Cobit - PowerPoint PPT Presentation

About This Presentation
Title:

Cobit

Description:

Cobit Presentado por: Mauricio Casillas Ochoa 30 de Sept., 1999 Control interno Es un conjunto de elementos de administraci n Incluye estructuras, procedimientos ... – PowerPoint PPT presentation

Number of Views:115
Avg rating:3.0/5.0
Slides: 43
Provided by: Gusta69
Category:

less

Transcript and Presenter's Notes

Title: Cobit


1
Cobit
Presentado por Mauricio Casillas Ochoa 30 de
Sept., 1999
2
Control Interno
Políticas, procedimientos, prácticas y
estructuras organizacionales diseñadas para
proporcionar una certeza razonable de que los
objetivos de negocio serán alcanzados y que
eventos indeseables serán prevenidos o detectados
y corregidos. ISACA -Control Objectives for
Information and Related Technology (CobiT)
3
Control interno
  • Es un conjunto de elementos de administración
  • Incluye estructuras, procedimientos, políticas,
    gente, etc.
  • Apoya el logro de metas y objetivos de negocio
  • Evita la ocurrencia de eventos negativos

4
COBIT
Un estándar global
5
COBIT
  • Sus antecedentes
  • Su definición
  • Su misión
  • Sus usuarios
  • Sus características generales
  • Sus componentes
  • Su estructura
  • Sus alcances

6
COBIT sus antecedentes
  • La comunidad de profesionistas relacionados con
    TI mostró preocupación por la falta de una guía
    estándar sobre control en TI, que sirviera para
    diferentes grupos de interés
  • La ISACF, como órgano que agrupa a profesionistas
    de distintas áreas de actuación interesadas en el
    control de TI se dió a la tarea de desarrollar un
    cuerpo común de conocimientos sobre la materia

7
COBIT sus antecedentes
  • Integra y concilia normas y reglamentaciones
    existentes
  • ISO
  • Códigos de conducta del consejo europeo
  • COSO, IFAC, IIA, ISACA, AICPA, Etc.
  • Incluye los anteriores Objetivos de Control
    emitidos por la ISACA
  • Se publica en septiembre de 1996

8
COBIT su definición
  • COBIT es en realidad un acrónimo formado por las
    siglas derivadas de Control Objectives for
    Information and Related Technology (objetivos de
    control para tecnología de información y
    tecnologías relacionadas).

9
COBIT su misión
  • Investigar, desarrollar, publicar y promover un
    conjunto internacional, autorizado y actual de
    objetivos de control en tecnología de información
    generalmente aceptados para el uso cotidiano de
    gerentes de empresa y auditores.

10
COBIT su usuarios
  • La alta gerencia puede fundamentar decisiones
    sobre inversiones en TI y el rendimiento de las
    mismas
  • Los usuarios de TI pueden obtener un
    aseguramiento sobre la seguridad y el control de
    productos adquiridos en forma externa
  • Los auditores pueden fundamentar sus opiniones
    sobre el control en TI y su impacto en la empresa
  • Los responsables de TI pueden identificar los
    controles que requieren establecer en su área

11
COBIT sus características
  • Orientación al negocio
  • Alineación con estándares y regulaciones de
    jure y de facto
  • Basado en una revisión crítica de tareas y
    actividades en tecnología de información.
  • Alineamiento con estándares de control y
    auditoría COSO, IFAC, IIA, ISACA, AICPA

12
COBIT los productos
  • Resumen ejecutivo
  • Marco referencial (framework)
  • Objetivos de control
  • Guías de auditoría
  • Herramientas de Implementación
  • CD - ROM
  • COBIT en Español

13
COBIT Resumen ejecutivo
  • El resumen ejecutivo es un documento dirigido a
    la alta gerencia, que presenta los antecedentes y
    la estructura básica de COBIT. Hace una
    descripción general de los procesos, los recursos
    y los criterios de información que determinan la
    columna vertebral de COBIT.

