Mg. Sc. Miguel Cotaña Mier Universidad Mayor de San Andres Facultad de Ciencias Economicas y Financieras Carrera de Contaduria Publica CPA-506 Mg. Sc. Miguel Cotaña Mier OCTUBRE 2007 LA PAZ - BOLIVIA
Estándar de Controles y Auditoría de Tecnología Informática
Information Systems Audit and Control Association Misión: Soportar los objetivos empresariales mediante el desarrollo, promoción y entrega de investigaciones, estándares, competencias y prácticas para un efectivo gobierno, control y evaluación de los sistemas de información y la tecnología relacionada Information Systems Audit and Control Association (ISACATM) Information Systems Audit and Control Foundation (ISACFTM) ISACA's Mission: Our mission is to support enterprise objectives through the development, provision and promotion of research, standards, competencies and practices for the effective governance, control and assurance of information, systems and technology. ISACA's vision and mission statements announce that the Association exists to assist IT governance, control and assurance stakeholders deal with IT management, IT risk and IT process, and their interaction with corporate governance, corporate management, corporate risks and corporate processes. ISACA does that by providing value through various services, such as research, standards, information, education, certification, and professional advocacy. The Association helps IS audit, control and security professionals focus not only on IT, IT risks and security issues, but also on the relationship between IT and the business, business processes and business risks.
Es el resultado de uno de los mayores proyectos de investigacion completa-do y publicado por la Organización Mundial de Auditores de Sistemas de Informacion (ISACF). Es aplicable a un amplio rango de SI que van desde el nivel de PC, Mainfra-mes e instalaciones Cliente-Servidor.
COBIT Integra y concilia normas y reglamentaciones existentes como: ISO (9000-3) Códigos de Conducta del Consejo Europeo COSO, IFAC, IIA, ISACA, AICPA y Otras Incluye el contenido de los Objetivos de Control emitidos por ISACA (EDPAA) Se publica Cobit 1 en Septiembre de 1996 Se publica Cobit 2 en Abril de 1998 Se publicó Cobit 3 en Marzo de 2000 Se publicó Cobit 4 en Diciembre de 2005 Se publicó Cobit 4.1 en Mayo de 2007
Control OBjectives for Information and Related Technology (Objetivos de Control para Tecnología de Información y Tecnologías relacionadas)
Objetivos Es una guia para la gerencia en la toma de decisiones sobre riesgos y controles. Ayuda al usuario de tecnologia a obtener seguridad y control sobre los productos y servicios que adquiere. Provee a la A.S.I., una herramienta fundamental para evaluar controles internos y gerenciales, y los minimos requerimientos de control compatibles con el necesario balance Costo-Beneficio de la organización.
¿Qué es Cobit? Modelo para implantar Gobierno de TI Es un estándar abierto y de amplia difusión. Consta de 34 procesos y 220 objetivos de Control. Es 100% compatible con ISO 17799, COSO I y II, y con otros estándares de menor nivel de abstracción. Cobit fija el Qué y los estánderes de apoyo el Cómo en materia de implantación de Gobierno de TI.
La necesidad del aseguramiento del valor de TI, la administración de los riesgos asociados a TI, así como el incremento de requerimientos para controlar la información, se entienden ahora como elementos clave del gobierno de la empresa. El valor, el riesgo y el control constituyen la esencia del gobierno de TI.
El gobierno de TI es responsabilidad de los ejecutivos, del consejo de directores y consta de liderazgo, estructuras y procesos organizacionales que garantizan que la TI de la empresa sostiene y extiende las estrategias y objetivos organizacionales.
Cobit, brinda buenas práctica a través de un marco de trabajo de dominios y procesos, y presenta las actividades en una estructura manejable y lógica. Las buenas prácticas de Cobit representan el consenso de los expertos. Están enfocados fuertemente en el control y menos en la ejecución
Preguntas frecuentes !!!
Gobierno de TI IT Governance. Es un término que representa el sistema que establece la alta gerencia para asegurar el logro de los objetivos de una organización.
Cobit como soporte TI está alineado con el negocio TI capacita el negocio y maximiza los beneficios Los recursos de TI se usen de manera responsable Los riesgos de TI se administren apropiadamente
Áreas de enfoque del Gobierno de TI Alineamiento estratégico: Su enfoque está dirigido a la relación entre el Negocio y el Plan de TI; a la propuesta de valor que debe entregar su definición, a la mantención y validación. Valor Agregado: Es el ciclo que permite asegurar la entrega del valor propuesto, asegurando que la TI proporcionará los beneficios prometidos en la estrategia Administración de Recursos: Se trata de invertir en forma óptima y apropiada, la administración de los recursos críticos en TI: Aplicaciones, Información, Infraestructura y las Personas. Alineamiento Estratégico Gobierno de TI Valor Agregado Administración del Riesgo Medición de Resultados Administración de Recursos
Áreas de enfoque del Gobierno de TI Administración del Riesgo: El administrador debe tener consciencia del riesgo empresarial, un claro entendimiento del apetito de la empresa por el riesgo, transparencia sobre el significado de los riesgos empresariales, y que debe incorporar la responsabilidad de los riesgos empresariales en la administración de la organización. Medición de Resultados: rastrea y monitorea la estrategia de implementación, la terminación del proyecto, el uso de los recursos. Alineamiento Estratégico Gobierno de TI Valor Agregado Administración del Riesgo Medición de Resultados Administración de Recursos
Productos Los productos se han organizado en tres niveles (figura 3) diseñados para dar soporte a: Administración y consejos ejecutivos Administración del negocio y de TI Profesionales en gobierno, aseguramiento, control y seguridad
Marco de trabajo Se basa en el principio de proporcionar la información que la empresa requiere para lograr sus objetivos, la empresa necesita administrar y controlar los recursos de TI, usando un conjunto estructurado de procesos que ofrezcan los servicios requeridos de información.
? Marco Cobit REQUERIMIENTOS DE NEGOCIO CRITERIOS DE INFORMACIÓN efectividad eficiencia confidencialidad integridad disponibilidad cumplimiento confiabilidad CRITERIOS DE INFORMACIÓN PROCESOS DE TI aplicaciones información infraestructura personal RECURSOS DE TI ?
Controles Los procesos requieren controles. Control se define como las políticas, procedimientos, prácticas y estructuras organizacionales diseñadas para brindar una seguridad razonable que los objetivos del negocio se alcanzarán, y los eventos no deseados serán prevenidos o detectados y corregidos.
Objetivo de Control Es una declaración del resultado o fin que se desea lograr al implantar procedimientos de control en una actividad de TI en particular. Los objetivos de control de Cobit son los requerimientos mínimos para un control efectivo de cada proceso de TI.
IMCM Una necesidad básica de toda empresa es entender el estado de sus propios sistemas de TI y decidir qué nivel de administración y control debe proporcionar la empresa. Qué se debe medir y cómo?
Una organización debe crear un modelo de proceso que se ajuste a las directrices establecidas por la integración del modelo de capacidad de madurez (IMCM)