cobit - seguridad de la información

Anuncio
CONJUNTO DE HERRAMIENTAS DE IMPLEMENTACION
COBIT®
CONJUNTO DE
HERRAMIENTAS
DE IMPLEMENTACION
3a Edición
Emitido por el Comité Directivo de COBIT y
La Misión de COBIT:
Investigar, desarrollar, publicar y promover un conjunto de objetivos
de control en tecnología de información con autoridad, actualizados,
de carácter internacional y aceptados generalmente para el uso cotidiano
de gerentes de empresas y auditores.
28361 imp toolset.pub
page 1
Tuesday, February 15, 2005 08:17
Composite
ARGENTINA
ARUBA
AUSTRALIA
AUSTRIA
BAHAMAS
BAHRAIN
BANGLEDESH
BARBADOS
BÉLGICA
BERMUDA
BOLIVIA
BOSTSWANA
BRASIL
BRUENI
CANADÁ
CHILE
CHINA
COLOMBIA
COSTA RICA
CROATA
CURAZAO
CYPRUS
REPÚBLICA CHECA
DINAMARCA
REPÚBLICA DOMINICANA
ECUADOR
EGIPTO
ESTONIA
ISLAS FAEROE
FINLANDIA
FRANCIA
ALEMANIA
GHANA
GRECIA
GUAM
GUATEMALA
HONDURAS
HONG KONG
HUNGRÍA
ISLANDIA
INDIA
INDONESIA
IRLANDA
ISRAEL
ITALIA
IVORY COAST
JAMAICA
JAPÓN
JORDÁN
KENYA
COREA
KUWAIT
LATVIA
LEBANON
28361 imp toolset.pub
page 2
INFORMATION SYSTEMS AUDIT AND
CONTROL ASSOCIATION
Una sola Fuente Internacional para los Controles
de la Tecnología de Información
Information Systems Audit and Control
•
su programa de educación profesional
Association es una organización global
ofrece conferencias técnicas y adminis-
líder de profesionales que representa a
trativas en cinco continentes, así como
individuos en más de 100 países y compren-
seminarios en todo el mundo para
de todos los niveles de la tecnología de
ayudar a los profesionistas de todo el
información ⎯ Dirección ejecutiva, media
mundo a recibir educación continúa de
alta calidad.
gerencia y practicantes. La Asociación está
únicamente posesionada para cubrir el
•
su área de publicidad técnica propor-
papel de generador central que armoniza
ciona materiales de desarrollo profe-
los estándares de las prácticas de control
sional y referencias con el fin de au-
de la TI a nivel mundial. Sus alianzas es-
mentar su distinguida selección de
tratégicas con otros grupos dentro del
programas y servicios.
ámbito profesional financiero, contable, de
auditoría y de la TI aseguran un nivel sin
La Information Systems Audit and Control
paralelo de integración y compromiso a los
Association se creó en 1969 para cubrir las
dueños del proceso de negocio.
necesidades únicas, diversas y de alta tecno-
Programas y Servicios
de la Asociación
Los Programas y Servicios de la Asociación
han ganado prestigio al establecer los
niveles más altos de excelencia en certificación, estándares, educación profesional y
publicidad técnica.
•
su programa de certificación (el Auditor de Sistemas de Información Certificado) es la única designación global
en toda la comunidad de control y
auditoría de la TI.
•
las actividades estándares establecen
la base de calidad mediante la cual
otras actividades de control y auditoría
de la TI se miden.
logía en el naciente campo de la TI. En una
industria donde el progreso se mide en
nonasegundos, ISACA se ha movido ágil y
velozmente para satisfacer las necesidades
de la comunidad de negocios internacionales y de la profesión de controles de la TI.
Para más Información
Para recibir información adicional, puede
llamar al (+1.847.253.1545), enviar un email a (research@isaca.org) o visitar nuestra
página
www.Itgovernance.org
www.isaca.org
LIECHTENSTEIN
LITUANIA
LUXEMBURGO
MALASIA
MALTA
MALAWI
MÉXICO
PAÍSES BAJOS
NUEVA GUINEA
NUEVA ZELANDA
NIGERIA
NORUEGA
OMÁN
PAKISTÁN
PANAMÁ
PERÚ
FILIPINAS
POLONIA
PORTUGAL
QATAR
RUSIA
SAIPAN
ARABIA SAUDITA
ESCOCIA
SEYCHELLES
SINGAPUR
REP. ESLOVACA
ESLOVENIA
SUDÁFRICA
ESPAÑA
SRI LANKA
ST. KITTS
ST. LUCIA
SUECIA
SUIZA
SIRIA
TAIWAN
TANZANIA
TASMANIA
TAILANDIA
TRINIDAD & TOBAGO
TURQUÍA
UGANDA
EMIRATOS ARAB
UNIDOS
REINO UNIDO
ESTADOS UNIDOS
URUGUAY
VENEZUELA
VIETNAM
GALES
YEMEN
ZAMBIA
ZIMBABWE
Tuesday, February 15, 2005 08:17
Composite
CONJUNTO DE HERRAMIENTAS DE IMPLEMENTACION
CONTENIDO
Reconocimientos
4
Introducción al Conjunto de Herramientas de
Implementación
5
Resumen Ejecutivo
6
Cuía de Implementación
Cómo Presentatar al COBIT en su Organización
24
Cómo Implementar COBIT en su Organización
32
Diagnósticos de Sensibilización en la
Administración
51
Diagnósticos de Control TI
55
Casos de Estudio COBIT
63
Preguntas Comunes sobre COBIT
71
Apendice I
Directriz de Administración del Gobierno de TI
79
Apéndice II
Descripción del Proyecto COBIT
83
Apéndice III
Material de referencia primaria
84
Apéndice IV
Glosario de Términos
Information Systems Audit and Control Foundation
IT Governance Institute
3701 Algonquin Road, Suite 1010
Rolling Meadows, Illinois 60008 USA.
Teléfono:
1+847.253.1525
Fax:
1+847.253.1443
E-mail:
research@isaca.org
Web sites: www.isaca.org
www.itgi.org
ISBN 1-893209-84-9
(Conjunto de Herramientas de Implementación, Español)
ISBN 1-933284-02-1
(Paquete completo de los 6 libros y CD)
87
Límite de Responsabilidad
La Information Systems Audit and Control Association—ISACA- y el IT
Governance Institute –ITGI- (los propietarios) han creado esta publicación
titulada COBIT: Objetivos de Control para la Información y las
Tecnologías Relacionadas (el “trabajo”) principalmente como un recurso
educativo para los profesionales dedicados a las actividades de control. Los
Propietarios declaran que no responden o garantizan que el uso que se le
de al “Trabajo” asegurará un resultado exitoso. No deberá considerarse que
el “Trabajo” incluye toda la información, los procedimientos o las pruebas
apropiadas o excluye otra información, procedimientos y pruebas que estén
razonablemente dirigidas a la obtención de los mismos resultados. Para
determinar la conveniencia de cualquier información, procedimiento o
prueba específica, los expertos en control deberán aplicar su propio juicio
profesional a las circunstancias específicas presentadas por los sistemas o
por el ambiente de tecnología de información en particular.
Esta edición de COBIT fue traducida al idioma español por Gustavo Adolfo
Solís Montes, Lucio Augusto Molina Focazzio, Johann Tello Meryk y
Rocío Torres Suárez, (los “traductores”). Los traductores asumen la
responsabilidad exclusiva por la actualización y por la fidelidad de la
traducción. La Information Systems Audit and Control Association
(ISACA) y el IT Governance Institute (ITGI) declaran que no responden
por la actualización, totalidad, o por la calidad de la traducción. En ningún
evento ISACA/ITGI será responsable ante un individuo u organización por
los daños causados en relación con la edición del lenguaje, cualquier
actualización, modificación, localización o traducción.
Acuerdo de Licencia de uso (disclosure)
Copyright 1996, 1998, 2000, de la Information Systems Audit and Control Foundation
(ISACF). La reproducción para fines comerciales no está permitida sin el previo
consentimiento por escrito de la ISACF. Se otorga permiso para reproducir el Resumen
Ejecutivo, el Marco Referencial, los Objetivos de Control, las Directrices Gerenciales y el
Conjunto de Herramientas de Implementación para uso interno no comercial, incluyendo
almacenamiento en medios de recuperación de datos y transmisión en cualquier medio,
incluyendo electrónico, mecánico, grabado u otro medio. Todas las copias del Resumen
Ejecutivo, el Marco Referencial, los Objetivos de Control, las Directrices Gerenciales y el
Conjunto de Herramientas de Implementación deben incluir el siguiente reconocimiento y
leyenda de derechos de autor: “Copyright 1996, 1998, 2000 Information Systems Audit and
Control Foundation. Reimpreso con la autorización de la Information Systems Audit and
Control Foundation, y el IT Governance Institute”.
Las Guías/Directrices de Auditoría no pueden ser usadas, copiadas,
reproducidas, almacenadas, modificadas en un sistema de recuperación de datos
o transmitido en ninguna forma ni por ningún medio (electrónico, mecánico,
fotocopiado, grabado u otro medio) sin la previa autorización por escrito de la
ISACF. Sin embargo, las Directrices de Auditoría pueden ser usadas con fines
no comerciales internos únicamente. Excepto por lo indicado, no se otorga
ningún otro derecho o permiso relacionado con esta obra. Todos los derechos de
esta obra son reservados.
Impreso en los Estados Unidos de América
IT GOVERNANCE INSTITUTE
28361 imp toolset.pub
page 3
3
Tuesday, February 15, 2005 08:17
Composite
CONJUNTO DE HERRAMIENTAS DE IMPLEMENTACION
RECONOCIMIENTOS
EQUIPO DEL PROYECTO
ERIK GULDENTOPS, S.W.I.F.T. SC, BÉLGICA
EDDY SCHUERMANS, PRICEWATERHOUSECOOPERS, BÉLGICA
COMITÉ DIRECTIVO DE PROYECTO
ERIK GULDENTOPS, S.W.I.F.T. SC, BÉLGICA
JOHN BEVERIDGE, STATE AUDITOR´S OFFICE, MASSACHUSETTS, USA
PROF. DR. BART DE SCHUTTER, VRIJE UNIVERSITEIT BRUSSELS, CHAIRMAN BRT BELGICA
JOHN LAINHART, PRICEWATERHOUSECOOPERS, USA
AKIRA MATSUO, CHUO AUDIT CORPORATION, JAPON
EDDY SCHUERMANS, PRICEWATERHOUSECOOPERS, BÉLGICA
GARY HARDY, ARTHUR ANDERSEN, REINO UNIDO
PAUL WILLIAMS, ARTHUR ANDERSEN, REINO UNIDO
INVESTIGADORES
PROF. ULRIC J. GELINAS, JR.,
BENTLEY COLLEGE, WATHMAN, MA
REVISORES EXPERTOS
CAPITULO BOSTON DE ISACA
CAPITULO DEL AREA CAPITAL NACIONAL DE ISACA
Agradecimientos Especiales a los miembros de la Mesa Directiva de la Information Systems Audit and
Control Association y a los Fideicomisarios de la Information Systems Audit and Control Foundation,
encabezados por el Presidente Internacional Paul Williams, por su contínuo y firme apoyo al COBIT
4
28361 imp toolset.pub
page 4
IT GOVERNANCE INSTITUTE
Tuesday, February 15, 2005 08:17
Composite
CONJUNTO DE HERRAMIENTAS DE IMPLEMENTACION
La introducción determinante a Los Objetivos de Control
para la Información y las Tecnologías relacionadas
( COBIT) en 1996 dio un marco de referencia a los
tecnológos de la información sobre el gobierno y prácticas
de control de la Tecnología de Información (TI) aplicables
y aceptadas globalmente.
