Mauricio Casillas Ochoa Cobit Presentado por: Mauricio Casillas Ochoa 30 de Sept., 1999 Derechos reservados

Control Interno Políticas, procedimientos, prácticas y estructuras organizacionales diseñadas para proporcionar una certeza razonable de que los objetivos de negocio serán alcanzados y que eventos indeseables serán prevenidos o detectados y corregidos. ISACA -Control Objectives for Information and Related Technology (CobiT) Derechos reservados

Control interno Es un conjunto de elementos de administración Incluye estructuras, procedimientos, políticas, gente, etc. Apoya el logro de metas y objetivos de negocio Evita la ocurrencia de eventos negativos Derechos reservados

COBIT Un estándar global Derechos reservados

COBIT Sus antecedentes Su definición Su misión Sus usuarios Sus características generales Sus componentes Su estructura Sus alcances Derechos reservados

COBIT … sus antecedentes La comunidad de profesionistas relacionados con TI mostró preocupación por la falta de una guía estándar sobre control en TI, que sirviera para diferentes grupos de interés La ISACF, como órgano que agrupa a profesionistas de distintas áreas de actuación interesadas en el control de TI se dió a la tarea de desarrollar un cuerpo común de conocimientos sobre la materia Derechos reservados

COBIT … sus antecedentes Integra y concilia normas y reglamentaciones existentes ISO Códigos de conducta del consejo europeo COSO, IFAC, IIA, ISACA, AICPA, Etc. Incluye los anteriores Objetivos de Control emitidos por la ISACA Se publica en septiembre de 1996 Derechos reservados

COBIT … su definición COBIT es en realidad un acrónimo formado por las siglas derivadas de Control Objectives for Information and Related Technology (objetivos de control para tecnología de información y tecnologías relacionadas). Derechos reservados

COBIT … su misión Investigar, desarrollar, publicar y promover un conjunto internacional, autorizado y actual de objetivos de control en tecnología de información generalmente aceptados para el uso cotidiano de gerentes de empresa y auditores. Derechos reservados

COBIT … su usuarios La alta gerencia puede fundamentar decisiones sobre inversiones en TI y el rendimiento de las mismas Los usuarios de TI pueden obtener un aseguramiento sobre la seguridad y el control de productos adquiridos en forma externa Los auditores pueden fundamentar sus opiniones sobre el control en TI y su impacto en la empresa Los responsables de TI pueden identificar los controles que requieren establecer en su área Derechos reservados

COBIT … sus características Orientación al negocio Alineación con estándares y regulaciones “de jure” y “de facto” Basado en una revisión crítica de tareas y actividades en tecnología de información. Alineamiento con estándares de control y auditoría: COSO, IFAC, IIA, ISACA, AICPA Derechos reservados

COBIT … los productos Resumen ejecutivo Marco referencial (framework) Objetivos de control Guías de auditoría Herramientas de Implementación CD - ROM COBIT en Español Derechos reservados

COBIT … Resumen ejecutivo El resumen ejecutivo es un documento dirigido a la alta gerencia, que presenta los antecedentes y la estructura básica de COBIT. Hace una descripción general de los procesos, los recursos y los criterios de información que determinan la “columna vertebral” de COBIT. Derechos reservados

COBIT … Marco referencial El marco referencial incluye la introducción contenida en el resumen ejecutivo, presentando las “guías de navegación” que orientan al lector en la exploración del material de COBIT. El Marco Referencial hace una presentación más detallada de los 34 objetivos de control de alto nivel (34 procesos) para los cuatro dominios. Derechos reservados

COBIT … Objetivos de Control Los objetivos de control integran en su contenido el material del resumen ejecutivo y del marco referencial. Adicionalmente, presenta objetivos de control detallados para cada objetivo de alto nivel. Se incluyen de 3 a 30 objetivos detallados por cada objetivo de control de alto nivel, totalizando 302. Derechos reservados

