La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

Mauricio Casillas Ochoa

Publicada porMaría Isabel Navarrete Soto Modificado hace 8 años

Presentaciones similares

Presentación del tema: "Mauricio Casillas Ochoa"— Transcripción de la presentación:

1 Mauricio Casillas Ochoa
Cobit Presentado por: Mauricio Casillas Ochoa 30 de Sept., 1999 Derechos reservados

2 Control Interno Políticas, procedimientos, prácticas y estructuras organizacionales diseñadas para proporcionar una certeza razonable de que los objetivos de negocio serán alcanzados y que eventos indeseables serán prevenidos o detectados y corregidos. ISACA -Control Objectives for Information and Related Technology (CobiT) Derechos reservados

3 Control interno Es un conjunto de elementos de administración
Incluye estructuras, procedimientos, políticas, gente, etc. Apoya el logro de metas y objetivos de negocio Evita la ocurrencia de eventos negativos Derechos reservados

4 COBIT Un estándar global Derechos reservados

5 COBIT Sus antecedentes Su definición Su misión Sus usuarios
Sus características generales Sus componentes Su estructura Sus alcances Derechos reservados

6 COBIT … sus antecedentes
La comunidad de profesionistas relacionados con TI mostró preocupación por la falta de una guía estándar sobre control en TI, que sirviera para diferentes grupos de interés La ISACF, como órgano que agrupa a profesionistas de distintas áreas de actuación interesadas en el control de TI se dió a la tarea de desarrollar un cuerpo común de conocimientos sobre la materia Derechos reservados

7 COBIT … sus antecedentes
Integra y concilia normas y reglamentaciones existentes ISO Códigos de conducta del consejo europeo COSO, IFAC, IIA, ISACA, AICPA, Etc. Incluye los anteriores Objetivos de Control emitidos por la ISACA Se publica en septiembre de 1996 Derechos reservados

8 COBIT … su definición COBIT es en realidad un acrónimo formado por las siglas derivadas de Control Objectives for Information and Related Technology (objetivos de control para tecnología de información y tecnologías relacionadas). Derechos reservados

9 COBIT … su misión Investigar, desarrollar, publicar y promover un conjunto internacional, autorizado y actual de objetivos de control en tecnología de información generalmente aceptados para el uso cotidiano de gerentes de empresa y auditores. Derechos reservados

10 COBIT … su usuarios La alta gerencia puede fundamentar decisiones sobre inversiones en TI y el rendimiento de las mismas Los usuarios de TI pueden obtener un aseguramiento sobre la seguridad y el control de productos adquiridos en forma externa Los auditores pueden fundamentar sus opiniones sobre el control en TI y su impacto en la empresa Los responsables de TI pueden identificar los controles que requieren establecer en su área Derechos reservados

11 COBIT … sus características
Orientación al negocio Alineación con estándares y regulaciones “de jure” y “de facto” Basado en una revisión crítica de tareas y actividades en tecnología de información. Alineamiento con estándares de control y auditoría: COSO, IFAC, IIA, ISACA, AICPA Derechos reservados

12 COBIT … los productos Resumen ejecutivo Marco referencial (framework)
Objetivos de control Guías de auditoría Herramientas de Implementación CD - ROM COBIT en Español Derechos reservados

13 COBIT … Resumen ejecutivo
El resumen ejecutivo es un documento dirigido a la alta gerencia, que presenta los antecedentes y la estructura básica de COBIT. Hace una descripción general de los procesos, los recursos y los criterios de información que determinan la “columna vertebral” de COBIT. Derechos reservados

14 COBIT … Marco referencial
El marco referencial incluye la introducción contenida en el resumen ejecutivo, presentando las “guías de navegación” que orientan al lector en la exploración del material de COBIT. El Marco Referencial hace una presentación más detallada de los 34 objetivos de control de alto nivel (34 procesos) para los cuatro dominios. Derechos reservados