El principal propósito del COBIT es el de presentar una
política clara y una buena práctica para el gobierno de TI a
través de las organizaciones en todo el mundo- para ayudar
a la alta gerencia a comprender y administrar los riesgos
relacionados con TI. COBIT logra esto proporcionando un
marco de referencia del gobierno de TI y las guías
objetivas de control para la administración, los dueños del
proceso, los usuarios y los auditores.
El COBIT inicia con una simple premisa pragmática:
proveer la información necesaria para lograr sus objetivos,
una organización debe administrar sus recursos de TI a
través de un conjunto de procesos agrupados naturalmente.
Los grupos COBIT procesan en una jerarquía simple
orientada al negocio. Cada proceso se relaciona con los
recursos de TI, y los requerimientos de seguridad,
fiduciarios, y de calidad para la información.
Como el COBIT está orientado al negocio, es directo su
uso para comprender los objetivos de control de TI con el
fin de administrar los riesgos del negocio relacionados con
TI de la siguiente forma:
•
inice con los objetivos de su negocio en el Marco de
Referencia,
•
seleccione los procesos y controles de TI adecuados
para su empresa de los Objetivos de Control,
•
opere desde su plan de negocio
•
evalúe sus procedimientos y resultados con las
Directrices.
•
Evalué el estado de su organización identificando
actividades críticas necesarias para el éxito y mida el
desempeño en busca de las metas de la empresa con
Las Directrices Gerenciales.
Inmediatamente después de que el COBIT fue publicado, el
Comité Directivo del COBIT inició evaluando la forma de
cómo se estaban implementando las ‘mejores prácticas
globales’. Este Conjunto de Herramientas de
Implementación es el resultado de sus descubrimientos.
Toma las lecciones aprendidas en aquellas organizaciones
que aplicaron el COBIT rápida y exitosamente y las coloca
en un Conjunto de Herramientas para que las utilicen los
demás. Las Directrices Gerenciales recientemente
desarrolladas introducen nuevos conceptos y herramienta
que abrirán nuevas perspectivas y opciones para introducir
COBIT en la empresa y su uso evolucionará, en la medida
que ellas sean adaptadas a necesidades específicas de cada
organización.
Esas lecciones incluyen consejos para: involucrar a la alta
administración, desde un principio, en las discusiones;
estar preparado para explicar el marco de referencia (tanto
en un nivel general, como un nivel detallado); y citar las
historias de éxitos de otras organizaciones. También se le
pidió al Comité Directivo del COBIT que mejorara sus
explicaciones de los puntos clave y que dieran un
panorama general paso a paso, con ejemplos, de un
proceso de implementación ideal. Así, este Conjunto de
Herramientas de Implementación contiene:
•
Resumen Ejecutivo
•
Guía para la Implementación, incluyendo una muestra
de memorándums y presentaciones
•
Diagnósticos de Sensibilización de la Administración
y Diagnósticos de Control de TI
•
Casos de Estudio describiendo la implementación del
COBIT
•
Las Preguntas más Comunes y las Respuestas
•
Presentaciones de Power Point para implementar/
vender el COBIT
IT GOVERNANCE INSTITUTE
28361 imp toolset.pub
page 5
5
Tuesday, February 15, 2005 08:17
Composite
CONJUNTO DE HERRAMIENTAS DE IMPLEMENTACION
Un elemento crítico para el éxito y la supervivencia de las
organizaciones, es la administración efectiva de la
información y de la Tecnología de Información (TI)
relacionada. En esta sociedad global (donde la información
viaja a través del “ciberespacio” sin las restricciones de
tiempo, distancia y velocidad) esta criticidad emerge de:
z
la creciente dependencia en la información y en los
sistemas que proporcionan dicha información
z
El incremento de vulnerabilidades y un amplio espectro
de amenazas, tales como las ciber amenazas y la guerra
de información
z
la escala y el costo de las inversiones actuales y futuras
en información y en sistemas de información; y
z
el potencial que tienen las tecnologías para cambiar
radicalmente las organizaciones y las prácticas de
negocio, crear nuevas oportunidades y reducir costos
Para muchas organizaciones, la información y la tecnología
que la soporta, representan los activos mas valiosos de la
empresa.
Es más, en nuestro competitivo y rápidamente cambiante
ambiente actual, la gerencia ha incrementado sus expectativas
relacionadas con la entrega de servicios de TI: La
administración requiere el incremento de la calidad,
funcionalidad y facilidad de uso; y el decremento del tiempo
de entrega y un mejoramiento continuo de los niveles de
servicio mientras demanda que esto se logre a menor costo.
Muchas organizaciones reconocen los beneficios
potenciales que la tecnología puede proporcionar. Las
organizaciones exitosas, sin embargo, también comprenden
y administran los riesgos asociados con la implementación
de nueva tecnología.
versus el retorno sobre TI y sus procesos. El gobierno de TI
es integral para el éxito del gobierno de la empresa
asegurando una eficiente y efectiva medición del
mejoramiento en relación con los procesos de la empresa. El
gobierno de TI proporciona la estructura que encadena los
procesos de TI, los recursos de TI y la información de las
estrategias y objetivos de la empresa. Adicionalmente el
gobierno de TI integra e institucionaliza buenas (o mejores)
practicas de planeación y organización, adquisición e
implementación, entrega de servicios y soporte y monitoreo
del desempeño de TI para asegurar que la información de la
empresa y la tecnología relacionada soporte los objetivos del
negocio. El gobierno de TI también ayuda a la empresa a
tomar una ventaja completa de su información maximizando
beneficios, capitalizando sobre sus oportunidades y ganando
ventaja competitiva.
GOBIERNO DE TI
Una Estructura de relaciones y procesos que Direccionan y
controlas la empresa con el fin de lograra las metas de la empresa
añadiendo valor mientras balancea el riesgo vs el retorno sobre TI
y sus procesos
Las organizaciones deben satisfacer requerimiento de calidad,
fiduciarios y de seguridad para su información así como para
todos sus activos. La gerencia debe además optimizar el uso
de los recursos disponibles, incluyendo datos, sistemas de
aplicación, tecnología, instalaciones y personas. Para
descargarse de esas responsabilidades así como también
lograr sus objetivo, la gerencia debe entender el estado de sus
propios sistemas de TI y decidir que seguridad y control
deben proveer.
Hay numerosos cambios en TI en el ambiente operativo que enfatiza
la necesidad de una mejor administración de los riesgos relacionados
con TI. La dependencia de la información electrónica y de los
sistemas de TI es esencial para soportar los procesos críticos de TI.
Adicionalmente, el ambiente regulatorio está obligando a un control
estricto sobre la información. Esto a su vez está llevando al incremento
de la revelación de la información, desastres en los sistemas e
incremento en el fraude electrónico. La administración de los riegos
relacionados con TI esta siendo ahora entendida como una parte clave
del gobierno de la empresa.
Los objetivos de control para la información y la tecnología
relacionada (COBIT), ahora en su tercera edición ayuda a
cumplir con las múltiples necesidades de la gerencia para
colocar un puente sobre las brechas entre los riesgos del
negocio y las necesidades de control y los problemas
técnicos. Provee buenas prácticas a través de un dominio y
un marco referencial de procesos y presenta actividades en
una estructura lógica y manejable. Las “buenas practicas”
significan un consenso de los experto - ellos ayudarán a
optimizar la inversión en la información y proveeran una
medida para hacer un juicio cuando las cosas vayan mal.
Dentro del gobierno de la empresa, el gobierno de TI se está
volviendo cada vez más y más prominente, y está definido
como una estructura de relaciones y procesos para dirigir y
controlar la empresa con el fin de lograr las metas de la
organización añadiendo valor mientras balancea el riesgo
La administración debe asegurar que un sistema de control
interno o un marco de referencia está funcionando y soporta
los procesos del negocio. Y hace claridad en cómo cada
6
28361 imp toolset.pub
page 6
IT GOVERNANCE INSTITUTE
Tuesday, February 15, 2005 08:17
Composite
CONJUNTO DE HERRAMIENTAS DE IMPLEMENTACION
actividad de control individual satisface los requerimientos de
información e impactan los recursos de TI. El impacto sobre
los recursos de TI es resaltado en el Marco de Referencia del
COBIT junto con los requerimientos del negocio que deben
ser satisfechos y que son efectividad, eficiencia,
confidencialidad, integridad, disponibilidad, cumplimiento y
confiabilidad de la información. El control, que incluye
políticas, estructuras organizacionales, prácticas y
procedimientos es responsabilidad de la administración. La
Administración, a través del gobierno de la empresa, debe
asegurar que una debida diligencia sea llevada a cabo por
todos los individuos involucrados en la administración, uso,
diseño, desarrollo, mantenimiento u operación de los sistemas
de información. Un objetivo de control de TI es una
sentencia del resultado deseado o propósito a ser alcanzado
mediante la implementación de procedimientos de control en
una actividad particular de TI.
La orientación a negocios es el tema principal de COBIT.
Esta diseñado no solo para ser utilizado por usuarios y
auditores, sino que en forma más importante, esta diseñado
para ser utilizado como una lista de verificación detallada
para los propietarios de los procesos del negocio. En forma
incremental, las prácticas de negocio requieren de una mayor
delegación y apoderamiento de los dueños de procesos para
que estos posean total responsabilidad de todos los aspectos
relacionados con dichos procesos de negocio. En forma
particular, esto incluye el proporcionar controles adecuados.
El Marco Referencial de COBIT proporciona herramientas al
propietario de procesos del negocio que facilitan el
cumplimiento de esta responsabilidad. El Marco Referencial
comienza con una premisa simple y pragmática:
Con el fin de proporcionar la información que la empresa
necesita para alcanzar sus objetivos, los recursos de TI
deben ser administrados por un conjunto de procesos de
TI agrupados en forma natural.
El Marco Referencial continúa con un conjunto de 34
Objetivos de Control de alto nivel, uno para cada uno de los
Procesos de TI, agrupados en cuatro dominios: planeación &
organización, adquisición & implementación, entrega de
servicios y soporte y monitoreo. Esta estructura cubre todos
los aspectos de información y de la tecnología que la soporta.