COBIT … Guías de Auditoría Las guías de auditóría también incorporan el resumen ejecutivo y el marco referencial. Hacen una presentación del proceso generalmente aceptado de auditoría (obtener entendimiento, evaluar los controles, evaluar el cumplimiento y substanciar los riesgos). Este documento incluye guías detalladas para auditar cada uno de los 34 objetivos de alto nivel. Derechos reservados

COBIT … Herramientas de Implemetación Proporciona las lecciones aprendidas por aquellas organizaciones que se hicieron a la tarea de aplicar COBIT en sus ambientes de trabajo. Incluye una guía de implementación con dos herramientas útiles: Diagnóstico de Conciencia Administrativa y Diagnóstico de Control de Tecnología de Información, así como Casos de Estudio detallados. Además cuenta con las respuestas a las 25 más frecuentes preguntas sobre COBIT. Derechos reservados

COBIT … CD ROM El CD ROM de COBIT contiene toda la información relacionada con los Objetivos de Control y Guías de Auditoría, de tal forma que su búsqueda y acceso sea directo. Esto permite contar con las guías por objetivo de control, de una forma oportuna para la realización de las labores de Auditoría. Derechos reservados

Principios de la Infraestructura M A C E V E N T O S Datos Sistemas de Aplicación TECNOLOGIA mensaje entrada servicio salida INSTALACIONES GENTE GENTE OBJETOS Derechos reservados

? Marco referencial ¿ Concuerdan ? PROCESOS DE NEGOCIO INFORMACION Criterios efectividad eficiencia confidencialidad integridad disponibilidad cumplimiento confiabilidad INFORMACION RECURSOS DE TI datos sistemas de aplicación tecnología instalaciones gente ¿ Concuerdan ? ? Derechos reservados

En resumen ….. COBIT PROCESOS DE NEGOCIO INFORMACION RECURSOS DE TI Criterios efectividad eficiencia confidencialidad integridad disponibilidad cumplimiento confiabilidad COBIT INFORMACION RECURSOS DE TI En resumen ….. datos sistemas de aplicación tecnología instalaciones gente PLANEACON Y ORGANIZACION MONITOREO ADQUISICION E IMPLEMENTACION ENTREGA Y SOPORTE Derechos reservados

Procesos de TI y sus dominios Definición de un Plan Estratégico de Tecnología de Información Definición de la Arquitectura de Información Determinación de la dirección tecnológica Definición de la Organización y de las Relaciones de TI Manejo de la Inversión en Tecnología de Información Comunicación de la dirección y aspiraciones de la gerencia Administración de Recursos Humanos Aseguramiento del Cumplimiento de Requerimientos Externos Evaluación de Riesgos Administración de proyectos Administración de Calidad Monitoreo de los procesos Evaluar lo adecuado del Control Interno Obtención de aseguramiento independiente Proveer una auditoría independiente RECURSOS DE TI datos sistemas de aplicación tecnología instalaciones gente PLANEACON Y ORGANIZACION Procesos de TI y sus dominios MONITOREO ADQUISICION E IMPLEMENTACION Definición de Niveles de Servicio Administración de Servicios prestados por Terceros Administración de Desempeño y Capacidad Aseguramiento de Servicio Continuo Garantizar la Seguridad de Sistemas Identificación y Asignación de Costos Educación y Entrenamiento de Usuarios Apoyo y Asistencia a los Clientes de Tecnología de Información Administración de la Configuración Administración de Problemas e Incidentes Administración de Datos Administración de Instalaciones Administración de Operaciones ENTREGA Y SOPORTE Identificación de Soluciones Adquisición y Mantenimiento de Software de Aplicación Adquisición y Mantenimiento de Arquitectura de Tecnología Desarrollo y Mantenimiento de Procedimientos relacionados con Tecnología de Información Instalación y Acreditación de Sistemas Administración de Cambios Derechos reservados

El “Cubo” de COBIT Normatividad Calidad Seguridad Instalaciones Datos Procesos de TI Gente Sistemas Tecnología Instalaciones Datos Recursos de TI Calidad Normatividad Seguridad Criterios de información Dominios Procesos Actividades Derechos reservados