15 COBIT … Objetivos de Control
Los objetivos de control integran en su contenido el material del resumen ejecutivo y del marco referencial. Adicionalmente, presenta objetivos de control detallados para cada objetivo de alto nivel. Se incluyen de 3 a 30 objetivos detallados por cada objetivo de control de alto nivel, totalizando 302. Derechos reservados

16 COBIT … Guías de Auditoría
Las guías de auditóría también incorporan el resumen ejecutivo y el marco referencial. Hacen una presentación del proceso generalmente aceptado de auditoría (obtener entendimiento, evaluar los controles, evaluar el cumplimiento y substanciar los riesgos). Este documento incluye guías detalladas para auditar cada uno de los 34 objetivos de alto nivel. Derechos reservados

17 COBIT … Herramientas de Implemetación
Proporciona las lecciones aprendidas por aquellas organizaciones que se hicieron a la tarea de aplicar COBIT en sus ambientes de trabajo. Incluye una guía de implementación con dos herramientas útiles: Diagnóstico de Conciencia Administrativa y Diagnóstico de Control de Tecnología de Información, así como Casos de Estudio detallados. Además cuenta con las respuestas a las 25 más frecuentes preguntas sobre COBIT. Derechos reservados

18 COBIT … CD ROM El CD ROM de COBIT contiene toda la información relacionada con los Objetivos de Control y Guías de Auditoría, de tal forma que su búsqueda y acceso sea directo. Esto permite contar con las guías por objetivo de control, de una forma oportuna para la realización de las labores de Auditoría. Derechos reservados

19 Principios de la Infraestructura
M A C E V E N T O S Datos Sistemas de Aplicación TECNOLOGIA mensaje entrada servicio salida INSTALACIONES GENTE GENTE OBJETOS Derechos reservados

20 ? Marco referencial ¿ Concuerdan ? PROCESOS DE NEGOCIO INFORMACION
Criterios efectividad eficiencia confidencialidad integridad disponibilidad cumplimiento confiabilidad INFORMACION RECURSOS DE TI datos sistemas de aplicación tecnología instalaciones gente ¿ Concuerdan ? ? Derechos reservados

21 En resumen ….. COBIT PROCESOS DE NEGOCIO INFORMACION RECURSOS DE TI
Criterios efectividad eficiencia confidencialidad integridad disponibilidad cumplimiento confiabilidad COBIT INFORMACION RECURSOS DE TI En resumen ….. datos sistemas de aplicación tecnología instalaciones gente PLANEACON Y ORGANIZACION MONITOREO ADQUISICION E IMPLEMENTACION ENTREGA Y SOPORTE Derechos reservados

22 Procesos de TI y sus dominios
Definición de un Plan Estratégico de Tecnología de Información Definición de la Arquitectura de Información Determinación de la dirección tecnológica Definición de la Organización y de las Relaciones de TI Manejo de la Inversión en Tecnología de Información Comunicación de la dirección y aspiraciones de la gerencia Administración de Recursos Humanos Aseguramiento del Cumplimiento de Requerimientos Externos Evaluación de Riesgos Administración de proyectos Administración de Calidad Monitoreo de los procesos Evaluar lo adecuado del Control Interno Obtención de aseguramiento independiente Proveer una auditoría independiente RECURSOS DE TI datos sistemas de aplicación tecnología instalaciones gente PLANEACON Y ORGANIZACION Procesos de TI y sus dominios MONITOREO ADQUISICION E IMPLEMENTACION Definición de Niveles de Servicio Administración de Servicios prestados por Terceros Administración de Desempeño y Capacidad Aseguramiento de Servicio Continuo Garantizar la Seguridad de Sistemas Identificación y Asignación de Costos Educación y Entrenamiento de Usuarios Apoyo y Asistencia a los Clientes de Tecnología de Información Administración de la Configuración Administración de Problemas e Incidentes Administración de Datos Administración de Instalaciones Administración de Operaciones ENTREGA Y SOPORTE Identificación de Soluciones Adquisición y Mantenimiento de Software de Aplicación Adquisición y Mantenimiento de Arquitectura de Tecnología Desarrollo y Mantenimiento de Procedimientos relacionados con Tecnología de Información Instalación y Acreditación de Sistemas Administración de Cambios Derechos reservados

