COBIT 5

COBIT 5 es el marco de gestin y de negocio global para el gobierno y la

gestin de las TI de la empresa. Este documento contiene los 5 principios de
COBIT 5 y define los 7 catalizadores que componen el marco.

Marco de COBIT 5
COBIT 5 ayuda a las Organizaciones a crear un valor ptimo a partir de la TI, al
mantener un equilibrio entre la realizacin de beneficios y la optimizacin de los
niveles de riesgo y utilizacin de los recursos.

Permite que las tecnologas de la informacin y relacionadas se

gobiernen y administren de una manera holstica a nivel de toda la
Organizacin, incluyendo el alcance completo de todas las reas de
responsabilidad funcionales y de negocios, considerando los intereses
relacionados con la TI de las partes interesadas internas y externas.
Los principios y habilitadores de COBIT 5 son genricos y tiles para las
Organizaciones de cualquier tamao, bien sean comerciales, sin fines de
lucro o en el sector pblico.

Principios de COBIT 5

Principio 1: Satisfacer las Necesidades de las Partes Interesadas

Las Organizaciones tienen muchas partes interesadas y crear valor

significa cosas diferentes a veces conflictivas para cada una de ellas.
En el Gobierno se trata de negociar y decidir entre los diversos intereses
de beneficio de las diferentes partes interesadas.
El sistema de Gobierno deber considerar a todas las partes interesadas
al tomar decisiones con respecto a la evaluacin de riesgos, los
beneficios
y
el
manejo
de
recursos.

Principio 2: Cubrir la Compaa de Forma Integral

COBIT 5 se concentra en el gobierno y la administracin de la tecnologa

de la informacin y relacionadas desde una perspectiva integral a nivel
de toda la Organizacin.
Esto significa que COBIT 5: Integra el gobierno de la TI corporativa en el
gobierno corporativo, o sea, el sistema de gobierno para la TI

corporativa propuesto por COBIT 5 se integra, de una manera fluida, en

cualquier sistema de gobierno, toda vez que COBIT 5 est alineado a los
ltimos desarrollos en gobierno corporativo.
Principio 3. Aplicar un nico Marco Integrado
COBIT 5 est alineado con los ltimos marcos y normas relevantes usados por
las organizaciones:
Corporativo: COSO, COSO ERM, ISO/IEC 9000, ISO/IEC 31000
Relacionado con TI: ISO/IEC 38500, ITIL, la serie ISO/IEC 27000, TOGAF,
PMBOK/PRINCE2, CMMI.
Principio 4. Habilitar un Enfoque Holstico
Los Habilitadores de COBIT 5 son:
Factores que, individual y colectivamente, influyen sobre si algo funcionar en
el caso de COBIT, Gobierno y Administracin sobre la TI corporativa.
Impulsados por las metas en cascada, o sea: las metas de alto nivel
relacionadas con la TI definen qu deberan lograr los diferentes habilitadores.
Descritos por el marco de COBIT 5 en siete categoras:

Principio 5. Separar el Gobierno de la Administracin

El marco de COBIT 5 plasma una distincin muy clara entre el Gobierno y la
Administracin.
Dichas dos disciplinas:

Comprenden diferentes tipos de actividades

Requieren diferentes estructuras organizacionales
Cumplen diferentes propsitos

Gobierno:
En la mayora de las organizaciones el Gobierno es responsabilidad de la Junta
Directiva bajo el liderazgo de su Presidente.
Administracin:
En la mayora de las organizaciones, la Administracin es responsabilidad de la
Gerencia Ejecutiva, bajo el liderazgo del Gerente General (CEO).