Siguiendo estos 34 Objetivos de Control de alto nivel, el
propietario de procesos de negocio podrá asegurar que se
proporciona un sistema de control adecuado para el ambiente
de tecnología de información.
y la información con las estrategias y los objetivos de la
empresa. El Gobierno de TI integra una forma óptima de
planeación & Organización. Adquisición & Implementación,
Entrega de servicios & Soporte y Monitoreo al desempeño de
TI. El Gobierno de TI ayuda a la empresa a tomar total
ventaja completa de su información, maximizando
beneficios, capitalizando oportunidades y ganando ventaja
competitiva.
Adicionalmente, correspondiendo a cada uno de los 34
objetivos de control de alto nivel, existe una guía de auditoría
o de aseguramiento que permite la revisión de los procesos de
TI contra los 318 objetivos detallados de control
recomendados por COBIT para proporcionar a la Gerencia la
certeza de su cumplimiento y/o una recomendación para su
mejora.
Las Directrices Gerenciales de COBIT, el más reciente
desarrollo, mejora fuertemente y ayuda a la gerencia de la
empresa a lograr con mayor efectividad las necesidades y
requerimientos del Gobierno de TI. Las directrices son
acciones orientadas, son genéricas y proporcionan a la
dirección de la administración la obtención de la información
de la empresa y los procesos relacionados bajo control,
mediante el monitoreo del logro de las metas de la
organización, mediante el monitoreo del desempeño en cada
uno de los procesos de TI y a través de la ejecución de
Benchmarking organizacional.
Específicamente, COBIT proporciona Modelos de Madurez
para el control sobre los procesos de TI, de tal forma que la
administración pueda darse cuenta donde está hoy la
organización, donde está en relación con las mejores
prácticas de su clase en la industria y con estándares
internacionales y dónde quiere estar la organización;
Factores Críticos de Éxito que definen las directrices más
importantes para la administración que están orientadas a la
implementación con el objeto de obtener control sobre y
dentro de los procesos de TI; Indicadores Claves de
Objetivo que definen las medidas que le dicen a la
administración - después del hecho - si un proceso ha
satisfecho los requerimientos del negocio; y Indicadores
Claves de Desempeño que son indicadores líder que definen
las medidas de qué también los procesos de TI se están
ejecutando para obtener la meta que se está buscando.
El Marco Referencial de COBIT también proporciona una
guía del Gobierno de TI. El Gobierno de TI proporciona la
estructura que conecta los procesos de TI, los recursos de TI
IT GOVERNANCE INSTITUTE
28361 imp toolset.pub
page 7
7
Tuesday, February 15, 2005 08:17
Composite
CONJUNTO DE HERRAMIENTAS DE IMPLEMENTACION
Las Directrices Gerenciales de COBIT son genéricas y
son acciones orientadas al propósito de responder los
siguientes tipos de preguntas gerenciales: ¿Qué tan
lejos debemos ir y se justifica el costo respecto al
beneficio obtenido? ¿Cuáles son los indicadores de
buen desempeño? ¿Cuáles son los factores críticos de
éxito? ¿Cuáles son los riesgos de no lograr nuestros
objetivos? ¿Qué hacen otros? ¿Cómo nos podemos
medir y comparar?
COBIT además contiene un conjunto de herramientas de
implementación que proporcionan lecciones aprendidas por
empresas que rápida y exitosamente aplicaron COBIT en sus
ambientes de trabajo. Presenta dos herramientas que son
particularmente útiles - diagnóstico de sensibilización
gerencial y diagnóstico de los controles de TI - para
proporcionar asistencia en el análisis del ambiente de
control de TI en la organización.
En los próximos años las Directivas de las organizaciones
necesitarán demostrar cómo alcanzará mayores niveles en
cuanto a seguridad y control. COBIT es una herramienta que
permite a los gerentes cerrar la brecha con respecto a los
requerimientos de control, problemas técnicos y riesgos del
negocio así como comunicar a los dueños y accionistas el
nivel de control alcanzado.
COBIT motiva el desarrollo de políticas claras y buenas
prácticas para el control de TI de toda la organización. Por
lo tanto, COBIT está orientado a ser la herramienta de
gobierno de TI que ayude al entendimiento y a la
administración de riesgos asociados con tecnología de
información y con tecnologías relacionadas.
8
28361 imp toolset.pub
page 8
IT GOVERNANCE INSTITUTE
Tuesday, February 15, 2005 08:17
Composite
CONJUNTO DE HERRAMIENTAS DE IMPLEMENTACION
PROCESOS DE IT DE COBIT DEFINIDOS DENTRO DE LOS CUATRO DOMINIOS
IT GOVERNANCE INSTITUTE
28361 imp toolset.pub
page 9
9
Tuesday, February 15, 2005 08:17
Composite
CONJUNTO DE HERRAMIENTAS DE IMPLEMENTACION
EL MARCO REFERENCIAL DE COBIT
LA NECESIDAD DE CONTROL EN TECNOLOGIA DE
INFORMACION
En años recientes, ha sido cada vez más evidente la
necesidad de un Marco Referencial para la seguridad y el
control en TI. Las organizaciones exitosas requieren una
apreciación y un entendimiento básico de los riesgos y de las
limitantes de TI a todos los niveles de la empresa con el fin
de lograra una dirección efectiva y controles adecuados.
LA ADMINISTRACIÓN debe decidir la inversión
razonable en seguridad y control en TI y cómo lograr un
balance entre riesgos e inversiones en control en un ambiente
de TI frecuentemente impredecible. Aunque la seguridad en
los sistemas de información y los controles ayudan a
administrar los riesgos no los eliminan. Adicionalmente el
nivel exacto de riesgo nunca puede ser conocido y siempre
hay un grado de incertidumbre. Finalmente la administración
debe decidir el nivel de riesgo que esta dispuesta a aceptar.
Juzgando cual nivel puede ser tolerado particularmente
cuando se compara contra el costo, puede ser difícil decisión
para la administración. Por consiguiente, indudablemente la
administración necesita un marco de referencia de las
prácticas de seguridad y control de TI aceptadas
generalmente para llevare a cabo un Benchmark entre lo
existente y lo planeado en el ambiente de TI.
Existe una creciente necesidad entre los USUARIOS de los
servicios de TI de asegurarse a través de la acreditación y de
los servicios de auditoria TI provistos por internas y terceras
partes, que existen seguridades y controles adecuados.
Actualmente, sin embargo, es confusa la implementación de
buenos controles de TI en sistemas de negocios por parte de
entidades comerciales, entidades sin fines de lucro o
entidades gubernamentales. Esta confusión proviene de los
diferentes métodos de evaluación, tales como ITSEC,
TCSEC, evaluaciones ISO9000, nuevas evaluaciones de
control interno COSO, etc. Como resultado, los usuarios
necesitan una base general a ser establecida como primer
paso.
EL AMBIENTE DE NEGOCIOS:
COMPETENCIA, CAMBIO & COSTOS
La competencia global es ya un hecho. Las organizaciones
se reestructuran con el fin de perfeccionar sus operaciones y
al mismo tiempo aprovechar los avances en tecnología de
sistemas de información para mejorar su posición
competitiva. La reingeniería en los negocios, right-sizing, el
outsourcing, el empoderamiento, las organizaciones
horizontales y el procesamiento distribuido son cambios que
impactan la manera en la que operan tanto los negocios
como las entidades gubernamentales. Estos cambios han
tenido y continuarán teniendo, profundas implicaciones para
la administración y las estructuras de control operacional
dentro de las organizaciones en todo el mundo.
La especial atención prestada a la obtención de ventajas
competitivas y a la economía implica una dependencia
creciente en la tecnología como el componente más
importante en la estrategia de la mayoría de las
organizaciones. La automatización de las funciones
organizacionales está, por su naturaleza, dictando la
incorporación de mecanismos de control más poderosos en
los computadores y las redes, tanto basadas en hardware
como en software. Además, las características estructurales
fundamentales de estos controles están evolucionando en la
misma proporción y al mismo “salto de rana” que las
tecnologías de computación y las redes.
Si los administradores, los especialistas en sistemas de
información y los auditores desean en realidad ser capaces
de cumplir con sus tareas en forma efectiva dentro de un
marco contextual de cambios acelerados, deberán aumentar
y mejorar sus habilidades tan rápidamente como lo
demandan la tecnología y el ambiente. Debemos
comprender la tecnología de controles involucrada y su
naturaleza cambiante si deseamos emitir y ejercer juicios
razonables y prudentes al evaluar las prácticas de control que
se encuentran en los negocios típicos o en las organizaciones
gubernamentales
Frecuentemente, los AUDITORES han tomado el liderazgo
en estos esfuerzos internacionales de estandarización, debido
a que ellos enfrentan continuamente la necesidad de
sustentar y apoyar frente a la Gerencia su opinión acerca de
los controles internos. Sin contar con un marco referencial,
ésta se convierte en una tarea demasiado complicada.
Incluso, la administración consulta cada vez más a los
auditores para que la asesoren en forma proactiva en lo
referente a asuntos de seguridad y control de TI.
10
28361 imp toolset.pub
page 10
IT GOVERNANCE INSTITUTE
Tuesday, February 15, 2005 08:17
Composite
CONJUNTO DE HERRAMIENTAS DE IMPLEMENTACION
APARICION DEL GOBIERNO DE LA EMPRESA Y DEL
GOBIERNO DE TI
Para lograr el éxito en esta economía de información, el
Gobierno de la empresa y el Gobierno de TI no pueden ser
consideradas separadamente y en distintas disciplinas. El
gobierno efectivo de la empresa enfoca el conocimiento y
la experiencia en forma individual y grupal, donde puede
ser mas productivo, monitoreado y medido el desempeño
así como provisto el aseguramiento para aspectos críticos.
TI, por mucho tiempo considerada aislada dentro del logro
de los objetivos de la empresa debe ahora ser considerada
como una parte integral de la estrategia.
El Gobierno de TI provee la estructura que une los
procesos de TI, los recursos de TI y las estrategias y
objetivos de la empresa. El Gobierno de TI integra e
institucionaliza de una manera óptima la planeación y
organización, la adquisición e implementación, la entrega
de servicios y soporte y el monitoreo del desempeño de TI.
El Gobierno de TI es integral para el éxito del Gobierno de
la Empresa asegurando una eficiente y efectiva medición
para mejorar los procesos de la empresa. El Gobierno de TI
le permite a la empresa tomar ventaja total de su
información, al maximizar sus beneficios, capitalizar sus
oportunidades y ganar ventaja competitiva.
Observando en el contexto a la empresa y los procesos del
Gobierno de TI con mayor detalle, el gobierno de la
empresa, el sistema por el cual las entidades son dirigidas y
controladas direcciona y analiza el Gobierno de TI. Al
mismo tiempo, TI debería proveer insumos críticos y
constituirse en un componente importante de los planes
estratégicos. De hecho TI puede influenciar las
oportunidades estratégicas de la empresa.
las actividades de la empresa requieren información de las
actividades de TI con el fin de satisfacer los objetivos del
negocio. Organizaciones exitosas aseguran la
interdependencia entre su plan estratégico y sus
actividades de TI. TI debe estar alineado y debe permitir a
la empresa tomar ventaja total de su información para
maximizar sus beneficios, capitalizar oportunidades y
ganar ventaja competitiva.
