HumanoAsegurar el cumplir requerimientos externosEvaluación de RiesgosAdministración de ProyectosAdministración de Calidad
Adquisición eImplementación
Identificación de solucionesAdquisición y mantenimiento de SW aplicativoAdquisición y mantenimiento de arquitectura TIDesarrollo y mantenimiento de Procedimientos de TIInstalación y Acreditación de sistemasAdministración de Cambios
Seguimiento
Seguimiento de los procesosEvaluar lo adecuado del control InternoObtener aseguramiento inndependienteProveer una auditoría independiente
Servicios y Soporte
Definición del nivel de servicioAdmistración del servicio de tercerosAdmon de la capacidad y el desempeñoAsegurar el servicio continuoGarantizar la seguridad del sistemaIdentificación y asignación de costosCapacitación de usuariosSoporte a los clientes de TIAdmistración de la configuraciónAdministración de problemas e incidentesAdministración de datosAdministración de InstalacionesAdministración de Operaciones
![Page 50: Cobit](https://reader036.fdocuments.net/reader036/viewer/2022062419/5571f1f749795947648be194/html5/thumbnails/50.jpg)
Como ProductoComo Producto
• Resumen EjecutivoResumen Ejecutivo
• Marco de Referencia (Framework)Marco de Referencia (Framework)
• Objetivos de ControlObjetivos de Control
• Guías de AuditoríaGuías de Auditoría
• Guías de Administración Guías de Administración
• Herramientas de implementaciónHerramientas de implementación
• CD-ROMCD-ROM
• 3a Edición disponible en español3a Edición disponible en español
![Page 51: Cobit](https://reader036.fdocuments.net/reader036/viewer/2022062419/5571f1f749795947648be194/html5/thumbnails/51.jpg)
- Resumen Ejecutivo- Resumen Ejecutivo
• Documento dirigido a la alta gerenciaDocumento dirigido a la alta gerencia
• Presenta los antecedentes y la Presenta los antecedentes y la estructura básica de COBIT.estructura básica de COBIT.
• Describe de manera general los Describe de manera general los procesos, los recursos y los criterios procesos, los recursos y los criterios de información, los cuales conforman de información, los cuales conforman la “Columna Vertebral” de COBIT.la “Columna Vertebral” de COBIT.
![Page 52: Cobit](https://reader036.fdocuments.net/reader036/viewer/2022062419/5571f1f749795947648be194/html5/thumbnails/52.jpg)
- Marco de - Marco de ReferenciaReferencia
• Incluye la introducción contenida en Incluye la introducción contenida en el resumen ejecutivoel resumen ejecutivo
• Presenta las guías de navegación Presenta las guías de navegación para que los lectores se orienten en para que los lectores se orienten en la exploración del material de COBIT.la exploración del material de COBIT.
• Hace una presentación detallada de Hace una presentación detallada de los 34 procesos contenidos en los los 34 procesos contenidos en los cuatro dominios.cuatro dominios.
![Page 53: Cobit](https://reader036.fdocuments.net/reader036/viewer/2022062419/5571f1f749795947648be194/html5/thumbnails/53.jpg)
- Objetivos de Control- Objetivos de Control
• Integran en su contenido lo expuesto Integran en su contenido lo expuesto tanto en el resumen ejecutivo como en el tanto en el resumen ejecutivo como en el marco de referenciamarco de referencia
• Presenta los objetivos de control Presenta los objetivos de control detallados para cada uno de los 34 detallados para cada uno de los 34 procesos.procesos.
• En total se describen 302 objetivos de En total se describen 302 objetivos de control (de 3 a 30 objetivos por cada uno control (de 3 a 30 objetivos por cada uno de los procesos)de los procesos)
![Page 54: Cobit](https://reader036.fdocuments.net/reader036/viewer/2022062419/5571f1f749795947648be194/html5/thumbnails/54.jpg)
- Guías de Auditoría- Guías de Auditoría
• Se hace una presentación del proceso de Se hace una presentación del proceso de auditoría generalmente aceptado auditoría generalmente aceptado (relevamiento de información,evaluación (relevamiento de información,evaluación de control, evaluación de cumplimiento y de control, evaluación de cumplimiento y evidenciación de los riesgos).evidenciación de los riesgos).
• Este documento incluye guías detalladas Este documento incluye guías detalladas para auditar cada uno de los 34 procesos para auditar cada uno de los 34 procesos teniendo en cuenta los 318 objetivos de teniendo en cuenta los 318 objetivos de control detallados.control detallados.
![Page 55: Cobit](https://reader036.fdocuments.net/reader036/viewer/2022062419/5571f1f749795947648be194/html5/thumbnails/55.jpg)
Guías de AdministraciónGuías de Administración
• Se enfoca de manera similar a los otros Se enfoca de manera similar a los otros productosproductos
• Integra los principios del Balanced Businnes Integra los principios del Balanced Businnes Scorecard.Scorecard.