ISO TI

Las ISO son normas o estndares de seguridad establecidas por la

Organizacin Internacional para la Estandarizacin (ISO) y la Comisin
Electrotcnica Internacional (IEC) que se encargan de establecer estndares y
guas relacionados con sistemas de gestin y aplicables a cualquier tipo de
organizacin internacionales y mundiales, con el propsito de facilitar el
comercio, facilitar el intercambio de informacin y contribuir a la transferencia
de tecnologas.
ISO Aplicadas Auditoria de Sistemas (Algunas)
ISO 27001
ISO 27001 es una norma internacional emitida por la Organizacin
Internacional de Normalizacin (ISO) y describe cmo gestionar la seguridad
de la informacin en una empresa. La revisin ms reciente de esta norma fue
publicada en 2013 y ahora su nombre completo es ISO/IEC 27001:2013. La
primera revisin se public en 2005 y fue desarrollada en base a la norma
britnica BS 7799-2.
ISO 27001 puede ser implementada en cualquier tipo de organizacin, con o
sin fines de lucro, privada o pblica, pequea o grande. Est redactada por los
mejores especialistas del mundo en el tema y proporciona una metodologa
para implementar la gestin de la seguridad de la informacin en una
organizacin. Tambin permite que una empresa sea certificada; esto significa
que una entidad de certificacin independiente confirma que la seguridad de la
informacin ha sido implementada en esa organizacin en cumplimiento con la
norma ISO 27001.

ISO 27002
ISO/IEC 27002 proporciona recomendaciones de las mejores prcticas en la
gestin de la seguridad de la informacin a todos los interesados y
responsables en iniciar, implantar o mantener sistemas de gestin de la
seguridad de la informacin. La seguridad de la informacin se define en el
estndar como "la preservacin de la confidencialidad (asegurando que slo
quienes estn autorizados pueden acceder a la informacin), integridad
(asegurando que la informacin y sus mtodos de proceso son exactos y
completos) y disponibilidad (asegurando que los usuarios autorizados tienen
acceso a la informacin y a sus activos asociados cuando lo requieran)".
ISO 27003- Gua para la complementacin de un Sistema de Gestin de
Seguridad de la Infomacion
El Sistema de Gestin de Seguridad de la Informacin es la parte del sistema
integral de gestin, basado en un enfoque del riesgo de la informacin para
establecer , implementar , operar, monitorear, revisar, mantener y mejorar la
seguridad de la informacin.
El Objetivo del ISO 27003 es proporcionar orientacin prctica en el desarrollo
del plan de implementacin para un Sistema de Gestin de Seguridad de
Informacin.
ISO/IEC 20000-Gestin de servicios de TI
Una entrega efectiva de los servicios de TI es crucial para las empresas. Hay
una percepcin de que estos servicios no estn alineados con las necesidades
y requisitos del negocio. Esto es especialmente importante tanto si se
proporciona servicios internamente a clientes como si se est subcontratando
proveedores. Una manera de demostrar que los servicios de TI estn
cumpliendo con las necesidades del negocio es implantar un Sistema de
Gestin de Servicios de TI (SGSTI) basado en los requisitos de la norma
ISO/IEC 20000. La certificacin en esta norma internacional permite demostrar
de manera independiente que los servicios ofrecidos cumplen con las mejores
prcticas.
ISO/IEC 20000 est basada y reemplaza a la BS 15000, la norma reconocida
internacionalmente como una British Standard (BS), y que est disponible en
dos partes: una especificacin auditable y un cdigo de buenas prcticas.
La ISO/IEC 20000 es totalmente compatible con la ITIL (IT Infrastructure
Library), o gua de mejores prcticas para el proceso de GSTI. La diferencia es
que el ITIL no es medible y puede ser implantado de muchas maneras,
mientras que en la ISO/IEC 20000, las organizaciones deben ser auditadas y
medidas frente a un conjunto establecido de requisitos.
La ISO/IEC 20000 es aplicable a cualquier organizacin, pequea o grande, en
cualquier sector o parte del mundo donde confan en los servicios de TI. La
norma es particularmente aplicable para proveedores de servicios internos de

TI, tales como departamentos de Informacin Tecnolgica, proveedores

externos de TI o incluso organizaciones subcontratadas. La norma est
impactando positivamente en algunos de los sectores que necesitan TI tales
como subcontratacin de negocios, Telecomunicaciones, Finanzas y el Sector
Pblico.

