UNIVERSIDAD NACIONAL DE

CAJAMARCA

FACULTAD DE CIENCIAS ECONÓMICAS, CONTABLES Y

ADMINISTRATIVAS
ESCUELA ACADEMICA PROFESIONAL DE CONTABILIDAD
2019
AUDITORIA DE SISTEMAS CONTABLES
COMPUTARIZADOS

“COBIT”

PROFESORA : CPC: PAJARES ORTIZ MERCEDES.

ALUMNOS : CORONADO CHUGNAS JOEL

COJALA LARA LUIS DIEGO
CRISOLOGO ESPEJO JOEL ANTHONY

Cajamarca, agosto del 2019

1
 ÍNDICE

INTRODUCCIÓN

CAPÍTULO 1. ¿Qué es COBIT?

1.1 Objetivos

1.2 Importancia

1.3 Ediciones y beneficios

1.4 Diferencia entre Cobit 4.1 y 5

1.5 Beneficios de Cobit

1.6 Modelo para auditoría y control de sistemas de información.

CAPÍTULO 2. Fundación COBIT

2.1 Objetivos a estudiar en la fundación

2.2 ¿A quiénes está dirigido?

2.3 Requisitos

REFERENCIAS

2
 INTRODUCCIÓN

La creciente y evidente necesidad de contar con un Marco Referencial para la seguridad y el

control de Tecnología de Información (TI), es el principal motivo que ha dado origen al
surgimiento de COBIT. Puesto que un elemento clave para alcanzar el éxito y la supervivencia
en una organización, es la administración efectiva de la información y de la Tecnología de la
Información (TI) relacionada.

Y es que en un mundo como el nuestro, donde la información viaja a través de internet sin
restricción alguna; en donde cada día aumenta la dependencia a la información y a los
sistemas que la proporcionan; y en donde las tecnologías tienen el potencial para cambiar
radicalmente a las organizaciones y las prácticas de negocio, al tiempo que crean nuevas
oportunidades y reducen costos; COBIT llega como un salvador ha poner orden en el ámbito
del manejo de la información.

Por todo lo anterior y debido a los grandes beneficios que la metodología COBIT aporta a las
empresas, específicamente a sus gerentes y a sus auditores, vale realmente la pena investigar
a fondo el funcionamiento de la misma, así como sus puntos claves y todo aquello que la
fundamenta.

CAPÍTULO 1. ¿QUÉ ES COBIT?

COBIT (Objetivos de control para las tecnologías de información y relacionadas) es un conjunto

de mejores prácticas para el manejo de información creado por la Asociación para la Auditoría
y Control de Sistemas de Información (ISACA), y el Instituto de Administración de las
Tecnologías de la Información (ITGI) en 1992. Se aplica a los sistemas de información de toda
la empresa y su misión es investigar, desarrollar, publicar y promover un conjunto internacional
y actualizado de objetivos de control para tecnología de información que sea de uso cotidiano
para gerentes y auditores.

COBIT es una metodología mundialmente aceptada para el adecuado control de proyectos de

tecnología, los flujos de información y los riesgos que éstas implican. Se utiliza para planear,
implementar, controlar y evaluar el gobierno sobre TIC; incorporando objetivos de control,
directivas de auditoría, medidas de rendimiento y resultados, factores críticos de éxito y
modelos de madurez.

Está basado en la filosofía de que los recursos de TI necesitan ser administrados por un
conjunto de procesos naturalmente agrupados para proveer la información pertinente y
confiable que requiere una organización para lograr sus objetivos.

3
1.1 OBJETIVOS

El objetivo principal de COBIT es el desarrollo de políticas claras y buenas prácticas para la

seguridad y el control de Tecnología de Información, con el fin de obtener la aprobación y el
apoyo de las entidades gubernamentales, comerciales y profesionales de todo el mundo.

Consiste en proporcionar una guía a alto nivel sobre puntos en los que establecer controles
internos con tal de:

● Asegurar el buen gobierno de las TI, protegiendo los intereses de los clientes,
accionistas, empleados, etc.
● Garantizar el cumplimiento normativo del sector al que pertenezca la organización.
● Mejorar la eficacia y eficiencia en los procesos y actividades de la organización.
● Garantizar la confidencialidad, integridad y disponibilidad de la información.

