Sunteți pe pagina 1din 16

Auditora de T.I.

Eduardo Leyton

COBIT

Marco Referencial de Auditora para la Gobernabilidad de T.I.


Eduardo Leyton Guerrero
Auditor de Tecnologas de la Informacin
www.eduardoleyton.com

Saltar a la primera
pgina

Control objetives for information and related Technology


(Objetivos de Control para la Informacin y la Tecnologa Relacionada)

w.eduardoleyton.com

Saltar a la primera
pgina

Auditora de T.I.
Eduardo Leyton

Tpicos:

Que es COBIT

Justificacin como Marco Referencial de Auditora.

Definiciones Previas

Requisitos de Calidad, Fiduciarios y Otros

Modelo COBIT (Dominios y Ejes Centrales)

Anlisis del Modelo por Dominios y comparaciones con el


Marco Tradicional y Normas ISO.
Caractersticas de los Ejes Centrales

Plantilla de

Procesos, tareas, procedimientos


Evolucin.

www.eduardoleyton.com

Organizacin COBIT:
Misin
Investigar, desarrollar, publicar y promover un conjunto de objetivos de control
en tecnologas de la informacin con autoridad, actualizados, de carcter
internacionaly aceptados generalmente para el uso cotidiano de gerentes de
empresas y auditores.
Porque nace CoBIT ?
Un elemento crtico para el xito y la supervivencia de las organizaciones es la
administracin efectiva de la informacin y la Tecnologa de la informacin
(TI) relacionada. Ello a implicado una creciente dependencia en informacin y
en los sistemas que proporcionan o soportan dicha informacin; una creciente
vulnerabilidad y un amplio espectro de amenazas; altos costos de inversiones
en TI; y el considerable impacto que estas TI producen en las organizaciones
creando adems nuevas prcticas de negocios (WcS-ERP-BRP). Es por eso que
para muchas organizaciones, la informacin y la tecnologa que la soporta,
representan los activos ms valiosos de la empresa
www.eduardoleyton.com

w.eduardoleyton.com

Auditora de T.I.
Eduardo Leyton Modelo COBIT:

Que es CoBIT ?
Es un modelo de referencia que permite a la Audiencia (administradores,
usuarios, auditores) reducir los espacios existentes entre los riesgos (rba)
de negocio, las necesidades de control y los aspectos tecnolgicos
inherentes con el fin de lograr una adecuada gobernabilidad de los
recursos de tecnologas de la informacin (COSO&CoBIT).
En efecto CoBIT apoya la gobernabilidad de los recursos de T.I.,
mediante la comprensin y la administracin de los riesgos asociados a
las Tecnologa de la Informacin a travs de un Marco Referencial de
dominios, procesos y tareas estructuradas en forma simple y lgica.

www.eduardoleyton.com

Fundamentos COBIT:
Fundamentos del CoBIT
CoBIT ha sido desarrollado como un estndar generalmente aplicable y
aceptado para las buenas prcticas de seguridad y control en Tecnologas de la
Informacin. Se fundamenta en los "Objetivos de Control existentes de la
Information Systems Audit and Control Foundation (ISACF)", mejorados a
partir de estndares internacionales tcnicos, profesionales, regulatorios y
especficos para la industria, tanto existentes como en surgimiento.
Las fuentes identificadas son:
Estndares tcnicos: ISAO, EDIFACT, etc
Cdigos de Conducta: Council of Europe, OEDC, ISACA, etc.
Criterios de Calificacin: ISAO9000SPICE, IickIT, etc.
Estndares Profesionales: para control interno COSO, GAO, IFAC, IIA, ISACA, estndares CPA,
etc
Prcticas y requerimientos especficos de la Industria: Banca otros. COSO (Committee of
Sponsoring Organisations of the Treadway Commission Internal Control-Integrated Framework):
Marco Referencial para la Administracin de Controles Internos. (Modelo de Control de
Negocios)

www.eduardoleyton.com

w.eduardoleyton.com

Auditora de T.I.
Eduardo Leyton Definiciones previas de COBIT:

Control: se define como las polticas, procedimientos, prcticas y estructuras


organizacionales diseadas para garantizar razonablemente que los objetivos del negocio sern
alcanzados y que los eventos no deseables sern prevenidos o detectados y corregidos.