IT GOVERNANCE INSTITUTE
28361 imp toolset.pub
page 11
11
Tuesday, February 15, 2005 08:17
Composite
CONJUNTO DE HERRAMIENTAS DE IMPLEMENTACION
Las empresas son gobernadas por buenas (o mejores)
prácticas generalmente aceptadas para asegurar que la
empresa cumpla sus metas asegurando que lo anterior esté
garantizado por ciertos controles. Desde estos objetivos
fluye la dirección de la organización, la cual dicta ciertas
actividades a la empresa usando sus propios recursos. Los
resultados de las actividades de la empresa son medidos y
reportados proporcionando insumos para el mantenimiento
y revisión constante de los controles, comenzando el ciclo
de nuevo.
12
28361 imp toolset.pub
page 12
También TI es gobernado por buenas (o mejores)
prácticas para asegurar que la información de la empresa
y sus tecnologías relacionadas apoyan sus objetivos del
negocio, estos recursos son utilizados responsablemente
y sus riesgos son manejados apropiadamente. Estas
prácticas conforman una base para la dirección de las
actividades de TI las cuales pueden ser enmarcadas en la
Planeación y Organización, Adquisición e
Implementación, Entrega de Servicios y Soporte y
Monitoreo para los propósitos duales como son el
manejo de riesgo (para obtener seguridad, confiabilidad
y cumplimiento) y la obtención de beneficios
(incrementando la efectividad y eficiencia). Los reportes
son enfocados sobre los resultados de las actividades de
TI, los cuales son medidos contra diferentes prácticas y
controles y el ciclo comienza otra vez.
IT GOVERNANCE INSTITUTE
Tuesday, February 15, 2005 08:17
Composite
CONJUNTO DE HERRAMIENTAS DE IMPLEMENTACION
Para asegurar que la Gerencia alcance los objetivos de negocios, ésta debe dirigir y administrar las actividades de TI para
alcanzar un balance efectivo entre el manejo de riesgos y los beneficios encontrados. Para cumplir esto, la Gerencia
necesita identificar las actividades mas importantes que deben ser desarrolladas, midiendo el progreso hacia el
cumplimiento de las metas y determinando que tan bien se están desarrollando los procesos de TI. Aun mas, necesita
tener la habilidad de avaluar el nivel de madurez de la organización contra las mejores practicas industriales y los
modelos internacionales. Para soportar estas necesidades la Gerencia necesita las Directrices Gerenciales de COBIT
en las cuales se han identificado Factores Críticos de Exito específicos, Indicadores Claves por Objetivo e
Indicadores Clave de Desempeño y un Modelo de Madurez asociado al Gobierno de TI, como se puede apreciar en
el Apéndice I.
IT GOVERNANCE INSTITUTE
28361 imp toolset.pub
page 13
13
Tuesday, February 15, 2005 08:17
Composite
CONJUNTO DE HERRAMIENTAS DE IMPLEMENTACION
RESPUESTA A LAS NECESIDADES
En vista de estos continuos cambios, el desarrollo de este
Marco Referencial de objetivos de control para TI,
conjuntamente con una investigación continua aplicada a
controles de TI basada en este marco referencial, constituyen
el fundamento para el progreso efectivo en el campo de los
controles de sistemas de información y las tecnologías
relacionadas.
Por otro lado, hemos sido testigos del desarrollo y
publicación de modelos de control generales de negocios
como COSO [Committee of Sponsoring Organisations of the
Treadway Commisssion Internal Control-Integrated
Framework, 1992] en los EUA, Cadbury en el Reino Unido
y CoCo en Canadá y King en Sudáfrica. Por otro lado,
existe un número importante de modelos de control más
enfocados al nivel de tecnología de información. Algunos
buenos ejemplos de esta última categoría son el Security
Code of Conduct del DTI (Department of Trade and
Industry, Reino Unido). Las Directrices de control para
Tecnología de Información del CICA (Canadian Insitute of
Chartered Accountants, Canada) y el Security Handbook de
NIST (National Institute of Standards and Technology,
EUA). Sin embargo, estos modelos de control con
orientación específica no proporcionan un modelo de control
completo y utilizable sobre tecnología de información como
soporte para los procesos de negocio. El propósito de COBIT
es el cubrir este vacío proporcionando una base que esté
estrechamente ligada a los objetivos de negocio, al mismo
tiempo que se enfoca a la tecnología de información.
(El documento que más se acerca al COBIT es una
publicación reciente de AICPA/CICA Systrust TM Principios
y Criterios para la Confiabilidad de los Sistemas. SysTrust
es una autoridad que realiza publicaciones para el Comité
Ejecutivo de Servicios de Aseguramiento de los Estados
Unidos y para el Comité de Desarrollo de Servicios de
Calidad de Canadá, basado en parte en los Objetivos de
Control de COBIT . SysTrust está diseñado para incrementar
el confort de la Administración, los clientes y los socios de
negocios con los sistemas que soportan un negocio o una
actividad en particular. Los servicios de SysTrust incluyen al
contador público proporcionándole un servicio de
aseguramiento en el cual él o ella evalúa y prueba si el
sistema es confiable cuando lo mide contra cuatro principios
esenciales: Disponibilidad, seguridad, integridad y
mantenimiento
nuevos modelos de control y estándares internacionales
relacionados, hicieron evolucionar los Objetivos de
Control de la Information Systems Audit and Control
Foundation y pasar de una herramienta de auditoría, a
COBIT, que es una herramienta para la administración.
Adicionalmente, el desarrollo de las Directrices
Gerenciales de TI ha llevado al COBIT al siguiente nivel
proporcionando a la Administración Indicadores Clave de
Logros (KGIs— Key Goal Indicators), Indicadores Claves
de Desempeño (KPIs— Key Performance Indicators),
Factores Críticos de Éxito (CSFs—Critical Success
Factors) y Modelos de Madurez con los cuales puede
analizar el ambiente de TI y considerar opciones para la
implementación y mejoramiento de los controles sobre la
información de la organización y sus tecnologías
relacionadas.
Por lo tanto, el objetivo principal del proyecto COBIT es el
desarrollo de políticas claras y buenas prácticas para la
seguridad y el control de Tecnología de Información, con
el fin de obtener la aprobación y el apoyo de las entidades
comerciales, gubernamentales y profesionales en todo el
mundo. La meta del proyecto es el desarrollar estos
objetivos de control principalmente a partir de la
perspectiva de los objetivos y necesidades de la empresa.
Esto concuerda con la perspectiva COSO, que constituye
el primer y mejor marco referencial para la administración
en cuanto a controles internos. Posteriormente, los
objetivos de control fueron desarrollados a partir de la
perspectiva de los objetivos de auditoría (certificación de
información financiera, certificación de medidas de control
interno, eficiencia y efectividad, etc.)
AUDIENCIA: ADMINISTRACION, USUARIOS &
AUDITORES
COBIT está diseñado para ser utilizado por tres audiencias
distintas:
ADMINISTRACION:
Para ayudarlos a lograr un balance entre los
riesgos y las inversiones en control en un
ambiente de tecnología de información
frecuentemente impredecible.
USUARIOS:
Un enfoque hacia los requerimientos de negocio en cuanto a
controles para tecnología de información y la aplicación de
14
28361 imp toolset.pub
page 14
Para obtener una garantía en cuanto a la
seguridad y controles de los servicios de
tecnología de información proporcionados
internamente o por terceras partes.
IT GOVERNANCE INSTITUTE
Tuesday, February 15, 2005 08:17
Composite
CONJUNTO DE HERRAMIENTAS DE IMPLEMENTACION
AUDITORES
Para dar soporte a sus opiniones y/o proporcionar
asesoría a la administración sobre controles
internos.
Control se
define como
ORIENTACIÓN A OBJETIVOS DE NEGOCIO
El COBIT está alineado con los Objetivos del Negocio. Los
Objetivos de Control muestran una relación clara y distintiva
con los objetivos del negocio con el fin de apoyar su uso en
forma significativa fuera de las fronteras de la comunidad de
auditoría. Los Objetivos de Control están definidos con una
orientación a los procesos, siguiendo el principio de
reingeniería de negocios. En dominios y procesos
identificados, se identifica también un objetivo de control de
alto nivel para documentar el enlace con los objetivos del
negocio. Adicionalmente, se establecen consideraciones y
guías para definir e implementar el Objetivo de Control de
TI.
Objetivo de
control de TI
se define como
Gobierno de TI se
define como
La clasificación de los dominios a los que se aplican los
objetivos de control de alto nivel (dominios y procesos); una
indicación de los requerimientos de negocio para la
información en ese dominio, así como los recursos de TI que
reciben un impacto primario por parte del objetivo del
control, forman conjuntamente el Marco de Referencia de
COBIT. El Marco de Referencia toma como base las
actividades de investigación que han identificado 34
objetivos de alto nivel y 318 objetivos de control detallados.
El Marco de Referencia fue presentado a la industria de TI y
a los profesionales dedicados a la auditoría para abrir la
posibilidad a revisiones, cambios y comentarios. Las ideas
obtenidas fueron incorporadas en forma apropiada.
Las políticas, procedimientos,
prácticas y estructuras
organizacionales diseñadas para
garantizar razonablemente que los
objetivos del negocio serán alcanzados
y que eventos no deseables serán
prevenidos o detectados y corregidos
Una sentencia del resultado o
propósito que se desea alcanzar
implementando procedimientos de
control en una actividad de TI
particular.
Una estructura de relaciones y
procesos para dirigir y controlar la
empresa con el fin de lograr sus
objetivos al añadir valor mientras se
equilibran los riesgos contra el
retorno sobre TI y sus procesos.
DEFINICIONES GENERALES
Para propósitos de este proyecto, se proporcionan las
siguientes definiciones. La definición de “Control” está
adaptada del reporte COSO [Committee of Sponsoring
Organisations of the Treadway Commission. Internal
Control-Integrated Framework, 1992 y la definición para
“Objetivo de Control de TI” ha sido adaptada del reporte
SAC (Systems Auditability and Control Report, The
Institute of Internal Auditors Research Foundation, 1991 y
1994).
IT GOVERNANCE INSTITUTE
28361 imp toolset.pub
page 15
15
Tuesday, February 15, 2005 08:17
Composite
CONJUNTO DE HERRAMIENTAS DE IMPLEMENTACION
LOS PRINCIPIOS DEL MARCO REFERENCIAL
Existen dos clases distintas de modelos de control disponibles
actualmente, aquéllos de la clase del “modelo de control de
negocios” (por ejemplo COSO) y los “modelos de control más
enfocados a TI” (por ejemplo, DTI). COBIT intenta cubrir la
brecha que existe entre los dos. Debido a esto, COBIT se posiciona
como una herramienta más completa para la Administración y para
operar a un nivel superior que los estándares de tecnología para la
administración de sistemas de información.. Por lo tanto, COBIT
es el modelo para el gobierno de TI.