Estructura de COBIT Proceso de TI Requerimiento de Negocio Declaración El control de Que satisface Es habilitado por Considerando Proceso de TI Requerimiento de Negocio Declaración de Control Prácticas de control Derechos reservados

Ayudas de Navegación Ayudas de Navegación Tres puntos de posición P S efectividad eficiencia confidencialidad integridad disponibilidad cumplimiento confiabilidad S P Ayudas de Navegación Planeación y Organización Adquisición e Implementación Entrega y Soporte Monitoreo Tres puntos de posición Ayudas de Navegación Dominios de TI Recursos Criterios de Información gente aplicaciones tecnología instalaciones datos Derechos reservados

Requerimientos de negocio Cómo se relacionan Recursos de TI Procesos de trabajo Requerimientos de negocio Datos Sistemas de Información Tecnología Instalaciones Recursos humanos Planeación y organización Adquisición e implementación Prestación de servicios y soporte Monitoreo Efectividad Eficiencia Confidencialidad Integridad Disponibilidad Cumplimiento Confiabilidad de la información Derechos reservados

Planeación y organización Dominios (procesos) Requerimientos Recursos Datos Sistemas de información Tecnología Instalaciones Gente Planeación y organización Adquisición e implementación Monitoreo Prestación de servicio y soporte Efectividad Eficiencia Confidencialidad Integridad Disponibilidad Cumplimiento Confiabilidad de la información El proceso de planeación debe tomar en consideración los requerimientos de integridad de datos Derechos reservados

Recursos de TI Datos: Incluye a los objetos de información en su sentido más amplio, considerando información interna y externa, estructurada y no estructurada, gráfica, sonidos, etc. Sistemas: Este concepto se entiende como los sistemas de información (aplicaciones) que integran tanto procedimientos manuales como procedimientos programados (basados en tecnología) Tecnología: Incluye hardware (equipo), sistemas operativos, sistemas de administración de bases de datos, de redes y de telecomunicaciones, multimedia, etc. Instalaciones: Incluye los recursos necesarios para alojar y dar soporte a los sistemas de información. Recursos humanos: Este concepto incluye habilidades, conciencia y productividad del personal para planear, adquirir, prestar servicios, proporcionar soporte y monitorear los sistemas y servicios de información. Derechos reservados

Procesos de TI Dominios Procesos Actividades o tareas Agrupación natural de procesos, normalmente correspondientes a un dominio o responsabilidad organizacional Procesos Series de actividades unidas con cortes naturales de control. Actividades o tareas Acciones necesarias para lograr un resultado medible. Las actividades tienen un ciclo de vida, mientras que las tareas son discretas. Derechos reservados

Dominios Planeación y organización - Planning and organization - Adquisición e implementación - Acquisition and implementation - Prestación de servicios y soporte - Delivery and support - Monitoreo - Monitoring - Derechos reservados

Procesos Planeación y organización Definir un Plan Estratégico de Tecnología de Información Definir la Arquitectura de Información Determinar la dirección tecnológica Definir la Organización y las Relaciones de TI Manejar la Inversión en Tecnología de Información Comunicar la dirección y aspiraciones de la gerencia Administrar Recursos Humanos Asegurar el Cumplimiento de Requerimientos Externos Evaluar Riesgos Administrar proyectos Administrar Calidad Derechos reservados

Procesos Adquisición e implementación: Identificar Soluciones Adquirir y Mantener Software de Aplicación Adquirir y Mantener la Arquitectura de Tecnología Desarrollar y Mantener Procedimientos relacionados con Tecnología de Información Instalar y Acreditar Sistemas Administrar Cambios Derechos reservados

Procesos Prestación de servicio y soporte: Definir Niveles de Servicio Administrar Servicios prestados por Terceros Administrar Desempeño y Capacidad Asegurar un Servicio Continuo Garantizar la Seguridad de Sistemas Identificar y Asignar Costos Educar y Entrenar a Usuarios Apoyar y Asesorar a los Clientes de Tecnología de Información Administrar la Configuración Administrar Problemas e Incidentes Administrar Datos Administrar Instalaciones Administrar Operaciones Derechos reservados