1.2 IMPORTANCIA

La importancia de COBIT, se encuentra dada en los siguientes puntos, los cuales acarrean
grandes beneficios para las organizaciones.

● Consolida y armoniza estándares de fuentes globales prominentes en un recurso crítico

para la gerencia, los profesionales de control y los auditores.
● Permite a las empresas aumentar su valor TIC y reducir los riesgos asociados a
proyectos tecnológicos. A partir de parámetros generalmente aplicables y aceptados,
para mejorar las prácticas de planeación, control y seguridad de las Tecnologías de
Información.
● Contribuye a reducir las brechas existentes entre los objetivos de negocio, y los
beneficios, riesgos, necesidades de control y aspectos técnicos propios de un proyecto
TIC; proporcionando un Marco Referencial Lógico para su dirección efectiva.

1.3 EDICIONES Y BENEFICIOS

COBIT 4.1

Esta edición hace énfasis en el cumplimiento reglamentario, ayudando a las organizaciones a

incrementar el valor de TI, destacando los vínculos entre los objetivos del negocio y TI, y
simplificando la implementación del marco de trabajo COBIT. Este marco de trabajo es la base
para diferentes entes reguladores a nivel mundial, con la finalidad de lograr que las entidades
reguladas optimicen sus inversiones de TI y administren adecuadamente sus riesgos
tecnológicos.

4
Al igual que en versiones anteriores de COBIT, COBIT 4.1 aprovecha la experiencia de
numerosos expertos internacionales. El control de COBIT marco un vínculo entre las iniciativas
de TI y las necesidades de su negocio, además identificar los principales recursos de TI y
gestión de objetivos de control a tener en cuenta. COBIT 4.1 representa un consenso de
expertos de todo el mundo que continuamente trabajan juntos para mantener la relevancia,
beneficios y oportunidades que COBIT ofrece.

COBIT 4.1 se compone de cuatro secciones:

• La visión general ejecutiva
• El marco
• El contenido básico (objetivos de control, directrices de gestión y la madurez de modelos)
• Apéndices (mapeos y cruzadas, modelo de madurez adicionales de información, material de
referencia, un proyecto descripción y un glosario)

Entre las mejoras que se implementaron en COBIT 4.1 están:

● Un paquete de correcciones al texto original de la versión 4, corrigiendo algunos errores

e incoherencias reportadas por lo usuarios.
● A nivel de objetivos de Control detallado, se modificó su definición, dando una nueva
perspectiva hacia la vertiente de prácticas de gestión.
● Mejoras en el conjunto de objetivos de control detallados, agrupando, redefiniendo,
eliminando y creando otros.
● Modificaciones sustanciales al objetivo de control ME3 (Ensure Regulatory
Compliance), añadiendo nuevos OC. Detallados para recomendar no sólo el
cumplimiento de leyes y regulaciones externas a la organización, sino también las
políticas internas y requerimientos contractuales.
● Ampliación en la lista de objetivos de negocio y objetivos TI, gracias a un estudio
proporcionado por la UAMS. una mejor explicación del proceso de medición, la
aportación del mismo, el concepto de “cascada” de métricas y objetivos de actividad e
información ampliada sobre los conceptos de Val IT.

COBIT 5

COBIT 5 es el marco único negocio para el gobierno y la gestión de las TI corporativas, aborda
las áreas funcionales de estas en toda la empresa y considera los intereses relacionados con
las Tecnologías de la Información de grupos internos y externos. Esta versión incorpora la
última evolución de pensar en la gobernabilidad empresarial y técnicas de gestión, y establece
los principios globalmente aceptados, prácticas, herramientas y modelos analíticos para
ayudar a aumentar la confianza en, y el valor de los sistemas de información.

5
COBIT 5 construye y amplía COBIT 4.1 mediante la integración de otros marcos importantes,
normas y recursos incluyendo Val IT de ISACA y Risk IT, ITIL (Information Infrastructure
LIbrary) y normas conexas de la Organización Internacional de Normalización (ISO).
El objetivo de “COBIT 5 para la seguridad de la información “es ayudar a las empresas de
todos los tamaños, ya sean comerciales, sin fines de lucro o del sector público, a reducir sus
perfiles de riesgo a través de la adecuada administración de la seguridad, pues resguardo de
la información es esencial para la confianza de los accionistas.