14
COBIT Marco referencial
  • El marco referencial incluye la introducción
    contenida en el resumen ejecutivo, presentando
    las guías de navegación que orientan al lector
    en la exploración del material de COBIT.
  • El Marco Referencial hace una presentación más
    detallada de los 34 objetivos de control de alto
    nivel (34 procesos) para los cuatro dominios.

15
COBIT Objetivos de Control
  • Los objetivos de control integran en su contenido
    el material del resumen ejecutivo y del marco
    referencial. Adicionalmente, presenta objetivos
    de control detallados para cada objetivo de alto
    nivel.
  • Se incluyen de 3 a 30 objetivos detallados por
    cada objetivo de control de alto nivel,
    totalizando 302.

16
COBIT Guías de Auditoría
  • Las guías de auditóría también incorporan el
    resumen ejecutivo y el marco referencial.
  • Hacen una presentación del proceso generalmente
    aceptado de auditoría (obtener entendimiento,
    evaluar los controles, evaluar el cumplimiento y
    substanciar los riesgos). Este documento incluye
    guías detalladas para auditar cada uno de los 34
    objetivos de alto nivel.

17
COBIT Herramientas de Implemetación
  • Proporciona las lecciones aprendidas por aquellas
    organizaciones que se hicieron a la tarea de
    aplicar COBIT en sus ambientes de trabajo.
  • Incluye una guía de implementación con dos
    herramientas útiles Diagnóstico de Conciencia
    Administrativa y Diagnóstico de Control de
    Tecnología de Información, así como Casos de
    Estudio detallados.
  • Además cuenta con las respuestas a las 25 más
    frecuentes preguntas sobre COBIT.

18
COBIT CD ROM
  • El CD ROM de COBIT contiene toda la información
    relacionada con los Objetivos de Control y Guías
    de Auditoría, de tal forma que su búsqueda y
    acceso sea directo. Esto permite contar con las
    guías por objetivo de control, de una forma
    oportuna para la realización de las labores de
    Auditoría.

19
Principios de la Infraestructura
I N F O R M A C I O N
E VENTOS
Datos
Sistemas de Aplicación
TECNOLOGIA
mensaje entrada
servicio salida
INSTALACIONES
GENTE
  • GENTE
  • OBJETOS

20
Marco referencial
PROCESOS DE NEGOCIO
Criterios
  • efectividad
  • eficiencia
  • confidencialidad
  • integridad
  • disponibilidad
  • cumplimiento
  • confiabilidad

INFORMACION
RECURSOS DE TI
  • datos
  • sistemas de aplicación
  • tecnología
  • instalaciones
  • gente

Concuerdan ?
?
21
En resumen ..
PROCESOS DE NEGOCIO
Criterios
  • efectividad
  • eficiencia
  • confidencialidad
  • integridad
  • disponibilidad
  • cumplimiento
  • confiabilidad

COBIT
INFORMACION
RECURSOS DE TI
  • datos
  • sistemas de aplicación
  • tecnología
  • instalaciones
  • gente

PLANEACON Y ORGANIZACION
MONITOREO
ADQUISICION E IMPLEMENTACION
ENTREGA Y SOPORTE
22
Procesos de TI y sus dominios
Definición de un Plan Estratégico de Tecnología
de Información Definición de la Arquitectura de
Información Determinación de la dirección
tecnológica Definición de la Organización y de
las Relaciones de TI Manejo de la Inversión en
Tecnología de Información Comunicación de la
dirección y aspiraciones de la gerencia Administra
ción de Recursos Humanos Aseguramiento del
Cumplimiento de Requerimientos Externos Evaluación
de Riesgos Administración de proyectos Administra
ción de Calidad
Monitoreo de los procesos Evaluar lo adecuado del
Control Interno Obtención de aseguramiento
independiente Proveer una auditoría independiente
RECURSOS DE TI
  • datos
  • sistemas de aplicación
  • tecnología
  • instalaciones
  • gente

