Bryan Arias Novoa B20591

• Definir y reconocer los

procedimientos del control interno en el
área informática y aclarar el papel de los
COBITS dentro de este sistema de control.
• Explicar los procedimientos, herramientas y el
propósito del control interno informático en las
organizaciones.

• Puntualizar los principales elementos del control

interno informático.

• Aclarar qué son los COBITS y definir su función

en el proceso del control interno en el ambiente de
tecnología informática.
 Debido a la evolución tecnológica los sistemas informáticos se han vuelto
indispensables para las empresas, ya que llegaron a agilizar y simplificar los
trabajos que hace un par de décadas tenían que hacerse de forma manual.

Sin embargo, esta industria ha desarrollado una serie de amenazas y

dificultades, pues las empresas enfrentan dificultades y amenazas externas e
internas, tales como robo de información, hackers, crackers; y el factor
humanos encargado de administrar esa información que es de lo más
controlado.

Igualmente las empresas públicas y privadas están valorando cada día más la
creciente importancia que representa mantener sistemas informáticos seguros,
confiables y confidenciales, que eviten o prevengan la ocurrencia de errores u
operaciones ilegales a partir de debilidades en los sistemas de control.

Estos riesgos han dado origen al tema que se desarrollará durante este trabajo,
y de ahí el requerimiento de controlar todo lo referente al procesamiento y
generación de información en las organizaciones.
Fases del proceso.
Fase 1: Análisis y diseño.
Fase 2: Desarrollo del plan.
Fase 3: Pruebas y mantenimiento.
 •Velar para que todas las actividades se realicen bajo los procedimientos
fijados respecto a las normas legales.
•Asesorar sobre lo que dictan las leyes.
•Establecer como prioridad la seguridad y protección de la información del
sistema computacional y de los recursos informáticos de la empresa.
•Promover la confiabilidad, oportunidad y veracidad de la captación de datos,
su procesamiento en el sistema y la emisión de informes en la empresa.
•Implementar los métodos, técnicas y procedimientos necesarios para
coadyuvar al eficiente desarrollo de las funciones, actividades y tareas de los
servicios computacionales, para satisfacer los requerimientos de sistemas en la
empresa.
•Instaurar y hacer cumplir las normas, políticas y procedimientos que regulen
las actividades de sistematización de la empresa.
•Establecer las acciones necesarias para el adecuado diseño e implementación
de sistemas computarizados, a fin de que permitan proporcionar
eficientemente los servicios de procesamiento de información en la empresa.
 Analizar y controlar si la estructura de organización del
área de sistemas informáticos es la indicada para el
funcionamiento optimo e integral e la empresa, lo cual se
logra mediante el diseño adecuado de la estructura de
puestos, unidades de trabajo, líneas de autoridad y
canales de comunicación, complementados con la ética y
realización correcta de funciones y actividades que
encierran el área de informática, la asignación de
responsabilidad y la definición clara de los perfiles del
puestos.
 •Estandarización de metodologías para el desarrollo de proyectos.

•Asegurar que el beneficio del sistema sea óptimo.

•Elaborar estudios de factibilidad del sistema.

•Garantizar la eficiencia y eficacia en el análisis y diseño del sistema.

•Vigilar la efectividad y eficacia en la implementación y en el

mantenimiento del sistema.

•Lograr un uso eficiente del sistema por medio de su documentación.

 •Entorno de control, el entorno de control marca las reglas para el funcionamiento de una empresa e
influye psicológicamente en la concienciación de sus empleados en lo que se refiere al control, siendo esta
básica para los demás componentes del control interno, puesto que este punto aporta disciplina,
integridad, ética, entre otros.

•Evaluación de riesgos, dependiendo del tipo de organización los diversos riesgos deben ser
contemplados y se deben preparar las soluciones a esos riesgos.

•Actividades de control, son las acciones establecidas para cumplir las reglas al máximo y evitar
problemas posteriores.

•Información y comunicación, es la recopilación y comunicación de información a cada empleado, con

esto se pretende un cumplimiento al pie de la letra de los funcionarios.

•Supervisión, los sistemas de control de información requieren el chequeo constante para saber la
funcionalidad y efectividad del sistema implementado.

•Elaborar y mantener datos financieros y de gestión fiables y presentarlos correctamente en los informes
oportunos.

•Preservar los recursos frente a cualquier pérdida por, abuso, mala gestión, errores, fraude e
irregularidades, es decir, el control interno está preparado para alguna desgracia
 •Dirección

•División de trabajo

•Asignación de responsabilidad y
autoridad

•Establecimiento de estándares y
métodos

•Perfiles de puestos
Objetivos de Control para
Tecnología de
Información y
Tecnologías relacionadas

Quién lo utiliza?
 Al basarse en 5 principios y 7 habilitadores,
COBIT 5 utiliza prácticas de gobierno y gestión
para describir las acciones que son ejemplo de
mejores prácticas de su aplicación.
 •Satisfacer las necesidades del accionista.

•Considerar la empresa de punta a punta.

•Aplicar un único modelo de referencia integrado.

•Posibilitar un enfoque holístico.

El holismo supone que todas las propiedades de un sistema no pueden
ser determinadas o explicadas como la suma de sus componentes. En
otras palabras, el holismo considera que el sistema completo se
comporta de un modo distinto que la suma de sus partes. (Wikipedia)
•Separar gobierno de la gestión.
•Principios, políticas y modelos de referencia.

•Procesos.

•Estructuras organizacionales.

•Cultura, ética y comportamiento.

•Información.

•Servicios, infraestructura y aplicaciones.

•Gente, habilidades y competencias.