Objetivo de control de T.I.: Propsitos que se desea alcanzar implementando procedimientos de


control en una actividad de T.I. particular.
Requerimientos de Calidad: (calidad-costo- entrega de servicio) Este concepto no se refiere tan
slo a la confiabilidad, no fallas, aspectos subjetivos, o funcionamiento continuo etc; sino ms
bien se refiere a la prioridad que deber asignarse al manejo de los riesgos al compararlos con las
oportunidades. Es decir bajo un criterio de efectividad.

Requerimientos Fiduciarios (Mandatarios, Obligatorios): Efectividad & Eficiencia de


Operaciones, Confiabilidad de la Informacin, Cumplimiento de las Leyes & Regulaciones.
(concepto basado del modelo COSO- informacin no slo financiera)
Requerimientos de Seguridad de la Informacin: Confidencialidad, Integridad, Disponibilidad.
www.eduardoleyton.com

Que es COBIT:
COBIT ha sido desarrollado como standares generalmente aplicacbles y aceptados
para mejorar las prcticas de control y seguridad de las Tecnologas de Informacin (TI)
que provean un marco de referencia para la Administracin, Usuarios y Auditores.
Bsicamente consta de4libros, a saber:
1. Resumen Ejecutivo consiste de una Visin Ejecutiva, la cual provee a la Administracin
un entendimiento de los principios y conceptos claves de COBIT y el marco que provee a
la Administracin con ms detalle y entendimiento de COBIT y define cuatro dominios
con sus correspondientes procesos de TI, 34 en total.
2. Marco de Referencia El marco describe en detalle los 34 Objetivos de COntrol de TI a
un nivel macro, e identifica los requerimientos del negocio para la informacin e impactos
preliminares de recursos de TI para cada objetivo de control. Los objetivos de control
contiene declaraciones de los resultados deseados o propsitos a ser alcanzados para la
Implementacin de 302 objetivos de control especficos a travs de los 34 Procesos de TI.

www.eduardoleyton.com

w.eduardoleyton.com

Auditora de T.I.
Eduardo Leyton Que es COBIT:

3. Guas de Auditora Las Guas de Auditora, las cuales contienen pasos de auditora
sugeridos correspondientes a cada uno de los 34 Objetivos de Control macro para asistir a
los auditores de sistemas de informacin en revisar los procesos de TI junto a los 302
detalles de objetivos de control para proveer seguridad a la administracin y/o aconsejar sus
mejoras.

4. Herramientas de Implementacin Una Herramienta de Implementacin, la cual contiene


el Conocimiento de la Administracin y Diagnstico de Control de TI, una Gua de
Implementacin, FAQ, casos de estudio de organizaciones actualmente usando Cobit, y
presentaciones que pueden ser usadas para introducir COBIT dentro de la organizacin. Esta
nueva herramienta es diseada para facilitar la Implementacin de COBIT, relacionar
sesiones aprendidas desde organizaciones que rpidamente y exitosamente aplicaron
COBIT en sus ambientes de trabajo.

www.eduardoleyton.com

Modelo Bsico de Negocios-T.I.


Procesos de Negocios:

Requerimientos:

DATOS

E
V
E
N
T
O
S
* Personas
* Objetos

SISTEMAS-APLICAC

TECNOLOGA
INSTALACIONES
Message
Input

PERSONAS

Service
Output

I
N
F
O
R
M
A
C
I
O
N

www.eduardoleyton.com

w.eduardoleyton.com

Auditora de T.I.
Eduardo Leyton Modelo COBIT: Procesos y T.I.