Informe COSO
Generalidades
El Informe C.O.S.O. es un documento que especifica un modelo comn de
control interno con el cual las organizaciones pueden implantar, gestionar y
evaluar sus sistemas de control interno para asegurar que stos se mantengan
funcionales, eficaces y eficientes.
Ambiente de control
Este es consecuencia de la actitud asumida por la alta direccin, la gerencia, y
por representacin instintiva, los dems agentes con relacin a la importancia
del control interno y su incidencia sobre las actividades y resultados de la
organizacin. Los valores ticos son esenciales para el ambiente de control.
Evaluacin de riesgos
Todas las entidades, omitiendo el tamao, estructura, naturaleza o clase de
industria, enfrentan riesgos en todos los niveles de sus organizaciones. No
existe una manera prctica para reducir los riesgos a cero. La definicin de
objetivos es una condicin previa para la valoracin de riesgos. Primero que

todo, deben definirse los objetivos a fin de que la administracin pueda

identificar los riesgos y tomar las acciones necesarias para administrarlos. Los
objetivos globales deben dividirse en sub.-objetivos, consistentes con la
estrategia global, y vinculados con las actividades a travs de la organizacin.

Actividades de control
Las actividades de control se dan a todo lo largo y ancho de la organizacin, en
todos los niveles y en todas las funciones. Incluyen un rango de actividades tan
diversas como aprobaciones, autorizaciones, verificaciones, reconciliaciones,
revisin del desempeo de operaciones, seguridad de activos y segregacin de
responsabilidades. Las actividades de control se pueden dividir en tres
categoras, basadas en la naturaleza de los objetivos de la entidad con los
cuales se relaciona: operaciones, informacin financiera, o cumplimiento.
Informacin y comunicacin
Informacion
La informacin es identificada, capturada, procesada y reportada mediante
sistemas de informacin; que pueden ser computarizados, manuales o
combinacin de ellos. Los sistemas de informacin operan algunas veces en
una forma de monitoreo, realizando captura rutinaria de datos especficos. En
otros casos, se realizan acciones especiales para obtener la informacin
requerida. Los sistemas de informacin pueden ser formales o informales. Las
conversaciones con clientes, proveedores, reguladores y empleados proveen a
menudo de la informacin ms crtica requerida para identificar riesgos y
oportunidades, de manera similar, la asistencia a seminarios profesionales o
industriales y la participacin como miembros de asociaciones de comercio u
otras pueden proporcionar informacin valiosa.
Supervisin o monitoreo
El monitoreo asegura que el control interno contina operando efectivamente.
Este proceso implica la valoracin, por parte del personal apropiado, del diseo
y de la operacin de los controles en una adecuada base de tiempo, y
realizando las acciones necesarias. Se aplica para todas las actividades en una
organizacin. El monitoreo puede hacerse de dos maneras: mediante
actividades en tiempo real o mediante evaluaciones separadas.
Beneficios del modelo coso II
Permite a la Direccin de la empresa poseer una visin global del riesgo y
accionar los planes para su correcta gestin.
Posibilita el establecimiento de los objetivos de acuerdo a las prioridades,
riesgos clave del negocio, y de los controles implantados, lo que permite su
adecuada gestin. Toma de decisiones ms segura, facilitando la asignacin
del capital.

Alinea los objetivos del grupo con los objetivos de las diferentes unidades
de negocio, as como los riesgos asumidos y los controles puestos en accin.
Permite dar soporte a las actividades de planificacin estratgica y control
interno.
Permite cumplir con los nuevos marcos regulatorios y demanda de nuevas
prcticas.
Fomenta que la gestin de riesgos pase a formar parte de la cultura de la
organizacin.