Procesos Monitoreo: Monitoreo de los procesos Evaluar qué tan adecuado es el Control Interno Obtener aseguramiento independiente Proporcionar Auditoría Independiente. Derechos reservados

Objetivos de control 3. Prestación de servicio y soporte (dominio) DS.2 Administrar servicios de terceros (proceso) 2.3 Contratos con terceros (actividad o tarea). Objetivo de control: “La gerencia debe definir procedimientos específicos para asegurar que un contrato formal es definido y acordado para cada relación de servicio con un proveedor”. Derechos reservados

Requerimientos de negocio 1/2 Efectividad: Se refiere a que la información debe ser relevante y pertinente para los procesos de negocio así como ser proporcionada en forma oportuna, correcta, consistente y utilizable. Eficiencia: Se refiere a proveer información mediante el empleo óptimo (la forma más productiva y económica) de recursos. Confidencialidad: Se refiere a la protección de información sensitiva contra divulgación no autorizada. Integridad: Se refiere a lo exacto y completo de la información así como a su validez de acuerdo con los valores y expectativas de la empresa Derechos reservados

Requerimientos de negocio 2/2 Disponibilidad: Se refiere a la accesibilidad a la información cuando sea requerida por los procesos de negocio ahora y en el futuro. También se relaciona con la salvaguarda de los recursos necesarios y las capacidades asociadas a los mismos. Cumplimiento: Se refiere al cumplimiento de leyes, regulaciones y compromisos contractuales con los cuales está comprometida la empresa ej. criterios de negocio impuestos en forma externa Confiabilidad de la información: Se refiere a proveer la información apropiada para que la administración opere la empresa y cumpla con sus responsabilidades de reportes financieros y de cumplimiento normativo. Derechos reservados

Cómo se relacionan los elementos Recursos de TI Procesos de trabajo Requerimientos de negocio Incluyen controles que permiten satisfacer los objetivos de negocio. En caso de que dichos controles no sean efectivos los requerimientos de negocio se verán afectados Derechos reservados

Information Systems Audit and Control Association Guías de auditoría Una guía genérica identifica varias tareas a ser desarrolladas para evaluar cualquier objetivo de control dentro de un proceso. Esta guía genérica extrajo todas las tareas repetitivas en una guía a ser aplicada para todos los objetivos de control. Otras 34 son sugerencias específicas orientadas a cada proceso para proporcionar a la gerencia certeza de que los controles existen y trabajan adecuadamente. Derechos reservados

El proceso genérico de auditoría Information Systems Audit and Control Association El proceso genérico de auditoría Identificación y documentación Evaluación Pruebas de cumplimiento Pruebas sustantivas Derechos reservados

Un proceso de TI es por lo tanto auditado mediante: Information Systems Audit and Control Association Un proceso de TI es por lo tanto auditado mediante: La obtención de un entendimiento de los requerimientos de negocio, riesgos relacionados y medidas relevantes de control. Evaluación de lo apropiado de los controles establecidos Evaluando el cumplimiento mediante pruebas que determinen si los controles trabajan tal como están prescritos, consistentemente y en forma contínua. Substanciando el riesgo del objetivo de control no alcanzado mediante el empleo de técnicas analíticas y/o consultando fuentes alternativas. Derechos reservados

¿ Por qué adoptar COBIT ? Atención al Control Corporativo Reconocimiento de la Dirección de la necesidad de recursos Necesidad específica de Recursos de Control de Tecnología de Información Soluciones orientadas al Negocio Bases para la administración del Riesgo Mejora la comunicación entre la Dirección, usuarios y auditores. Derechos reservados

Cobit ¿ Preguntas ? Elia Fernández Torres Grupo Cynthus Varsovia 57 piso 9 México, D.F. (5 25)514-4154 y 57 Derechos reservados