Procesos de
Negocios
Eje Central N1
Informacin

Requerimientos
Efectividad
Eficiencia
Confidencialidad
Integridad
D isponibilidad
Cumplimiento
Confiabilidad

CobiT

Recursos TI

Eje Central N2

Datos
Aplicaciones
Tecnologa
Instalaciones
Personas

Dominio N4

Obj. de Control

Planeamiento &
Organizacin

Monitoreo

Dominio N1

Adquisicin &
Implementacin

Distribucin &
Soporte
Dominio N3

Dominio N2

www.eduardoleyton.com

Modelo COBIT: Dominios-Procesos


PO1

M1
M2

definir un plan estratgico para T.I.


PO2 definir la arquitectura de la informacin
PO3 determinar la direccin tecnolgica PO4
definir la organizacin de TI y relaciones
Eje Central N2
PO5 gerenciar la inversin en TI
PO6 comunicar los objetivos gerenciales y direcc.
PO7 gerenciar los recursos humanos
PO8 cumplimiento de requerimientos externos
Recursos TI
PO9 evaluar los riesgos
PO10 gerenciar los proyectos
PO11 gerenciar la calidad
Datos
Aplicaciones
Tecnologa
Planeamiento &
Instalaciones
Organizacin
Personas

monitorear los procesos(de TI)


obtener una opinin independ.

Dominio N4
Monitoreo

Dominio N1

Dominio N3
Distribucin &
Soporte
DS1 definir nivel de servicio
DS2 gerenciar servicios externos
DS3 administ performance y capacidad
DS4 asegurar continuidad de servicio
DS5 asegurar la seguridad de sistemas
DS6 identificar y asignar costos
DS7 educar y adiestrar a usuarios
DS8 ayudar y aconsejar clientes de TI
DS9 gerenciar la configuracin(de sis.)
DS10 manejar problemas e incidentes
DS11 administrar los datos DS12
administrar las instalaciones DS13
administrar las operaciones

Adquisicin &
Implementacin
Dominio N2

AI1 identificar soluciones automatizadas


AI2 adquirir y mantener aplicaciones de software
AI3 adquirir y mantener la infraestructura tecnolog.
AI4 desarrollar y mantener procedimientos
AI5 instalar y acreditar los sistemas
AI6 gerenciar los cambios

www.eduardoleyton.com

w.eduardoleyton.com

Auditora de T.I.
Eduardo Leyton Ciclo de la Informacin COBIT

Genera

Procesos de
Negocios

Informacin

Medio

Recursos TI

Cumplimiento

Requerimientos
Efectividad
Eficiencia
Confidencialidad
Integridad
Disponibilidad
Cumplimiento
Confiabilidad

Datos
Aplicaciones
Tecnologa
Instalaciones
Personas
www.eduardoleyton.com

Como Abordar Cobit ?


La estructura del CobiT parte de una
premisa simple y pragmtica

Los recursos T.I. necesitan ser administrados o


manejados por un conjunto de procesos T.I.
naturalmente agrupados para proveer la
informacin que la organizacin necesita para
lograr sus objetivos

www.eduardoleyton.com

w.eduardoleyton.com

Auditora de T.I.
Eduardo Leyton

Niveles de COBIT:

Hay en esencia tres niveles, en donde debemos poner


nuestros esfuerzos cuando consideramos el manejo
de los recursos T.I.
Dominios

34 Procesos
Actividades
(PC/PS)
www.eduardoleyton.com

Visin Global de COBIT: Dominios-Procesos-Tareas


GERENTE DE LA EMPRESA

CRITERIOS DE INFORMACION

DOMINIOS

PROCESOS
ACTIVIDADES

www.eduardoleyton.com

w.eduardoleyton.com

Auditora de T.I.
Eduardo

Leyton

Proceso Global de

Auditora
Un proceso T.I. es auditado, para:

