CONTROL INTERNO EN

TECNOLOGÍAS DE
INFORMACIÓN - COBIT II

Elaborado: Oficina de Riesgos y Desarrollo

San Isidro, 10 Junio 2009
 ¿QUE ES COBIT ?

COBIT (Control Objectives for Information and

Related Technology) es un compendio de
Objetivos de Control para la Tecnología de
Información que incluye herramientas que
permiten a la administración cubrir la brecha
entre los requerimientos de control, la tecnología
y los riesgos de negocio.

2
 EL MODELO DEL MARCO DE TRABAJO DE COBIT
Administración, Control, Alineación y Monitoreo de Cobit.
El marco de trabajo COBIT,
relaciona los requerimientos
de información y de
OBJETIVOS DE NEGOCIO gobierno a los objetivos de
la función de servicio de TI.
Drivers de Gobernabilidad El modelo de procesos
Criterios de
Resultados de Negocio Información COBIT permite que las
actividades de TI y los
recursos que los soportan
sean administrados y
Infraestructura
controlados basados en los
Aplicaciones

Información

objetivos de control de
COBIT, y alineados y
Gente Recursos monitoreados usando las
de TI métricas KGI y KPI de
COBIT

Indicadores clave
de Rendiemiento
Procesos
Procesos de TI de TI

Indicadores
clave
de Objetivos
Objetivos de
Objetivos de TI Control de Alto
Nivel

3
ALINEANDO CRITERIOS, PROCESOS, RECURSOS Y OBJETIVOS DE
CONTROL
Criterios de Información

Información
Dominio

Infraestructura
s
Dominios

Aplicaciones
Personas
Proces
Procesos
os

Actividades
Activida
des

4
 CONCEPTO BÁSICOS

ISACA - 95 países 20.000 miembros

COBIT Investigación: E.U-Europa-Australia-Japón

Representatividad

Consolidación y armonización 18 estándares

 COSO (Committe Of Sponsoring Org. of the Treadway Commission)

 OECD (Organizarion for Economic Cooperation and Development)
 ISO 9003 (International Standars Organization)
 NIST (National Institute of Standars and Technology)
 DTI (Departament of Trade and Industry of the U.K´)
 ITSEC (Information Technology Security Evaluation Criteria - Europa)
 TCSEC (Trusted Computer Evaluación Criteria - Orange Book- E.U)
 IIA SAC (Institute of Internal Auditors - Systems Auditability and Control)
 IS Auditing Standars Japón
5
 CONCEPTO BÁSICOS

Para satisfacer los objetivos del negocio la información

debe cumplir con criterios que COBIT extrae de los más
reconocidos modelos:

Requerimientos Calidad Requerimientos de

 Disponibilidad
de calidad Costo seguridad
 Integridad
(ISO 9000-3) Entrega (libro rojo, naranja,
 Confidencialidad
ISO 17799 y otros)

 Eficacia y eficiencia
Requerimientos fiduciarios  Confiabilidad de la información
(informe COSO)  Cumplimiento con leyes y reglamentaciones

6
 ¿POR QUÉ COBIT?

La Tecnología se ve como un
costo, no hay una terminología
común con el negocio, y se
recorta el presupuesto en la
seguridad, ya que la falta de
difusion de normas y buenas
prácticas que ayuden a generar
conciencia de los riesgos
mantiene la quimera del :

“ A mi no me va pasar..”

7
 ¿POR QUÉ COBIT?

Gobierno de Tecnología de Información

El rol de la Dirección

La Dirección, a través de su
Gobierno Corporativo debe
garantizar la debida diligencia por
parte de todos los individuos
involucrados en la administración,
uso, diseño, desarrollo,
mantenimiento u operación de los
sistemas de información.

8
 REGLA DE ORO DEL COBIT

A fin, de proveer la información

que la organización requiere para
lograr sus objetivos, los recursos
de IT deben ser administrados por
un conjunto de procesos,
agrupados de forma adecuada y
normalmente aceptada.