23 El “Cubo” de COBIT Normatividad Calidad Seguridad Instalaciones Datos
Procesos de TI Gente Sistemas Tecnología Instalaciones Datos Recursos de TI Calidad Normatividad Seguridad Criterios de información Dominios Procesos Actividades Derechos reservados

24 Estructura de COBIT Proceso de TI Requerimiento de Negocio Declaración
El control de Que satisface Es habilitado por Considerando Proceso de TI Requerimiento de Negocio Declaración de Control Prácticas de control Derechos reservados

25 Ayudas de Navegación Ayudas de Navegación Tres puntos de posición P S
efectividad eficiencia confidencialidad integridad disponibilidad cumplimiento confiabilidad S P Ayudas de Navegación Planeación y Organización Adquisición e Implementación Entrega y Soporte Monitoreo Tres puntos de posición Ayudas de Navegación Dominios de TI Recursos Criterios de Información gente aplicaciones tecnología instalaciones datos Derechos reservados

26 Requerimientos de negocio
Cómo se relacionan Recursos de TI Procesos de trabajo Requerimientos de negocio Datos Sistemas de Información Tecnología Instalaciones Recursos humanos Planeación y organización Adquisición e implementación Prestación de servicios y soporte Monitoreo Efectividad Eficiencia Confidencialidad Integridad Disponibilidad Cumplimiento Confiabilidad de la información Derechos reservados

27 Planeación y organización
Dominios (procesos) Requerimientos Recursos Datos Sistemas de información Tecnología Instalaciones Gente Planeación y organización Adquisición e implementación Monitoreo Prestación de servicio y soporte Efectividad Eficiencia Confidencialidad Integridad Disponibilidad Cumplimiento Confiabilidad de la información El proceso de planeación debe tomar en consideración los requerimientos de integridad de datos Derechos reservados

28 Recursos de TI Datos: Incluye a los objetos de información en su sentido más amplio, considerando información interna y externa, estructurada y no estructurada, gráfica, sonidos, etc. Sistemas: Este concepto se entiende como los sistemas de información (aplicaciones) que integran tanto procedimientos manuales como procedimientos programados (basados en tecnología) Tecnología: Incluye hardware (equipo), sistemas operativos, sistemas de administración de bases de datos, de redes y de telecomunicaciones, multimedia, etc. Instalaciones: Incluye los recursos necesarios para alojar y dar soporte a los sistemas de información. Recursos humanos: Este concepto incluye habilidades, conciencia y productividad del personal para planear, adquirir, prestar servicios, proporcionar soporte y monitorear los sistemas y servicios de información. Derechos reservados

29 Procesos de TI Dominios Procesos Actividades o tareas
Agrupación natural de procesos, normalmente correspondientes a un dominio o responsabilidad organizacional Procesos Series de actividades unidas con cortes naturales de control. Actividades o tareas Acciones necesarias para lograr un resultado medible. Las actividades tienen un ciclo de vida, mientras que las tareas son discretas. Derechos reservados

30 Dominios Planeación y organización - Planning and organization -
Adquisición e implementación - Acquisition and implementation - Prestación de servicios y soporte - Delivery and support - Monitoreo - Monitoring - Derechos reservados

31 Procesos Planeación y organización
Definir un Plan Estratégico de Tecnología de Información Definir la Arquitectura de Información Determinar la dirección tecnológica Definir la Organización y las Relaciones de TI Manejar la Inversión en Tecnología de Información Comunicar la dirección y aspiraciones de la gerencia Administrar Recursos Humanos Asegurar el Cumplimiento de Requerimientos Externos Evaluar Riesgos Administrar proyectos Administrar Calidad Derechos reservados