El concepto fundamental del marco referencial COBIT se refiere a
que el enfoque del control en TI se lleva a cabo visualizando la
información necesaria para dar soporte a los procesos de negocio y
considerando a la información como el resultado de la aplicación
combinada de recursos relacionados con la Tecnología de
Información que deben ser administrados por procesos de TI.
Para satisfacer los objetivos del negocio, la información necesita
concordar con ciertos criterios a los que COBIT hace referencia
como requerimientos de negocio para la información. Al
establecer la lista de requerimientos, COBIT combina los principios
contenidos en los modelos referenciales existentes y conocidos:
principalmente por su aspecto ‘negativo’ (no fallas, confiable, etc.),
lo cual también se encuentra contenido en gran medida en los
criterios de Integridad. Los aspectos positivos pero menos
tangibles de la calidad (estilo, atractivo, “ver y sentir14”, desempeño
más allá de las expectativas, etc.) no fueron, por un tiempo,
considerados desde un punto de vista de Objetivos de Control de
TI. La premisa se refiere a que la primera prioridad deberá estar
dirigida al manejo apropiado de los riesgos al compararlos contra
las oportunidades. El aspecto utilizable de la Calidad está cubierto
por los criterios de efectividad. Se consideró que el aspecto de
entrega (de servicio) de la Calidad se traslapa con el aspecto de
disponibilidad correspondiente a los requerimientos de seguridad y
también en alguna medida, con la efectividad y la eficiencia.
Finalmente, se considera que el Costo queda cubierto por la
Eficiencia.
Para los requerimientos fiduciarios, COBIT no intentó reinventar la
rueda – se utilizaron las definiciones de COSO para la efectividad y
eficiencia de operaciones, confiabilidad de información y
cumplimiento con leyes y regulaciones. Sin embargo, confiabilidad
de información fue ampliada para incluir toda la información – no
sólo información financiera.
Con respecto a los requerimientos de seguridad, COBIT identificó la
confidencialidad, integridad y disponibilidad como los elementos
clave, fue descubierto que estos mismos tres elementos son utilizados
a nivel mundial para describir los requerimientos de seguridad.
Comenzando el análisis a partir de los requerimientos de Calidad,
Fiduciarios y de Seguridad más amplios, se extrajeron siete categorías
distintas, ciertamente superpuestas. A continuación se muestran las
definiciones de trabajo de COBIT:
Efectividad
Requerimientos de
Calidad
Calidad
Costo
Entrega (de servicio)
Eficiencia
Requerimientos
Fiduciarios
(COSO)
Efectividad & eficiencia de operaciones
Confiabilidad de la información
Cumplimiento con leyes y regulaciones
Requerimientos
de Seguridad
Confidencialidad
Integridad
Disponibilidad
La Calidad ha sido considerada
Confidencialidad
Integridad
14
16
28361 imp toolset.pub
page 16
Se refiere a que la información relevante sea
pertinente para el proceso del negocio, así
como a que su entrega sea oportuna,
correcta, consistente y de manera utilizable.
Se refiere a la provisión de información a
través de la utilización óptima (más
productiva y económica) de recursos.
Se refiere a la protección de
información sensitiva contra
divulgación no autorizada.
Se refiere a la precisión y suficiencia de
la información, así como a su validez
de acuerdo con los valores y
expectativas del negocio.
Ver y Sentir (look and feel)
IT GOVERNANCE INSTITUTE
Tuesday, February 15, 2005 08:17
Composite
CONJUNTO DE HERRAMIENTAS DE IMPLEMENTACION
Disponibildad
Cumplimiento
Confiabilidad
de la
Información
Se refiere a la disponibilidad de la
información cuando ésta es requerida
por el proceso de negocio ahora y en el
futuro. También se refiere a la
salvaguarda de los recursos necesarios
y capacidades asociadas.
Se refiere al cumplimiento de aquellas
leyes, regulaciones y acuerdos
contractuales a los que el proceso de
negocios está sujeto, por ejemplo,
criterios de negocio impuestos
externamente.
Aplicaciones
Tecnología
Instalaciones
Gente
Otra forma de ver la relación de los recursos de TI con
respecto a la entrega de servicios se describe a continuación:
Se refiere a la provisión de información
apropiada para la administración con el
fin de operar la entidad y para ejercer
sus responsabilidades de reportes
financieros y de cumplimiento.
Los recursos de TI identificados en
COBIT pueden explicarse/definirse como
se muestra a continuación:
Datos
puede definirse como la inversión en cualquiera de los recursos
mencionados anteriormente. El Marco referencial no
menciona, en forma específica para todos los casos, la
documentación de todos los aspectos “materiales” importantes
relacionados con un proceso de TI particular. Como parte de
las buenas prácticas, la documentación es considerada esencial
para un buen control y, por lo tanto, la falta de documentación
podría ser la causa de revisiones y análisis futuros de controles
compensatorios en cualquier área específica en revisión.
Son objetos en su más amplio sentido,
(por ejemplo, externos e internos),
estructurados y no estructurados,
gráficos, sonidos, etc.
Se entiende como sistemas de aplicación
la suma de procedimientos manuales y
programados.
Con el fin de asegurar que los requerimientos de negocio para
la información son satisfechos, deben definirse, implementarse
y monitorearse medidas de control adecuadas para estos
recursos.
¿Cómo pueden entonces las empresas estar satisfechas
respecto a que la información obtenida presente las
características que necesitan? Es aquí donde se requiere de un
sano marco referencial de Objetivos de Control para TI. El
diagrama mostrado a continuación ilustra este concepto.
La tecnología cubre hardware, software,
sistemas operativos, sistemas de
administración de bases de datos, redes,
multimedia, etc.
Recursos para alojar y dar soporte a los
sistemas de información.
Habilidades del personal, conocimiento,
conciencia y productividad para planear,
organizar, adquirir, entregar, soportar y
monitorear servicios y sistemas de
información.
El dinero o capital no fue considerado
como un recurso para la clasificación de
objetivos de control para TI debido a que
IT GOVERNANCE INSTITUTE
28361 imp toolset.pub
page 17
17
Tuesday, February 15, 2005 08:17
Composite
CONJUNTO DE HERRAMIENTAS DE IMPLEMENTACION
Por lo tanto, el marco referencial conceptual puede ser
enfocado desde tres puntos estratégicos: (1) Criterios de
Información, (2) recursos de TI y (3) procesos de TI. Estos
tres puntos estratégicos son descritos en el Cubo COBIT que se
muestra a continuación:
El Marco Referencial de COBIT consta de Objetivos de
Control de alto nivel y de una estructura general para su
clasificación y presentación. La teoría subyacente para la
clasificación seleccionada se refiere a que existen, en esencia,
tres niveles de actividades de TI cuando consideramos la
administración de sus recursos de TI. Comenzando por la
base, encontramos las actividades y tareas necesarias para
alcanzar un resultado medible. Las actividades cuentan con
un concepto de ciclo de vida, mientras que las tareas son
consideradas más discretas. El concepto de ciclo de vida
cuenta típicamente con requerimientos de control diferentes
a los de actividades discretas. Los procesos se definen
entonces en un nivel superior como una serie de actividades
o tareas conjuntas con “cortes” naturales (de control). Al
nivel más alto, los procesos son agrupados de manera natural
en dominios. Su agrupamiento natural es confirmado
frecuentemente como dominios de responsabilidad en una
estructura organizacional, y está en línea con el ciclo
administrativo o ciclo de vida aplicable a los procesos de TI.
18
28361 imp toolset.pub
page 18
Con lo anterior como marco de referencia, los dominios son
identificados utilizando las palabras que la gerencia utilizaría
en las actividades cotidianas de la organización –y no la
“jerga15” del auditor -. Por lo tanto, cuatro grandes dominios
son identificados: planeación y organización, adquisición e
implementación; entrega y soporte y monitoreo.
IT GOVERNANCE INSTITUTE
Tuesday, February 15, 2005 08:17
Composite
CONJUNTO DE HERRAMIENTAS DE IMPLEMENTACION
Las definiciones para los dominios mencionados son las
siguientes:
Planeación y
organización
Adquisición e
implementación
Entrega
Entrega yy
soporte
soporte
Monitoreo
Este dominio cubre la estrategia y las
tácticas y se refiere a la identificación
de la forma en que la tecnología de
información puede contribuir de la
mejor manera al logro de los objetivos
del negocio. Además, la consecución
de la visión estratégica necesita ser
planeada, comunicada y administrada
desde diferentes perspectivas.
Finalmente, deberán establecerse una
organización y una infraestructura
tecnológica apropiadas.
Para llevar a cabo la estrategia de TI,
las soluciones de TI deben ser
identificadas, desarrolladas o
adquiridas, así como implementadas e
integradas den-tro del proceso del
negocio. Además, este dominio cubre
los cambios y el mantenimiento
realizados a sistemas existentes. Para
asegurar que el ciclo de vida de los
sistemas continua.
En este dominio se hace referencia a la
entrega de los servicios requeridos, que
abarca desde las operaciones
tradicionales hasta el entrenamiento,
pasando por seguridad y aspectos de
continuidad. Con el fin de proveer
servicios, deberán establecerse los
procesos de soporte necesarios. Este
dominio incluye el procesamiento de
los datos por sistemas de aplicación,
frecuentemente clasificados como
controles de aplicación.
Todos los procesos de TI necesitan ser
evaluados regularmente a través del tiempo
para verificar su calidad y suficiencia en
cuanto a los requerimientos de control. Este
dominio también advierte a la
Administración sobre la necesidad de
asegurar procesos de control
independientes, los cuales son provistos
por auditorías internas y externas u
obtenidas de fuentes alternativas.
Debe tomarse en cuenta que estos procesos pueden ser
aplicados a diferentes niveles dentro de una organización. Por
ejemplo, algunos de estos procesos serán aplicados al nivel
corporativo, otros al nivel de la función de TI, otros al nivel
del propietario de los procesos de negocio, etc.
También debe ser tomado en cuenta que el criterio de
efectividad de los procesos que planean o entregan soluciones
a los requerimientos de negocio, cubrirán algunas veces los
criterios de disponibilidad, integridad y confidencialidad. – en
la práctica, se han convertido en requerimientos del negocio.
Por ejemplo, el proceso de “identificar soluciones
automatizadas” deberá ser efectivo en el cumplimiento de
requerimientos de disponibilidad, integridad y
confidencialidad.
Resulta claro que las medidas de control no satisfarán
necesariamente los diferentes requerimientos de información
del negocio en la misma medida.
Primario
es el grado al cual el objetivo de
control definido impacta directamente
el requerimiento de información de
interés.
Secundario
es el grado al cual el objetivo de
control definido satisface únicamente
de forma indirecta o en menor medida
el requerimiento de información de
interés.
Blanco (vacío)
podría aplicarse; sin embargo, los
requerimientos son satisfechos más
apropiadamente por otro criterio en
este proceso y/o por otro proceso.