• Para ayudar a determinar cuales son los Para ayudar a determinar cuales son los adecuados niveles de seguridad y control integra adecuados niveles de seguridad y control integra losconceptos de:losconceptos de:– Modelo de madurez CMM (prácticas de Control) Modelo de madurez CMM (prácticas de Control) – Indicadores claves de Desempeño de los procesos de Indicadores claves de Desempeño de los procesos de
TITI– Factores Críticos de Éxito a tener en cuenta para Factores Críticos de Éxito a tener en cuenta para
mentener bajo control los procesos de TI.mentener bajo control los procesos de TI.
![Page 56: Cobit](https://reader036.fdocuments.net/reader036/viewer/2022062419/5571f1f749795947648be194/html5/thumbnails/56.jpg)
Herramientas de Herramientas de ImplementaciónImplementación
• Muestra algunas de las lecciones Muestra algunas de las lecciones aprendidas por aquellas aprendidas por aquellas organizaciones que han aplicado CobiTorganizaciones que han aplicado CobiT
• Incluye una guía de implementación Incluye una guía de implementación con dos herramientas: Diagnóstico de con dos herramientas: Diagnóstico de conciencia Administrativa y conciencia Administrativa y Diagnóstico de Control en TI Diagnóstico de Control en TI
• Respuestas a las 25 preguntas mas Respuestas a las 25 preguntas mas frecuentes sobre CobiTfrecuentes sobre CobiT
![Page 57: Cobit](https://reader036.fdocuments.net/reader036/viewer/2022062419/5571f1f749795947648be194/html5/thumbnails/57.jpg)
CD-ROMCD-ROM
• El CD-ROM de CobiT contiene toda la El CD-ROM de CobiT contiene toda la información relacionada con los información relacionada con los objetivos de Control y guías de objetivos de Control y guías de Auditoría, facilitando. su búsqueda y Auditoría, facilitando. su búsqueda y acceso.acceso.
• Permite contar con las guías por Permite contar con las guías por objetivo de control de una manera fácil objetivo de control de una manera fácil y oportuna cuando se están realizando y oportuna cuando se están realizando labores de auditoría.labores de auditoría.
![Page 58: Cobit](https://reader036.fdocuments.net/reader036/viewer/2022062419/5571f1f749795947648be194/html5/thumbnails/58.jpg)
Comparación de Comparación de conceptos de Control conceptos de Control InternoInterno
CobiT 1996/1998
COSO 1992SAC 1991/1994
SAS 55 - 1988
Definición deControl Interno
Definición de Objetivos de Control de T I
SAS 78 - 1995
Conceptos de Control Interno
Conceptos de Control Interno
enmienda
Contribucionesal concepto de Control Interno
![Page 59: Cobit](https://reader036.fdocuments.net/reader036/viewer/2022062419/5571f1f749795947648be194/html5/thumbnails/59.jpg)
Comparación de Conceptos de Control
COBIT SAC COSO SASs 55/78
Dirigido a: Administración, Usuarios, Auditores de Sistemas Responsables de TI
Auditores Internos Administración Auditores Externos
El Control Interno es Visto como
Conjunto de procesos incluyendo políticas, procedimientos, prácticas y estructura Organizacional
Conjunto de procesos, subsistemas y personas
Procesos Procesos
Los Objetivos Organizacionales de Control Interno
Efectividad y Eficiencia de las operaciones
Confidencialidad, Integridad y disponibilidad de la información
Confiabilidad en los reportes financieros
Cumplimiento con leyes y normas
Efectividad y Eficiencia de las operaciones
Confiabilidad en los reportes financieros
Cumplimiento con leyes y normas
Efectividad y Eficiencia de las operaciones
Confiabilidad en los reportes financieros
Cumplimiento con leyes y normas
Efectividad y Eficiencia de las operaciones
Confiabilidad en los reportes financieros
Cumplimiento con leyes y normas
Componentes o Dominios Dominios:
Planeación y Organización
Adquisición e implantación
Servicio y Soporte
Seguimiento
Componentes:
Ambiente de Control
Sistemas Manuales y Automatizados.
Procedimientos de Control
Componentes:
Ambiente de Control
Evaluación de Riesgo
Actividades de Control
Información y Comunicación
Seguimiento
Componentes:
Ambiente de Control
Evaluación de Riesgo
Actividades de Control
Información y Comunicación
Seguimiento
Enfocado a Tecnología de Información Tecnología de Información Toda la Organización Estados Financieros
Evaluación de la Efectividad del Control I.
Por un periodo de tiempo Por un periodo de tiempo En un punto en el tiempo Por un periodo de tiempo
Responsable por el Control Interno
Administración Administración Administración Administración
Tamaño 187 páginas en 4 volúmenes 1193 páginas en 12 módulos 353 páginas en 4 volúmenes 63 páginas en 2 documentos
![Page 60: Cobit](https://reader036.fdocuments.net/reader036/viewer/2022062419/5571f1f749795947648be194/html5/thumbnails/60.jpg)
Gracias por su Gracias por su atención.atención.