 Independientemente de la realidad tecnológica de cada caso concreto,
COBIT determina, con el respaldo de las principales normas técnicas
internacionales, un conjunto de mejores prácticas para la seguridad, la
calidad, la eficacia y la eficiencia en el campo de la informática que son
necesarias para alinear las tecnologías de información con el negocio;
identificar riesgos, entregar valor al negocio, gestionar recursos y medir
el desempeño, el cumplimiento de metas y el nivel de madurez de los
procesos de la organización.

La multifuncionalidad de COBIT es para investigar, desarrollar, hacer público y

promover un juego autoritario, actualizado, internacional de objetivos de control
de tecnología de información generalmente aceptados para el empleo cotidiano
por directores comerciales e interventores. Los gerentes, interventores, y usuarios
se benefician del desarrollo de COBIT porque esto les ayuda a entender sus
sistemas y decidir el nivel de seguridad y control que es necesario para proteger
el activo de sus empresas por el desarrollo de un modelo de gobernación
La toma de decisiones para niveles gerenciales es más eficaz, porque COBIT ayuda la dirección
•

en la definición de un plan de TI estratégico, la definición de la

arquitectura de la información, la adquisición del hardware necesario TI y el
software para ejecutar una estrategia TI, la aseguración del servicio continuo, y la
supervisión del funcionamiento del sistema TI.
•Los usuarios se benefician de COBIT debido al aseguramiento proporcionado a
ellos si los usos que ayudan en la reunión, el tratamiento, y el reportaje de
información cumplen con COBIT ya que esto implica mandos y la seguridad es en
el lugar para gobernar los procesos.
•A interventores porque esto les ayuda a identificar cuestiones de control de TI dentro de la
infraestructura TI de una empresa. Esto también les ayuda a corroborar sus conclusiones de
auditoría.
•La entrega de servicios TI se orienta más al cliente y los acuerdos sobre la calidad del servicio
mejoran la relación.
•Se describen mejor los servicios, en un lenguaje más cómodo para el cliente, y con mayores
detalles.
•Se manejan mejor la calidad y el costo del servicio.
•Mejora la comunicación con la organización TI al acordar los puntos de contacto.
•La organización TI desarrolla una estructura más clara, se vuelve más eficaz, y se
centra más en los objetivos corporativos.
•La administración tiene más control y los cambios resultan más fáciles de manejar.
•Una estructura de proceso eficaz brinda un marco para concretar de manera más
eficaz el outsourcing de los elementos de los servicios TI.
•Su introducción puede llevar tiempo y bastante esfuerzo, y supone un cambio de cultura
en la organización. Una introducción demasiado ambiciosa puede llevar a la frustración
porque nunca se alcanzan los objetivos.

•Si la estructura de procesos se convierte en un objetivo en sí misma, la calidad del servicio

se puede ver afectada de forma adversa. En ese caso, los procedimientos se transforman en
obstáculos burocráticos que tratan de evitarse en lo posible.

•No hay progreso por la falta de comprensión sobre lo que deben dar los procesos, cuáles
son los indicadores de desempeño, y cómo se controlan los procesos.

•No se ven las reducciones de costo y la mejora en la entrega de los servicios.

•Una implementación exitosa implica el compromiso del personal de todos los niveles de la
organización. Dejar el desarrollo de las estructuras de proceso a un departamento de
especialistas puede aislar al departamento de la organización y puede fijar una dirección no
aceptada por los otros departamentos

•Si hay poca inversión en las herramientas de soporte, los procesos no harán justicia y el
servicio no mejorará. Se pueden necesitar más recursos y más personal si la organización se
encuentra sobrecargada con las actividades de rutina de la Administración de Servicio TI
“Con más de 100.000 miembros en 180 países, ISACA® (www.isaca.org)
es un líder mundialmente reconocido, proveedor de conocimiento,
certificaciones, comunidad, apoyo y educación en seguridad y
aseguramiento de sistemas de información, gobierno empresarial,
administración de tecnologías de información así como riesgos y
cumplimiento relacionados con el área de la informática. Fundada en
1969 la no lucrativa e independiente, ISACA organiza conferencias
internacionales, publica el ISACA® Journal, y desarrolla estándares
internacionales de auditoría y control de sistemas de información que
ayudan a sus miembros a garantizar la confianza y el valor de los
sistemas de información. Asimismo, certifica los avances y habilidades
de los conocimientos de tecnologías de información a través de la
mundialmente respetada Certified Information Systems Auditor®
(Auditor Certificado en Sistemas de Información) (CISA®), el Certified
Information Security Manager® (Gerente Certificado de Seguridad de la
Información) (CISM®), Certified in the Governance of Enterprise IT®
(Certificado en Gobierno de Tecnologías de la Información Empresarial)
(CGEIT®) y el Certified Risk and Information Systems Control™
(Certificado en Riesgo y Control de Sistemas de Información)
(CRISC™).” (http://www.isaca.org/spanish/Pages/default.aspx)
•Los sistemas informáticos son esenciales para que las empresas logran sus
metas y estén al margen de su entorno competitivo.

•Para lograr esto es necesario que estas organizaciones controlen el

funcionamiento y desempeño de estos sistemas en el manejo de la
Información, garantizando la eficacia de las tareas y la minimización de los
riesgos y amenazas que surjan en el camino a hacia el logro de sus objetivos.

•Claramente COBIT es un marco para optimizar el área informática de una

compañía que cuenta con capacidades propias para la implementación de
proyectos.

•Los Sistemas Informáticos son reconocidos por el directorio como un

componente clave en el éxito comercial de la compañía, por eso implican
riesgos para el negocio. Con esto quiero de decir que si su área informática es
pequeña COBIT´ puede resultar muy cara en su implementación, por lo
tanto no se justificaría. En el otro extremo si su empresa tranza su acciones
en la Bolsa de New York es prácticamente obligatoria su implementación.