32 Procesos Adquisición e implementación: Identificar Soluciones
Adquirir y Mantener Software de Aplicación Adquirir y Mantener la Arquitectura de Tecnología Desarrollar y Mantener Procedimientos relacionados con Tecnología de Información Instalar y Acreditar Sistemas Administrar Cambios Derechos reservados

33 Procesos Prestación de servicio y soporte: Definir Niveles de Servicio
Administrar Servicios prestados por Terceros Administrar Desempeño y Capacidad Asegurar un Servicio Continuo Garantizar la Seguridad de Sistemas Identificar y Asignar Costos Educar y Entrenar a Usuarios Apoyar y Asesorar a los Clientes de Tecnología de Información Administrar la Configuración Administrar Problemas e Incidentes Administrar Datos Administrar Instalaciones Administrar Operaciones Derechos reservados

34 Procesos Monitoreo: Monitoreo de los procesos
Evaluar qué tan adecuado es el Control Interno Obtener aseguramiento independiente Proporcionar Auditoría Independiente. Derechos reservados

35 Objetivos de control 3. Prestación de servicio y soporte (dominio)
DS.2 Administrar servicios de terceros (proceso) 2.3 Contratos con terceros (actividad o tarea). Objetivo de control: “La gerencia debe definir procedimientos específicos para asegurar que un contrato formal es definido y acordado para cada relación de servicio con un proveedor”. Derechos reservados

36 Requerimientos de negocio 1/2
Efectividad: Se refiere a que la información debe ser relevante y pertinente para los procesos de negocio así como ser proporcionada en forma oportuna, correcta, consistente y utilizable. Eficiencia: Se refiere a proveer información mediante el empleo óptimo (la forma más productiva y económica) de recursos. Confidencialidad: Se refiere a la protección de información sensitiva contra divulgación no autorizada. Integridad: Se refiere a lo exacto y completo de la información así como a su validez de acuerdo con los valores y expectativas de la empresa Derechos reservados

37 Requerimientos de negocio 2/2
Disponibilidad: Se refiere a la accesibilidad a la información cuando sea requerida por los procesos de negocio ahora y en el futuro. También se relaciona con la salvaguarda de los recursos necesarios y las capacidades asociadas a los mismos. Cumplimiento: Se refiere al cumplimiento de leyes, regulaciones y compromisos contractuales con los cuales está comprometida la empresa ej. criterios de negocio impuestos en forma externa Confiabilidad de la información: Se refiere a proveer la información apropiada para que la administración opere la empresa y cumpla con sus responsabilidades de reportes financieros y de cumplimiento normativo. Derechos reservados

38 Cómo se relacionan los elementos
Recursos de TI Procesos de trabajo Requerimientos de negocio Incluyen controles que permiten satisfacer los objetivos de negocio. En caso de que dichos controles no sean efectivos los requerimientos de negocio se verán afectados Derechos reservados

39 Information Systems Audit and Control Association Guías de auditoría Una guía genérica identifica varias tareas a ser desarrolladas para evaluar cualquier objetivo de control dentro de un proceso. Esta guía genérica extrajo todas las tareas repetitivas en una guía a ser aplicada para todos los objetivos de control. Otras 34 son sugerencias específicas orientadas a cada proceso para proporcionar a la gerencia certeza de que los controles existen y trabajan adecuadamente. Derechos reservados

40 El proceso genérico de auditoría
Information Systems Audit and Control Association El proceso genérico de auditoría Identificación y documentación Evaluación Pruebas de cumplimiento Pruebas sustantivas Derechos reservados