PLANEACON Y ORGANIZACION
MONITOREO
ADQUISICION E IMPLEMENTACION
Definición de Niveles de Servicio Administración
de Servicios prestados por Terceros Administración
de Desempeño y Capacidad Aseguramiento de
Servicio Continuo Garantizar la Seguridad de
Sistemas Identificación y Asignación de
Costos Educación y Entrenamiento de
Usuarios Apoyo y Asistencia a los Clientes de
Tecnología de Información Administración de la
Configuración Administración de Problemas e
Incidentes Administración de Datos Administración
de Instalaciones Administración de Operaciones
ENTREGA Y SOPORTE
Identificación de Soluciones Adquisición y
Mantenimiento de Software de Aplicación Adquisició
n y Mantenimiento de Arquitectura de
Tecnología Desarrollo y Mantenimiento de
Procedimientos relacionados con Tecnología de
Información Instalación y Acreditación de
Sistemas Administración de Cambios
23
El Cubo de COBIT
24
Estructura de COBIT
25
Ayudas de Navegación
26
Cómo se relacionan
Recursos de TI
Procesos de trabajo
Requerimientos de negocio
  • Datos
  • Sistemas de Información
  • Tecnología
  • Instalaciones
  • Recursos humanos
  • Planeación y organización
  • Adquisición e implementación
  • Prestación de servicios y soporte
  • Monitoreo
  • Efectividad
  • Eficiencia
  • Confidencialidad
  • Integridad
  • Disponibilidad
  • Cumplimiento
  • Confiabilidad de la información

27
(No Transcript)
28
Recursos de TI
  • Datos Incluye a los objetos de información en su
    sentido más amplio, considerando información
    interna y externa, estructurada y no
    estructurada, gráfica, sonidos, etc.
  • Sistemas Este concepto se entiende como los
    sistemas de información (aplicaciones) que
    integran tanto procedimientos manuales como
    procedimientos programados (basados en
    tecnología)
  • Tecnología Incluye hardware (equipo), sistemas
    operativos, sistemas de administración de bases
    de datos, de redes y de telecomunicaciones,
    multimedia, etc.
  • Instalaciones Incluye los recursos necesarios
    para alojar y dar soporte a los sistemas de
    información.
  • Recursos humanos Este concepto incluye
    habilidades, conciencia y productividad del
    personal para planear, adquirir, prestar
    servicios, proporcionar soporte y monitorear los
    sistemas y servicios de información.

29
Procesos de TI
30
Dominios
  • Planeación y organización - Planning and
    organization -
  • Adquisición e implementación - Acquisition and
    implementation -
  • Prestación de servicios y soporte - Delivery and
    support -
  • Monitoreo - Monitoring -

31
Procesos
  • Planeación y organización
  • Definir un Plan Estratégico de Tecnología de
    Información
  • Definir la Arquitectura de Información
  • Determinar la dirección tecnológica
  • Definir la Organización y las Relaciones de TI
  • Manejar la Inversión en Tecnología de Información
  • Comunicar la dirección y aspiraciones de la
    gerencia
  • Administrar Recursos Humanos
  • Asegurar el Cumplimiento de Requerimientos
    Externos
  • Evaluar Riesgos
  • Administrar proyectos
  • Administrar Calidad

32
Procesos
  • Adquisición e implementación
  • Identificar Soluciones
  • Adquirir y Mantener Software de Aplicación
  • Adquirir y Mantener la Arquitectura de Tecnología
  • Desarrollar y Mantener Procedimientos
    relacionados con Tecnología de Información
  • Instalar y Acreditar Sistemas
  • Administrar Cambios

33
Procesos
  • Prestación de servicio y soporte
  • Definir Niveles de Servicio
  • Administrar Servicios prestados por Terceros
  • Administrar Desempeño y Capacidad
  • Asegurar un Servicio Continuo
  • Garantizar la Seguridad de Sistemas
  • Identificar y Asignar Costos
  • Educar y Entrenar a Usuarios
  • Apoyar y Asesorar a los Clientes de Tecnología de
    Información
  • Administrar la Configuración
  • Administrar Problemas e Incidentes
  • Administrar Datos
  • Administrar Instalaciones
  • Administrar Operaciones

34
Procesos
  • Monitoreo
  • Monitoreo de los procesos
  • Evaluar qué tan adecuado es el Control Interno
  • Obtener aseguramiento independiente
  • Proporcionar Auditoría Independiente.