Similarmente, todas las medidas de control no necesariamente
tendrán impacto en los diferentes recursos de TI en el mismo
grado. Por lo tanto, el Marco Referencial de COBIT indica
específicamente la aplicabilidad de los recursos de TI que son
administrados en forma específica por el proceso bajo
consideración (no por aquellos que simplemente toman parte
en el proceso). Esta clasificación es hecha dentro del Marco
Referencial de COBIT basado en el mismo proceso riguroso de
información proporcionada por los investigadores, expertos y
revisores, utilizando las definiciones estrictas indicadas
previamente.
IT GOVERNANCE INSTITUTE
28361 imp toolset.pub
page 19
19
Tuesday, February 15, 2005 08:17
Composite
CONJUNTO DE HERRAMIENTAS DE IMPLEMENTACION
En resumen, con el fin de proveer la información que la
organización necesita para lograr sus objetivos, el
Gobierno de TI debe ser entrenado por la organización
para asegurar que los recursos de TI serán administrados
por una colección de procesos de TI agrupados
naturalmente. El siguiente diagrama ilustra este concepto
PROCESOS DE TI DE COBIT DEFINIDOS EN LOS CUATRO DOMINIOS
20
28361 imp toolset.pub
page 20
IT GOVERNANCE INSTITUTE
Tuesday, February 15, 2005 08:17
Composite
CONJUNTO DE HERRAMIENTAS DE IMPLEMENTACION
HISTORIA Y ANTECEDENTES DE COBIT
La tercera edición de COBIT es la mas reciente versión de
los Objetivos de Control para la información y sus
tecnologías relacionadas, que fue liberado primero por la
Information Systems Audit and Control Foundation
(ISACF) en 1996. La 2da edición que refleja un
incremento en el número de documentos fuente, una
revisión en el alto nivel y objetivos de control detallados y
la adición del Conjunto de herramientas de
Implementación fue publicado en 1998. La 3a edición
marca el ingreso de un nuevo editor para COBIT: El
Instituto de Gobierno de TI (IT Governance Institute).
El IT Governance Institute fue formado por la Information
Systems Audit and Control Association (ISACA) y su
Fundación asociada en 1998 para avanzar en el
entendimiento y la adopción de principios de gobierno de
TI. Con la adición de las Directrices Gerenciales en la 3a
edición de COBIT y su expansión y mayor cubrimiento
sobre el Gobierno de TI, IT Governance Institute
adquirió un rol de liderazgo en el desarrollo de la
publicación.
Criterios de Calificación para sistemas y procesos de
TI: ITSEC, TCSEC, ISO9000, SPICE, TickIT,
Common Criteria, etc.;
Estándares Profesionales para control interno y
auditoría: reporte COSO, IFAC, IIA, ISACA, GAO,
PCIE, CICA, AICPA, etc.;
Prácticas y requerimientos de la Industria de foros
industriales (ESF, I4) y plataformas patrocinadas por el
gobierno (IBAG, NIST, DTI), etc, y
Nuevos requerimientos específicos de la industria de
la banca, Comercio Electrónico y manufactura de TI.
(Ver Apéndice II, Descripción del Proyecto COBIT;
Apéndice III Material de Referencia Primaria de
COBITy Apéndice IV, Glosario de Términos )
COBIT se basó originalmente en los Objetivos de Control
de la ISACF y ha sido mejorado con las actuales y
emergentes estándares internacionales a nivel técnico,
profesional, regulatorio y específicos de la industria. Los
Objetivos de Control resultantes han sido desarrollados
para su aplicación en sistemas de información de toda la
empresa. El término “generalmente aplicables y
aceptados” es utilizado explícitamente en el mismo
sentido que los Principios de Contabilidad Generalmente
Aceptados (PCGA o GAAP por sus siglas en inglés).
Este estándar es relativamente pequeño en tamaño, con el
fin de ser práctico y responder, en la medida de lo posible,
a las necesidades del negocio, manteniendo al mismo
tiempo una independencia con respecto a las plataformas
técnicas de TI adoptadas en una organización.
Sin excluir ningún otro estándar aceptado en el campo del
control de sistemas de información que pudiera emitirse
durante la investigación, las fuentes han sido identificadas
inicialmente como:
Estándares Técnicos de ISO, EDIFACT, etc.
Códigos de Conducta emitidos por el Council of
Europe, OECD, ISACA, etc.;
IT GOVERNANCE INSTITUTE
28361 imp toolset.pub
page 21
21
Tuesday, February 15, 2005 08:17
Composite
CONJUNTO DE HERRAMIENTAS DE IMPLEMENTACION
EVOLUCIÓN DEL PRODUCTO COBIT
COBIT evolucionará a través de los años y será el
fundamento de investigaciones futuras. Por lo tanto, se
generará una familia de productos COBIT y al ocurrir esto,
las tareas y actividades que sirven como la estructura para
organizar los Objetivos de Control de TI, serán refinadas
posteriormente, también será revisado el balance entre los
dominios y los procesos a la luz de los cambios en la
industria.
22
28361 imp toolset.pub
page 22
Las investigaciones y publicaciones han sido posibles
gracias a contribuciones de PricewaterhouseCoopers, y las
donaciones de los miembros y de los capítulos de ISACA de
todo el mundo. El European Security Forum –ESF
amablemente puso a disposición material para el proyecto.
Adicionalmente La Gartner Group participó en el desarrollo
y proporcionó una revisión de aseguramiento de calidad a
las Directrices Gerenciales.
IT GOVERNANCE INSTITUTE
Tuesday, February 15, 2005 08:17
Composite
CONJUNTO DE HERRAMIENTAS DE IMPLEMENTACION
OBJETIVOS DE CONTROL
TABLA RESUMEN
La siguiente tabla proporciona una indicación, por proceso y dominio de TI, de cuáles criterios de información tienen
impacto de los objetivos de control de alto nivel, así como una indicación de cuáles recursos de TI son aplicables.
IT GOVERNANCE INSTITUTE
28361 imp toolset.pub
page 23
23
Tuesday, February 15, 2005 08:17
Composite
CONJUNTO DE HERRAMIENTAS DE IMPLEMENTACION
CÓMO PRESENTAR COBIT EN SU ORGANIZACIÓN
INTRODUCCIÓN
El COBIT provee las prácticas generalmente aceptadas
para manejar y administrar los recursos de la Tecnología
de Información (TI). El COBIT fue diseñado para tres
audiencias—administración, usuarios y auditores ( o
personas que realizan evaluaciones o valoraciones):
•
Para la administración – El COBIT ayuda a “balancear
las inversiones de control y riesgos en un ambiente de
TI frecuentemente impredecible”.
•
Para los usuarios—el COBIT ayuda a “obtener
aseguramiento en las seguridades y controles de los
servicios de TI proporcionados por las partes internas
y terceras partes”.
•
Para los auditores—el COBIT ayuda a “dar soportar
sus opiniones ante la administración respecto a los
controles internos de TI y a ser asesores de negocios
proactivos”.
Aún más, todas las audiencias pueden usar el COBIT para
guiar las auto- evaluaciones.
Cualquier área funcional de una organización puede ver los
beneficios de usar el COBIT. Los gerentes pueden usar el
COBIT para orientar sus decisiones de inversión en TI y
para tener la seguridad de que están obteniendo los
resultados óptimos de su información y de sus recursos de
TI. Con COBIT, los usuarios tienen la seguridad de que sus
procesos de negocios están bien soportados por sus
servicios de TI. El COBIT es extremadamente valioso para
los auditores al darles los criterios para la revisión e
investigación, y proporcionándoles, a través del marco de
referencia, un enfoque para mejorar la eficiencia y
efectividad de la auditoría. Adicionalmente, con la
introducción de las Directrices Gerenciales, ahora todos
los usuarios obtienen modelos de madurez, factores críticos
de éxito, indicadores claves de resultados/logros e
indicadores claves de desempeño para cada uno de los
procesos de TI identificados por COBIT. En el análisis
final, sin embargo, el COBIT no tiene que empezar como
un proceso de arriba-abajo-- puede empezarse como una
iniciativa de abajo-arriba. No importa cómo llegue uno al
COBIT, se obtienen los máximos beneficios cuando se
adopta el COBIT por consenso de estos tres grupos.
En una organización típica existirá una persona o grupo, el
campeón COBIT, dedicado a la adopción formal del
COBIT en la organización. Para obtener un consenso de la
adopción, el campeón COBIT debe determinar quién debe
ser influenciado y de qué manera para el mejor efecto de
la influencia. Para determinar ese mejor acercamiento, el
24
28361 imp toolset.pub
page 24
campeón tiene que identificar a las personas que elaboran
las políticas de la organización y comprender las
relaciones organizacionales clave y los objetivos. El reto
es ligar la adopción del COBIT a la dirección de la
organización y presentar el hecho de que el COBIT tiene
sentido desde la perspectiva estratégica. Esta Guía de
implementación está diseñada para ayudar al campeón
COBIT a lograr que se adopte COBIT en toda la
organización.
PARA ADOPTAR COBIT, ¿QUIÉN TIENE QUE
SER INFLUENCIADO?
El COBIT es primero, un marco de referencia para la
administración de la información de una organización y la
tecnología relacionada. Por lo tanto, la administración,
especialmente los creadores de la política de TI, juegan un
papel importante para influenciar la adopción del COBIT
en la organización. Los ejemplos de estos creadores de
políticas incluyen al director ejecutivo (CEO), el ejecutivo
senior de TI (CIO o Vice Presidente de IT), y el comité
directivo de TI. Este grupo debe estar muy interesado en
la función que puede jugar el COBIT para asegurar que los
recursos de TI sean dirigidos al logro de los objetivos de la
organización.
Los usuarios de TI de alguna forma podrían tener una
visión más cerrada que los creadores de la política de TI.
Comúnmente están más enfocados en la forma como TI
les ayuda en sus tareas rutinarias del día a día. Sin
embargo, los usuarios también quieren saber que los
recursos de TI se usan inteligentemente y pueden
ayudarlos a lograr sus objetivos. Las personas clave a ser
influenciadas dentro de este grupo incluyen al director
operativo (COO), los dueños de los procesos de negocios,
y los gerentes de área.
Diversas funciones dentro de una organización podrían ser
responsables de la evaluación de TI. Primero, los auditores
proporcionan aseguramiento independiente de que TI es seguro,
está cubriendo las necesidades de la organización, y está operando
de alguna otra forma de manera controlada. Segundo, los usuarios
pueden realizar revisiones periódicamente para ver si están
obteniendo y usando apropiadamente los recursos de TI que ellos
requieren. Por último, la función de TI puede realizar
autoevaluaciones para determinar que están proveyendo un
recurso de TI efectivo y eficiente para la organización. Las
funciones clave a ser influencias en este grupo incluyen auditoría,
el comité de auditoría, dueños de procesos de negocios, y
profesionales de TI y administración.