Obtener una comprensin de los requerimientos de negocios relativo a


los riesgos e identificar las medidas de control

Evaluar lo apropiado de los controles identificados

Asegurar el cumplimiento al chequear si los controles identificados


trabajan prescribiendo, consistentemente y continuamente en el
tiempo
Substantivar el riesgo de los objetivos de control no logrados (asignar
valor al riesgo)

www.eduardoleyton.com

Proceso de Auditora
para cada proceso IT
RIESGOS RELACIONADOS CON LOS
OBTENER
EL ENTENDIMIENTO REQUERIMIENTOS DE NEGOCIOS Y LOS
CONTROLES QUE LOS CUBREN
CONTROLES

EVALUACION DE
LOS CONTROLES
OBJETIVOS DE
CONTROL NO
CUBIERTOS

GRADO EN QUE LOS


OBJETIVOS DE CONTROL
SON ALCANZADOS
OB.DE
CONTROL
CUBIERTOS

ASEGURAR QUE LOS CONTROLES


ASEGURAR ELESTABLECIDOS ESTEN
CUMPLIMIENTO
OPERANDO Y SON CONSISTENTES
Y CONTINUOS
RECONOCER EL IMPACTO
ASOCIADO AL OB. DE CONTROL NO CUBIERTO

CUANTIFICACIN
RIESGO

GUIAS DE AUDITORIA
www.eduardoleyton.com

w.eduardoleyton.com

Auditora de T.I.

Eduardo Leyton

Ejes Centrales de COBIT


Requerimientos de Negocios sobre la
Informacin
Efectividad
Confidencialidad

Disponibilidad

Eficiencia
Integridad
Cumplimiento

Confiabilidad

Recursos Tecnolgicos

Datos
Sistemas y Aplicaciones
Tecnologa

Instalaciones
Personas

www.eduardoleyton.com

Ejes Centrales de COBIT

La informacin que los procesos de


negocio necesitan, es provista al utilizar
recursos tecnolgicos. En orden a
asegurar que los requerimientos de
negocios para la informacin sean
cumplidos, adecuadas medidas de
control necesitan
ser definidas,
implementadas y monitoreadas sobre
esos recursos

www.eduardoleyton.com

w.eduardoleyton.com

10

Auditora de T.I.
Eduardo Leyton Ejes

Centrales de COBIT

Este enfoque o marco de trabajo cubre todos


los aspectos de la informacin y la tecnologa
que lo soporta. El cumplir con los 32 objetivos
de Alto Nivel, les asegura a los dueos de los
procesos de negocio la existencia de un
adecuado Sistema de Control para el medio
ambiente Tecnolgico

www.eduardoleyton.com

GUIAS DE AUDITORIA DEL CobiT

El propsito de las guas de auditora es


proveer una estructura simple para auditar
controles basado en prcticas generalmente
aceptadas, que se complementan con el
esquema CobiT
Las guas, son genricas y de alto nivel en su
estructura. Habilitan al auditor para revisar
procesos T.I. especficos, con el objeto de
indicar a la administracin donde los
controles son insuficientes o donde los
procesos necesitan ser mejorados

www.eduardoleyton.com

w.eduardoleyton.com

11

Auditora de T.I.
Eduardo

Leyton

(CONTINUACION ....)
Se proponen guas de Auditora, para cada
uno de los procesos T.I., basados en la
estructura de un proceso genrico de
auditora, en sus objetivos y en los
requerimientos CobiT

orientacin a Objetivos de Negocios

focalizacin sobre los recursos que necesitan ser


manejadas
consideraciones de los requerimientos sobre la
informacin

www.eduardoleyton.com

(CONTINUACIN...)
Las guas del CobiT para cada uno
de los procesos T.I., se
desarrollan en fases, las cuales
son:
Fase de Identificacin/Documentacin
Fase de Evaluacin