35
Objetivos de control
  • 3. Prestación de servicio y soporte (dominio)
  • DS.2 Administrar servicios de terceros
    (proceso)
  • 2.3 Contratos con terceros (actividad o
    tarea).

Objetivo de control La gerencia debe definir
procedimientos específicos para asegurar que un
contrato formal es definido y acordado para cada
relación de servicio con un proveedor.
36
Requerimientos de negocio 1/2
  • Efectividad Se refiere a que la información debe
    ser relevante y pertinente para los procesos de
    negocio así como ser proporcionada en forma
    oportuna, correcta, consistente y utilizable.
  • Eficiencia Se refiere a proveer información
    mediante el empleo óptimo (la forma más
    productiva y económica) de recursos.
  • Confidencialidad Se refiere a la protección de
    información sensitiva contra divulgación no
    autorizada.
  • Integridad Se refiere a lo exacto y completo de
    la información así como a su validez de acuerdo
    con los valores y expectativas de la empresa

37
Requerimientos de negocio 2/2
  • Disponibilidad Se refiere a la accesibilidad a
    la información cuando sea requerida por los
    procesos de negocio ahora y en el futuro. También
    se relaciona con la salvaguarda de los recursos
    necesarios y las capacidades asociadas a los
    mismos.
  • Cumplimiento Se refiere al cumplimiento de
    leyes, regulaciones y compromisos contractuales
    con los cuales está comprometida la empresa ej.
    criterios de negocio impuestos en forma externa
  • Confiabilidad de la información Se refiere a
    proveer la información apropiada para que la
    administración opere la empresa y cumpla con sus
    responsabilidades de reportes financieros y de
    cumplimiento normativo.

38
Cómo se relacionan los elementos
Recursos de TI
Procesos de trabajo
Requerimientos de negocio
Incluyen controles que permiten satisfacer los
objetivos de negocio. En caso de que dichos
controles no sean efectivos los requerimientos de
negocio se verán afectados
39
Guías de auditoría
  • Una guía genérica identifica varias tareas a ser
    desarrolladas para evaluar cualquier objetivo de
    control dentro de un proceso.
  • Esta guía genérica extrajo todas las tareas
    repetitivas en una guía a ser aplicada para todos
    los objetivos de control.
  • Otras 34 son sugerencias específicas orientadas a
    cada proceso para proporcionar a la gerencia
    certeza de que los controles existen y trabajan
    adecuadamente.

40
El proceso genérico de auditoría
41
Un proceso de TI es por lo tanto auditado
mediante La obtención de un entendimiento de
los requerimientos de negocio, riesgos
relacionados y medidas relevantes de control.
Evaluación de lo apropiado de los controles
establecidos Evaluando el cumplimiento
mediante pruebas que determinen si los controles
trabajan tal como están prescritos,
consistentemente y en forma contínua.
Substanciando el riesgo del objetivo de
control no alcanzado mediante el empleo de
técnicas analíticas y/o consultando fuentes
alternativas.
42
Por qué adoptar COBIT ?
  • Atención al Control Corporativo
  • Reconocimiento de la Dirección de la necesidad de
    recursos
  • Necesidad específica de Recursos de Control de
    Tecnología de Información
  • Soluciones orientadas al Negocio
  • Bases para la administración del Riesgo
  • Mejora la comunicación entre la Dirección,
    usuarios y auditores.

43
Preguntas ?

Cobit
Elia Fernández Torres Grupo Cynthus Varsovia 57
piso 9 México, D.F. (5 25)514-4154 y 57
Write a Comment
User Comments (0)
About PowerShow.com