IT GOVERNANCE INSTITUTE
Tuesday, February 15, 2005 08:17
Composite
CONJUNTO DE HERRAMIENTAS DE IMPLEMENTACION
Las relaciones organizacionales, tanto formales como
personales, así como y el acercamiento global a la
implementación , pueden verse afectadas por aquellos con
quienes el campeón debe formar alianzas . Los siguientes
factores deben considerarse:
1.
2.
3.
4.
¿Cuál es el tamaño y la estructura organizacional de TI?
Grande , centralizada, las organizaciones altas requerirán los
procesos de adopción formal precedido por la aceptación del
nivel superior. Las organizaciones planas podrían ser capaces
de seguir un acercamiento de consenso donde todas las partes
afectadas acuerden las metas a ser logradas y que trabajen en
conjunto para la implementación del COBIT.
¿Cuál es el tamaño y la estructura de la organización
de auditoría? Las implementación de COBIT dentro de
organizaciones grandes de auditoría, con grandes y
separados grupos de auditoría de SI, podría empezar
dentro de la función de auditoría SI, y después
extenderse a sus contrapartes de TI o hasta la gerencia
de auditoría. Este acercamiento puede llevar al
desarrollo del consenso.
¿Cuál es la relación entre TI y auditoría de SI, y entre
auditoría y administración? ¿Cuál es la filosofía de la
organización de auditoría? Las entidades de auditoría
que son consejeros de negocio proactivos, pueden
llegar fácilmente a consensos sobre la adopción del
COBIT. De hecho, el marco de referencia del COBIT,
con énfasis en los procesos de negocios,
administración de los recursos de TI y el logro de los
objetivos del negocio, proporcionarán direcciones
adicionales a esta filosofía de auditoría preexistente,
proactiva y orientada a la administración. Las
entidades de auditorías enfocadas al cumplimiento y
aquellas con menos que relaciones cálidas con sus
clientes de auditoría tendrán que depender de un
mandato para la adopción del marco de referencia del
COBIT. Estos mandatos pueden provenir del director
general y/o del comité de auditoría.
¿Cuánto de TI está contratado externamente? ¿Qué
tan bien administradas están las relaciones con la
tercera parte? Si las relaciones con las terceras partes
están bien administradas, o una parte de TI es
contratación externa, la adopción del COBIT será más
sencilla porque las decisiones se podrán tomar dentro
de la entidad. De otra forma, el respaldo de las
renovaciones del contrato de las terceras partes y las
auditorías externas (ej., SysTrust y revisiones SAS 70
en EUA) pueden ser necesarias para producir
cambios.
5.
¿Hasta qué grado la organización ha aplicado
reingeniería a sus procesos de negocios? ¿Qué está
sucediendo en la organización respecto a la
reingeniería de los procesos del negocio? El COBIT
puede proporcionar información valiosa para quienes
buscan cambiar los procesos de negocios y para las
mejoras a los procesos de negocios. El énfasis del
COBIT en incrementar la información y la información
relacionada al uso de la tecnología dentro de las
organizaciones puede proporcionar una buena guía
práctica para hacer mejoras al proceso.
¿POR QUÉ UNA ORGANIZACIÓN ADOPTA EL
COBIT?
¿Qué puntos de venta se pueden usar para desarrollar un
consenso entre aquellos que toman decisiones clave?
1. Los problemas de alto perfil experimentados por las
organizaciones han enfocado la atención en los
aspectos del gobierno corporativo. Como resultado,
la administración está experimentando mayor presión
para mantener un sistema efectivo de control interno.
Existen requerimientos legales, responsabilidades
fiduciarias, requerimientos contractuales, y presiones
sociales. El COBIT se puede usar para dar una
seguridad razonable a que los objetivos del negocio,
apoyados por TI, se lograrán, y que los riesgos de TI
han sido identificados y las exposiciones residuales
sean manejadas.
2. La administración es responsable por la mayoría de
los recursos de la organización ¿Cómo sabe la
administración que las inversiones de TI son las
óptimas? Las revisiones basadas en el COBIT de la
efectividad de TI pueden ayudar a responder esa
pregunta. Por ejemplo, el COBIT recomienda que los
procesos de TI estén en su lugar para manejar la
compleja tecnología y para planear ante una rápida
obsolescencia de dicha tecnología.
3. Además de lo anterior, los siguientes cuatro factores pueden
motivar a la administración a aceptar el COBIT:
a) Controlando los recursos de TI, el costo global de
los servicios proporcionados por TI podría
reducirse. Las Directrices Gerenciales de COBIT
proporciona las herramientas que permitirán a la
administración llevar a cabo autoevaluaciones y
tomar decisiones para la implementación y el
mejoramiento de los controles sobre su
información y las tecnologías relacionadas. Esas
Directrices apoyarán la alineación de la
organización de TI con las metas de la empresa y
proporcionarán mediciones del desempeño para
asegurar que los objetivos serán logrados.
IT GOVERNANCE INSTITUTE
28361 imp toolset.pub
page 25
25
Tuesday, February 15, 2005 08:17
Composite
CONJUNTO DE HERRAMIENTAS DE IMPLEMENTACION
b) El COBIT reduce los temores de la
administración, la incertidumbre, y las dudas
respecto a que los recursos de TI sean vulnerables
a la exposición y que los objetivos del negocio no
se puedan lograr
c) La adopción del COBIT ayudará a asegurar que la
organización está cumpliendo con las reglas
aplicables, las regulaciones, y las obligaciones
contractuales.
d) Una organización “ COBITizada” puede ser capaz
de diferenciarse a sí mismas de sus competidores,
como lo harían con la certificación ISO 9000,
demostrando que sus operaciones de TI están bien
manejadas y controladas.
4.
5.
6.
7.
Una organización que ha adoptado o está por adoptar
COSO (Internal Control & Integrated Framework)
tiene la oportunidad de adoptar simultáneamente el
COBIT. Las diversas organizaciones reporta que la
implementación conjunta del COSO/ COBIT fue muy
sencilla porque ambos marcos de referencia son muy
complementarios-- el COSO adaptando todos los
elementos relacionados a los controles internos y el
COBIT atendiendo a aquellos específicos a TI.
(Argumentos similares aplican para implementar
CoCo en Canadá, Cadbury en el Reino Unido, y King
en Sudáfrica.)
De la misma manera la alineación de COBIT y
SysTrust ofrecen la oportunidad a la organización de
llevar a cabo autoevaluaciones de sus operaciones de
TI contra los procesos de COBIT antes de someterse a
un exámen SysTrust.
La naturaleza autoritaria en el marco de referencia del
COBIT ha convencido a muchas organizaciones de su
adopción. Los 318 objetivos de control fueron
desarrollados a partir de 41 estándares de seguridad,
auditoría y control y de los recursos proporcionados
por las mejores prácticas en todo el mundo.
En algunas organizaciones, ha habido problemas para
los cuales el COBIT surge como la solución. Por
ejemplo, una organización ha determinado que sus
soluciones de TI no estaban cumpliendo las
necesidades de negocios. Mientras que tenían un
proceso de administración de proyectos adecuado, no
tenían un proceso adecuado del ciclo de vida de
desarrollo de los sistemas. Utilizaron el COBIT como
guía para la implementación de dicho proceso.
26
28361 imp toolset.pub
page 26
8.
La gente en muchas organizaciones que han adoptado
el COBIT reportan que han experimentado mejoras en
la comunicación entre la administración, los usuarios
y los auditores. Los planes de auditorías y los
reportes de auditoría preparados usando el COBIT,
hablando en términos administrativos (ej., orientación
de procesos, Administración de Calidad Total) y para
problemas administrativos (ej., responsabilidad, logro
de los objetivos de negocio).
9. Conforme se reducen las organizaciones, los recursos
para la administración y control se vuelven más
limitadas. El COBIT provee un marco de referencia
para la evaluación de riesgos con el fin de identificar
y administrar las exposiciones relacionadas con TI.
10. Varias organizaciones de auditoría interna y firmas de
contadores públicos han reportado que usando el
COBIT han mejorado sus auditorías integrales. Los
auditores de SI y los que no pertenecen a esta área han
usado el COBIT para coordinar sus objetivos de
auditoría y para comunicar sus descubrimientos de
auditorías.
11. La Directrices Gerenciales de COBIT proporcionan
nuevas herramientas para ayudarle a la empresa y a la
administración de TI a determinar el nivel apropiado
de control sobre TI de tal manera que ésta soporte los
objetivos de la empresa. A través de la definición de
modelos de madurez, factores críticos de éxito,
indicadores clave de objetivo/logros e indicadores
clave de desempeño, esas directrices soportan
autoevaluaciones del estado organizacional
estratégico, y de la identificación de acciones para
mejorar los procesos de TI y monitorear el desempeño
de esos procesos de TI
En breve, la administración busca el aseguramiento razonable de la
contribución de TI a los objetivos del negocio, y busca Benchmarks
para determinar si las operaciones de TI son satisfactorias y que se
continuarán adaptando de manera oportuna a las tendencias en su
ambiente. El COBIT puede usarse para proporcionar dicho
aseguramiento.
CUÁLES SON LAS LIMITACIONES Y ALCANCE
DEL COBIT
Para su implementación exitosa, todos deben tener claro lo
que es el COBIT, para qué aplica, qué puede hacer, qué no
hace y qué no puede hacer. Varios puntos aplican:
1. El COBIT es una manera de pensar—una nueva forma
de pensar en algo. La adopción exitosa requiere de la
orientación, educación y capacitación. Diversos
auditores reportan haber dedicado 40 horas o más en
este proceso.
IT GOVERNANCE INSTITUTE
Tuesday, February 15, 2005 08:17
Composite
CONJUNTO DE HERRAMIENTAS DE IMPLEMENTACION
2.
3.
4.
El COBIT es un marco de referencia que debe
adaptarse a la organización. Por ejemplo, los
procesos de TI del COBIT deben compararse a los
procesos existentes en la organización, los riesgos de
la organización deben revisarse, y las
responsabilidades de los procesos de TI deben
establecerse.
Como una referencia de gobierno, auditoría y control
el COBIT debe utilizarse con otros recursos
incluyendo: guías de auditoría de la industria como
aquellas publicadas por el American Institute of
Certified Publique Accountants (AICPA), o el Federal
Financial Institutions Examination council (FFIEC),
guías generales de control y auditoría como el Manual
de Auditoría Computerized Information Systems (CIS)
de la Information Systems Audit and Control
Foundation, el Systems Reliability Assurance Services
the AICPA/CICA SysTrust, el Systems Auditability
and Control (SAC) del Institute of Internal Auditors,
las guías específicas de la plataforma (ej., aquellas
para hardware como IBM y Sun, y aquellas para
software como Novell, VMS, y Top Secret).
El COBIT no es una colección de controles y
programas de auditoría de TI. Todavía más
importante, el COBIT contiene objetivos de control de
TI que deben ser considerados generalmente por la
mayoría de las organizaciones y las directrices de
auditoría que se pueden usar para evaluar el
desempeño contra aquellos objetivos de control de TI.