Principios de COBIT 5

COBIT 5 se basa en cinco principios clave para la gobernanza y la gestión de TI de la empresa:

● Principio 1: Satisfacción de las Necesidades de partes interesadas
● Principio 2: Cubrir la Empresa End-to-End
● Principio 3: La aplicación de un marco único e integrado
● Principio 4: Habilitación de un enfoque holístico
● Principio 5: Gobernanza Separación De Gestión

Categorías de los Facilitadores

El marco COBIT 5 describe siete categorías de los facilitadores:

● Los principios, las políticas y los marcos son el vehículo para traducir el comportamiento
deseado en una guía práctica para la gestión del día a día.
● Proceso de describir un conjunto organizado de prácticas y actividades para lograr
ciertos objetivos y producir una serie de productos de apoyo a la consecución general
relacionada con las metas TI.
● Las estructuras organizativas son las principales entidades de toma de decisiones en
una empresa.
● La cultura, ética y comportamiento de los individuos y de la empresa son a menudo
aspectos subestimados como factor de éxito en las actividades de gobierno y gestión.
● La información es necesaria para mantener la organización funcionando y bien
gobernados, pero a nivel operativo, la información es comúnmente la clave del producto
de la propia empresa.
● Personas, habilidades y competencias son necesarias para completar con éxito todas
las actividades, para tomar decisiones y medidas correctas.
● Servicios, infraestructuras y aplicaciones proporcionan a la empresa un mejor
procesamiento de información tecnológica y de servicios.

6
1.4 DIFERENCIA ENTRE COBIT 4.1 Y 5

Para analizar el cambio, comenzaremos por analizar cómo aparecía la privacidad en la versión
4.1. Si realizamos una búsqueda de la palabra ‘privacidad’ en dicha versión, vemos que
aparece en cuatro ocasiones:

● Al analizar la necesidad de un marco para el Gobierno de las Tecnologías de la

Información (TI) aparece en dos ocasiones. Por una parte, se mencionan las
regulaciones en materia de privacidad como una de las causas para establecerlo y, por
otra, se identifica a aquellos con responsabilidades sobre la privacidad como un grupo
de interés a la hora de implantar un marco de gobierno de TI.

● Aparece también en el Objetivo de Control AI7 Instalar y Acreditar Soluciones y

Cambios, concretamente en el AI7.4 Entorno de pruebas, ya que se reconoce la
necesidad de que se tengan en cuenta los requerimientos en materia de privacidad.

● También se menciona a la hora de definir la madurez del proceso ME3 Asegurar el

cumplimiento con requerimientos externos, ya que se exige cumplir con los
requerimientos en materia de privacidad para alcanzar el nivel de madurez 2 (Repetible
pero intuitivo) entre los 5 posibles.

● Por lo que respecta a la versión 5, se toma en cuenta el marco y la guía de referencia

de los procesos.

● Al analizar los grupos de interés en el marco, ya que se identifica a los oficiales de

seguridad como un grupo de interés interno de la organización. Este aspecto es
importante, puesto que ahora todas las matrices RACI2 que se desarrollan en la guía
de referencia incluyen al Oficial de Privacidad como un rol con sus propias
responsabilidades.

● Aparece, al igual que en la versión anterior, en los objetivo de control BAI07.04

Establecer un entorno de pruebas y MEA03.01 Identificar requerimientos de
cumplimiento externos.

● También se menciona la privacidad de la información de la compañía y la necesidad de

concienciar a todos los usuarios sobre ella en el objetivo DSS08.02 Gestionar los roles,
responsabilidades, privilegios de acceso y niveles de autoridad.

● Por otro lado, hay que analizar lo que en la versión 4.1 se denominaban criterios de la
información y que en la versión 5 han pasado a formar parte del Modelo de Información.

7
Es importante destacar que cuando el modelo habla de información, se refiere a toda la
información relevante para la organización, no sólo a la que se encuentra automatizada. Para
ayudar a esta interpretación, COBIT 5 utiliza un ciclo de vida de la información según el cual
los procesos de negocio generan y procesan datos, transformándolos en información y
conocimiento para, finalmente, generar valor para la empresa.