9
 OBJETIVOS Y BENEFICIOS DE COBIT

Proveer un marco único reconocido a nivel

mundial de las “mejores prácticas” de control y
seguridad de TI
Consolidar y armonizar estándares originados en
diferentes países desarrollados.
Enlaza los objetivos y estrategias del negocio con
la estructura de control de la TI, como factor
crítico de éxito
Aplica a todo tipo de organizaciones
independiente de sus plataformas de TI
Ratifica la importancia de la información, como
uno de los recursos más valiosos de toda
organización exitosa

10
 ¿A QUIÉN ESTA DIRIGIDO EL COBIT?

Las Gerencias y Oficinas para

saber que deben exigir, como
medir los resultados y cuales son
sus responsabilidades en esos
temas.
Balancear el riesgo y la inversión
en control de un ambiente a
menudo impredecible.
La Auditoría para sustentar sus
opiniones sobre los riesgos y la
adecuación de la tecnología a las
mejores prácticas. Ser asesores
proactivos del negocio

11
 ¿A QUIÉN ESTA DIRIGIDO EL COBIT?

El Area usuaria para saber que

puede pedir a tecnología y que se
le va a exigir sobre el control de
los procesos del negocio.
Son los interesados en saber si
los recursos de Tecnología de
Información se utilizan
adecuadamente y les ayudan a
alcanzar sus objetivos
El Jefe de Informática para definir
un acuerdo de servicios y
justificar su inversión

12
 ORIENTACION DEL COBIT

Su orientación hacia el negocio

consiste en vincular objetivos de
negocio con objetivos de TI,
facilitar métricas y modelos de
madurez para medir su éxito, e
identificar las responsabilidades
asociadas del negocio y los
propietarios de los procesos de
TI.
“Enfocado en el negocio,
orientado a proceso, basado en
controles y dirigido por
medidas.”

13
 NECESIDAD DE RESPUESTA A LOS
RETOS DE TI

Los 7 retos:

Qué no se interrumpa el
servicio
Qué aporte valor
Administrar los costos
Dominar la complejidad
Alineación con el Negocio
Cumplimiento de
Regulaciones
Seguridad.
14
 BUEN GOBIERNO DE TI

Principios, participantes, ámbito, ventajas …

Los 4 principios:

Dirigir y controlar
Con responsabilidad
Con imputabilidad
Mediante actividades
(Procesos)

15
 NECESIDAD DE RESPUESTA A LOS
RETOS DE TI

Principios, participantes, ámbito, ventajas …

Los participantes (grupo de interés):

Internos
Externos

16
 BUEN GOBIERNO DE TI

Principios, participantes, ámbito, ventajas …

Las 5 áreas:

Alineación estratégica
Aportación de Valor
Gestión de Riesgos
Gestión de Recursos
Medidas de rendimiento

17
 BUEN GOBIERNO DE TI

Principios, participantes, ámbito, ventajas …

Las 5 ventajas:

Confianza de la Alta
Dirección
TI es co-responsable al
negocio
Retorno de Inversión
Superior
Servicios más confiables
Mayor transparencia
18
 MARCO DE BUEN GOBIERNO Y DE TI

Las 5 características de un buen marco:

Enfocado al Negocio
Orientado a Procesos
Generalmente aceptado
Utilice un lenguaje común
Cumpla con los requisitos
regulatorios

19
 APLICABILIDAD EN LA CPMP ORIENTADO AL
SCI

Establecer Objetivos de Control a través de acciones,

políticas y procedimientos, para alcanzar objetivos e
intentar que incidentes no deseados sean prevenidos,
detectados y corregidos sobre la tecnología de
información.
Es parte de la implementación del Sistema de Control
Interno:

 Componente de Control gerencia 3.10 Tecnología

de Información y comunicaciones
 Componente de Información y Comunicaciones.

20
MUCHAS GRACIAS