41 Un proceso de TI es por lo tanto auditado mediante:
Information Systems Audit and Control Association Un proceso de TI es por lo tanto auditado mediante: La obtención de un entendimiento de los requerimientos de negocio, riesgos relacionados y medidas relevantes de control. Evaluación de lo apropiado de los controles establecidos Evaluando el cumplimiento mediante pruebas que determinen si los controles trabajan tal como están prescritos, consistentemente y en forma contínua. Substanciando el riesgo del objetivo de control no alcanzado mediante el empleo de técnicas analíticas y/o consultando fuentes alternativas. Derechos reservados

42 ¿ Por qué adoptar COBIT ? Atención al Control Corporativo
Reconocimiento de la Dirección de la necesidad de recursos Necesidad específica de Recursos de Control de Tecnología de Información Soluciones orientadas al Negocio Bases para la administración del Riesgo Mejora la comunicación entre la Dirección, usuarios y auditores. Derechos reservados

43 Cobit ¿ Preguntas ? Elia Fernández Torres Grupo Cynthus
Varsovia 57 piso 9 México, D.F. (5 25) y 57 Derechos reservados

Descargar ppt "Mauricio Casillas Ochoa"

Presentaciones similares

SEMINARIO DE AUDITORÍA INTEGRAL

SEMINARIO DE AUDITORÍA INTEGRAL
COBIT INTEGRANTES : OLMARY GUTIERREZ LORENA MEDINA.

COBIT INTEGRANTES : OLMARY GUTIERREZ LORENA MEDINA.
ADMINISTRAR EL DESEMPEÑO Y LA CAPACIDAD

ADMINISTRAR EL DESEMPEÑO Y LA CAPACIDAD
SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN
C OB I T Control Objectives for Information and Related Technology Information Systems and Control Foundation.

C OB I T Control Objectives for Information and Related Technology Information Systems and Control Foundation.
Diagnóstico de la Organización de la Calidad PDVSA

Diagnóstico de la Organización de la Calidad PDVSA
NORMALIZACIÓN ISO 9000: GESTION DE LA CALIDAD.

NORMALIZACIÓN ISO 9000: GESTION DE LA CALIDAD.
CHARLA SISTEMA DE GESTIÓN AMBIENTAL ISO-14000

CHARLA SISTEMA DE GESTIÓN AMBIENTAL ISO-14000
Normas de Control Interno para Tecnología de la Información Res

Normas de Control Interno para Tecnología de la Información Res
REQUISTOS DE LA CERTIFICACIÓN.

REQUISTOS DE LA CERTIFICACIÓN.
en Tecnología de Información (TI)

en Tecnología de Información (TI)
COBIT César Pallavicini Z.

COBIT César Pallavicini Z.
Enfoque de Control Interno..COBIT

Enfoque de Control Interno..COBIT
Auditoria en Informatica Lic. Enrique Hernandez H.

Auditoria en Informatica Lic. Enrique Hernandez H.
Medición, Análisis y Mejora

Medición, Análisis y Mejora
Eveline Estrella Zambrano Sara Alvear Montesdeoca

Eveline Estrella Zambrano Sara Alvear Montesdeoca
COBIT César Pallavicini Z.

COBIT César Pallavicini Z.
Control Objectives for Information and related Technology

Control Objectives for Information and related Technology
“Gerenciar la adquisición de productos y servicios a los proveedores del proyecto en desarrollo a partir de acuerdos formales”.

“Gerenciar la adquisición de productos y servicios a los proveedores del proyecto en desarrollo a partir de acuerdos formales”.
Electivo Integración Normas de Calidad, Seguridad, Medio Ambiente y Riesgos en la Gestión de la Empresa. Profesor : Fernando Vargas Gálvez Ingeniero Civil.

Electivo Integración Normas de Calidad, Seguridad, Medio Ambiente y Riesgos en la Gestión de la Empresa. Profesor : Fernando Vargas Gálvez Ingeniero Civil.

Presentaciones similares

Anuncios Google