1.5 BENEFICIOS DE COBIT

Ayuda a las empresas de todos los tamaños a:

● Mantener la información de alta calidad para apoyar las decisiones de negocio

● Lograr los objetivos estratégicos y darse cuenta de los beneficios del negocio a través
del uso efectivo e innovador de TI
● Lograr la excelencia operativa a través de una aplicación fiable y eficiente de la
tecnología
● Mantener riesgos relacionados con TI a un nivel aceptable
● Optimizar los costes de los servicios de TI y tecnología
● Apoyar el cumplimiento de las leyes, reglamentos, acuerdos contractuales y las políticas

1.6 MODELO PARA AUDITORIA Y CONTROL DE SISTEMAS DE INFORMACIÓN

La evaluación de los requerimientos del negocio, los recursos y procesos IT, son puntos
bastante importantes para el buen funcionamiento de una compañía y para el aseguramiento
de su supervivencia en el mercado. El COBIT es precisamente un modelo para auditar la
gestión y control de los sistemas de información y tecnología, orientado a todos los sectores
de una organización, es decir, administradores IT, usuarios y por supuesto, los auditores
involucrados en el proceso.

El COBIT es un modelo de evaluación y monitoreo que enfatiza en el control de negocios y la

seguridad IT y que abarca controles específicos de IT desde una perspectiva de negocios. Las
siglas COBIT significan Objetivos de Control para Tecnología de Información y Tecnologías
relacionadas (Control Objectives for Information Systems and related Technology). El modelo
es el resultado de una investigación con expertos de varios países, desarrollado por ISACA
(Information Systems Audit and Control Association).

COBIT, como ya se mencionó, se aplica a los sistemas de información de toda la empresa,

incluyendo los computadores personales y las redes. La estructura del modelo COBIT propone
un marco de acción donde se evalúan los criterios de información, como por ejemplo la
seguridad y calidad, se auditan los recursos que comprenden la tecnología de información,
como por ejemplo el recurso humano, instalaciones, sistemas, entre otros, y finalmente se
realiza una evaluación sobre los procesos involucrados en la organización.

8
“La adecuada implementación de un modelo COBIT en una organización, provee una
herramienta automatizada, para evaluar de manera ágil y consistente el cumplimiento de los
objetivos de control y controles detallados, que aseguran que los procesos y recursos de
información y tecnología contribuyen al logro de los objetivos del negocio en un mercado cada
vez más exigente, complejo y diversificado.”

CAPÍTULO 2. FUNDACIÓN COBIT

2.1 OBJETIVOS A ESTUDIAR EN LA FUNDACIÓN

El objetivo principal de COBIT (Objetivos de control para la información y tecnologías

relacionadas) es su uso para evaluar el departamento de informática de una compañía.
Este enfoque se basa en un índice de referencia de procesos, indicadores de objetivos clave
(KGl) e indicadores de rendimiento clave (KPI) que se usan para controlar los procesos para
recoger datos que la compañía puede usar para alcanzar sus objetivos.
El enfoque COBIT propone 34 procesos organizados en 4 áreas funcionales más grandes que
abarcan 318 objetivos:

● Entrega y asistencia técnica

● Control
● Planeamiento y organización
● Aprendizaje e implementación

De esta manera se ofrece la confianza a la empresa que su información está protegida y tiene
siempre la asistencia oportuna en el momento que la requiera, ya que al ofrecer la asistencia
técnica, un control y una implementación, lo que garantiza que esté siempre disponible y en
una constante actualización.

2.2 ¿A QUIÉNES ESTÁ DIRIGIDO?

El marco de control de COBIT, está dirigido a Auditores, Administradores, personal del

negocio, Consultores, Ingenieros y en general a todos los niveles de una organización donde
se requiera implantar un Gobierno de TI utilizando el marco de COBIT.

2.3 REQUISITOS

COBIT es una metodología flexible, ya que puede implementarse a cualquier tipo y tamaño de
organización, ya que sus características son:
9
● COBIT es un framework orientado al Gobierno, Gestión y Control de TI
● COBIT refleja las mejores prácticas internacionalmente aceptadas para TI
● COBIT soporta requerimientos regulatorios tales como la ley Sarbanes Oxley
● COBIT es aceptado globalmente como el estándar de facto para TI
● Un rango amplio de buenas y mejores Prácticas es disponible
● Buenas y Mejores Prácticas pueden integrarse en COBIT
● COBIT puede personalizarse
● Los productos de ISACA evolucionan y apoyan las tendencias en TI
● Soporte externo, independiente es benéfico.

10