Fase de Testeo de Cumplimiento


Fase de Testeo Substantivo (Valorar
Riesgo)

www.eduardoleyton.com

w.eduardoleyton.com

12

Auditora de T.I.
Eduardo Leyton

EJEMPLO 1 Dominio:1 Proceso

P09
Planificacin
Y
Organizacin

P07
Garantizar
Cumplimiento con
Requisitos Externos

Evaluar
Riesgos
Negocios

P09
Evaluar Riesgos

Mtodos
Evaluacin
Riesgos

Identificacin
De Riesgos

Dominio

P10
Administrar
Proyectos

Mtricas
De Riesgos

Plan de
Accin de
Riesgos

Monitoreo
de Atenc. a
Clientes

Anlisis y
Reporte de
Tenden.

www.eduardoleyton.com

EJEMPLO 2 Dominio: 3 Proceso: DS8


SERVICIO
Y
SOPORTE

DS8
Asistencia y
Asesoria a Clientes

Helpdesk

Registro de
Preguntas

Escalamiento
de Problemas

www.eduardoleyton.com

w.eduardoleyton.com

13

Auditora de T.I.
Eduardo Leyton

EJEMPLO Dominio: 3 Proceso:

DS8
Obtener el Entendimiento:
Entrevistando
Administrador de la funcin Helpdesk
Seleccin de Usuarios de Servicios de Informacin

Obteniendo

Polticas y Procedimientos relacionados con los Servicios de


Informacin de soporte al Cliente
Reportes relativos a consultas de usuarios, resolucin de consultas y
estadsticas de la performance del help desk

Evaluar los Controles por:


Anlisis de
Naturaleza de la funcin help desk es efectiva
Nivel de la documentacin para las actividades de help desk es
adecuado
Existen procesos para registrar incidentes del servicio y es usado
correctamente
etc.
www.eduardoleyton.com

EJEMPLO (Continuacin...)
Asegurar el cumplimiento por:
Testeo de
Polticas y Procedimientos relacionados con el Help Desk estn siendo
aplicados
Atencin de consultas se est ejecutando de una manera oportuna Para una
muestra de peticiones de ayuda: confirmacin de la exactitud, oprtunidad, y
suficiencia de las respuestas

Sustantivar el Riesgo por:


Realizando
Entrevistas a usuarios seleccionados para conocer el grado de
satisfaccin sobre actividades del help desk y reportes de actividades
Revisar la competencia y capacidad del personal del help desk Revisar
una seleccin de escalamiento de preguntas y evaluar sus respuestas

Identificando
Interaccin inadecuada para las actividades del help desk respecto a otras
funciones dentro de los serv. de informacin
Procedimientos y actividades insuficientes en relacin a recepcin de
preguntas, registro, escalamiento y resolucin
Procesos de escalacin deficientes
Usuarios insatisfechos con el proceso de reporte de problemas y su
oportunidad en la resolucin
www.eduardoleyton.com

w.eduardoleyton.com

14

Auditora de T.I.
Eduardo Leyton

Evolucin del COBIT

CobiT I
UN MARCO DEFINICION DE:
- OBJETIVOS DE CONTROL
- GUIAS DE AUDITORIA

CobiT II
- GUIAS DE AUTOEVALUACION ACTUALIZAR E INVESTIGAR
NUEVAS FUENTES

CobiT III
- GUIAS DE CONTROL ADICIONES A OBJETIVOS
DE CONTROL
-IINDICADORES DE
ACTUACION
www.eduardoleyton.com

Conclusiones

CobiT representa un gran avance hacia la


estructuracin del control de las Tecnologas
de la Informacin
Aumento en la Eficiencia y cobertura de las
auditorias

Uso
de
herramientas
y
estndares
reconocidos como buenas prcticas de
Auditora
Estandarizacin del trabajo del Auditor

www.eduardoleyton.com

w.eduardoleyton.com

15

Auditora de T.I.

Eduardo Leyton

Conclusiones-2

Base de controles

Entorno de Seguridad y Control comn


Estandarizacin y metodologizacin en
los procesos T.I.
Mejoras en relacin Auditora
Informtica

Necesidad de extender su uso ms alla


de la auditora

www.eduardoleyton.com

Preguntas

www.eduardoleyton.com

w.eduardoleyton.com

16

S-ar putea să vă placă și