Es la identificación y la comprensión de los objetivos
de control de TI de alto nivel que sirven como el
marco de referencia para el control interno y la
selección, implementación y ejercicio de los controles
internos adecuados para cumplir con esos objetivos de
control de TI. El COBIT también permite
indirectamente a los usuarios considerar riesgos con
prioridades que amenazan el logro de los objetivos de
control de TI. Ya que el COBIT construye sobre los
objetivos de control relacionados con la mayoría de
las organizaciones, su uso ayuda a asegurar la
eficiencia de la evaluación ¿Por qué? Porque la
experiencia indica que haciendo un sencillo
acercamiento a un proceso usando una metodología
de “listas de verificación” de controles, resulta
generalmente en una organización añadiendo
controles innecesarios o aquellos que no reducen
ningún riesgo en particular. Por lo tanto tiene sentido
utilizar una herramienta de evaluación que está
construida sobre objetivos de control primero, en los
riesgos significativos y relevantes de TI segundo, y
controles de TI efectivos y relevantes tercero.
5.
6.
Las directrices gerenciales de COBIT son genéricas,
generalmente aplicables como una guía y no proveen
mediciones específicas de la industria. En muchos
casos se requiere que las organizaciones personalicen
estas directrices a su entorno específico.
Como se describió en la sección anterior, “Cómo
Implementar el COBIT en su organización” para
lograr la implementación exitosa, el campeón COBIT
debe identificar a los jugadores clave, sensibilizarlos
respecto al COBIT, dar la educación COBIT, y
capacitar a aquellos que usarán el COBIT.
COBIT: UN PRODUCTO PARA MUCHAS
AUDIENCIAS
La figura 1 sugieren el por qué y cómo se puede usar
efectivamente el COBIT en una variedad de audiencias.
HERRAMIENTAS DE DIAGNÓSTICO PARA LA
SENSIBILIZACIÓN DE LA ADMINISTRACIÓN COBIT
Esta guía de implementación ayuda en la “venta” usando e
implementando el COBIT en cualquier organización. Sin
embargo, una de las tareas más difíciles será atraer la
atención de la alta administración. La guía es por lo tanto
complementada con dos herramientas útiles y
fundamentales para atraer la atención de la administración
y elevar el interés de la administración:
•
Autoevaluación del gobierno de TI
•
Diagnóstico de Sensibilización de TI por parte de la
administración
Estas herramientas ayudan en el análisis, comprensión y
comunicación del ambiente de control de TI de la
organización y los problemas de control.
AUTOEVALUACIÓN DEL GOBIERNO DE TI
La concisa lista de verificación de la Autoevaluación de
Gobierno de TI proporcionada en la sección Diagnóstico
de concientización de la administración, pide a la
administración determinar, para cada uno de los procesos
COBIT:
•
qué tan importante es el proceso para sus objetivos de
negocio;
•
si el proceso está bien realizado (la combinación de
importancia y desempeño provee un fuerte indicador
de riesgo);
•
quién realiza el proceso y quién responde por el
proceso (y es inequívoco y aceptada su
responsabilidad);
•
si el proceso y sus controles están formalizados, ej.,
existe un contrato completo para una actividad
externa o un grupo claro de procedimientos
documentados para los procesos internos; y
IT GOVERNANCE INSTITUTE
28361 imp toolset.pub
page 27
27
Tuesday, February 15, 2005 08:17
Composite
CONJUNTO DE HERRAMIENTAS DE IMPLEMENTACION
•
si el proceso es auditado.
El interés de la administración se fortalece por la
combinación de indicadores de riesgos, grado de
formalidad, claridad en la responsabilidad y compromiso.
Además, los indicadores de riesgo alto combinados con las
respuestas de ‘no sé’ transmiten un fuerte mensaje.
(Ver la sección Diagnóstico de Concientización de la
Administración – Autoevaluación del Gobierno de TI)
CUADRO 1
CUANDO USTED ES...
Gerente ejecutivo
COBIT PUEDE ATENDER LOS SIGUIENTES
ALGUNOS ACERCAMIENTOS ESPECÍFICOS QUE PUEDEN
OBJETIVOS PARA USTED...
PROBAR LA UTILIDAD PARA USTED
Aceptar y promover el COBIT como el
Use el COBIT para complementar los marcos de
modelo general de autoridad de TI para todas referencia de los controles internos existentes
las entidades dentro de la empresa.
(ej., COSO) para los asuntos específicos de TI.
Use el modelo del proceso COBIT para establecer un
lenguaje común entre el negocio y la TI así como para
asignar responsabilidades claras.
Gerente de negocio
Use el COBIT para establecer un modelo de
control común en toda la compañía así como
para manejar y monitorear la contribución de
TI para el negocio.
Use los objetivos de control del COBIT como un código
de buenas prácticas para trabajar con todos los aspectos
de TI dentro de las funciones del negocio.
Use los objetivos de control del COBIT para determinar
los diferentes aspectos que deben cubrirse en el
Acuerdo de Nivel de Servicio
(SLA-Service Level Agreement) acordado con la
función de TI (ya sea interna o externa)
Gerente de TI
Use el modelo de procesos COBIT y los
objetivos de control detallados para
estructurar la función de servicios de TI
dentro de procesos manejables y controlables
enfocándose en la contribución al negocio.
Lo último es el dominio de la calidad,
seguridad y efectividad.
Use el modelo de control de COBIT para establecer
Acuerdos de Nivel de Servicio con el fin de
comunicarse con las funciones del negocio.
Use el modelo de control COBIT como la base de las
medidas de desempeño relacionadas con el proceso.
Use el modelo de control de COBIT como la base para
las políticas y normas relacionadas a la TI.
Use el COBIT como el modelo en la línea base para
establecer el nivel adecuado de objetivos de control
generalmente aceptados así como para las
certificaciones externas (ej., SAS 70).
28
28361 imp toolset.pub
page 28
IT GOVERNANCE INSTITUTE
Tuesday, February 15, 2005 08:17
Composite
CONJUNTO DE HERRAMIENTAS DE IMPLEMENTACION
CUADRO 1 (Cont.)
CUANDO USTED ES...
Gerente de
proyecto
COBIT PUEDE ATENDER LOS SIGUIENTES
OBJETIVOS PARA USTED...
Como el marco de referencia general para los
estándares mínimos del proyecto y de
aseguramiento de calidad.
ALGUNOS ACERCAMIENTOS ESPECÍFICOS QUE PUEDEN
PROBAR LA UTILIDAD PARA USTED
Use el COBIT para ayudar a asegurar que los planes
del proyecto incorporen fases generalmente
aceptadas en la planeación de TI, adquisición y
desarrollo, prestación de servicio, y administración
y evaluación de proyectos.
Desarrollador
Como la guía mínima para los controles a ser
aplicados dentro de los procesos de desarrollo así
como para el control interno a ser integrado en los
sistemas de información que se están creando.
Use el COBIT para asegurar que todos los objetivos
de control de TI en el proyecto de desarrollo se
hayan considerado.
Operaciones
Como un marco de referencia general de los
Use el COBIT para asegurar que las políticas y
controles mínimos a ser integrados en la prestación procedimientos operativos sean lo suficientemente
de servicios y procesos de soporte, colocando un
comprensibles.
enfoque claro en los objetivos del cliente.
Usuario
Como una guía mínima de control interno a ser
integrado dentro de los sistemas de información,
en operación normal o en desarrollo.
Oficial de
seguridad de
información
Un marco de referencia armonioso que propone
Use el COBIT para estructurar el programa de
una forma de integrar la seguridad de la
seguridad de la información, las políticas y los
información con otros objetivos de TI relacionados procedimientos.
con el negocio.
Auditor
Como una influencia para determinar el universo
de auditorías de TI y como referencia de control
de TI.
Use el COBIT para guiar los acuerdos en el nivel de
servicio.
Use el COBIT como los criterios de revisión y
evaluación y para enmarcar las auditorías
relacionadas con la TI.
IT GOVERNANCE INSTITUTE
28361 imp toolset.pub
page 29
29
Tuesday, February 15, 2005 08:17
Composite
CONJUNTO DE HERRAMIENTAS DE IMPLEMENTACION
DIAGNÓSTICO DE SENSIBILIZACIÓN DE TI REALIZADAPOR
LA ADMINISTRACIÓN
La segunda herramienta, el Diagnóstico de Sensibilización
realizada por la Administración, es otra herramienta fuerte
para la administración porque identifica una serie de
intereses administrativos recientes y específicos respecto
de TI (ej., interconectividad, Cliente/Servidor, groupware,
etc.) cuyos procesos deben estar bajo control para enfocar
los intereses surgidos.
En cualquier organización particular, una serie de factores
influenciarán el significado de los controles individuales
dentro de los Objetivos de Control del COBIT. Estos
factores incluyen los riesgos que son particularmente
relevantes para un tipo de negocio y para el ambiente de
TI, como también la función de controles actuales, y
además las áreas donde existe el deseo de mejorar la
eficiencias o reducir los costos globales. Bosquejando las
condiciones conocidas de riesgos o los problemas de
prioridad dentro de la propia organización en el conjunto
de objetivos de control de COBIT, es posible señalar
aquellos que son particularmente relevantes.
PALABRAS CLAVE
PALABRAS CLAVE
PREOCUPACIONES DE LA ADMINISTRACIÓN
SOBRE TI
Administración
PREOCUPACIONES DE TI DE LA ADMINISTRACIÓN
Arquitectura Cliente/Servidor
ALINEADO
Iniciativas de TI en línea con la estrategia del negocio
COORDINADO
Falla en la coordinación de requerimientos
AUTORIDAD/GOBIERNO
Políticas de TI y autoridad corporativa
CONTROL DE ACCESO
Problemas de Control de Acceso
COMPETITIVO
Uso de TI como ventaja competitiva
COMPATIBLE
No compatible con la infraestructura técnica
CONSOLIDADO
Consolidación de la infraestructura de TI
MANEJO DEL USUARIO FINAL
Problemas de administración del usuario final
COSTO DE PROPIEDAD
Reducción de costos por la propiedad de TI
CONTROL DE VERSIÓN
Control de las versiones de software
HABILIDADES REQUERIDAS
Adquisición y desarrollo de habilidades
COSTOS DE PROPIEDAD
Altos costos de propiedad
Internet/Intranet
ACCESO A LA RED
Workgroups y Groupware
Acceso no autorizado a la red corporativa
MENSAJES CONFIDENCIALES Acceso no autorizado a mensajes confidenciales
CONTROL DE CALIDAD
Control de calidad
CONTROL DE ACCESO
Control de acceso
INTEGRIDAD DE TRANSACCIÓN
Pérdida de integridad – transacciones corporativas
PROCEDIMIENTOS
Procedimientos informales
DATOS CONFIDENCIALES
Filtración de datos confidenciales
INTEGRIDAD DE DATOS
Integridad de datos
DISPONIBILIDAD
Interrupción de la disponibilidad del servicio
CONTROL DE CONFIGURCIÓN Control de la configuración
VIRUS
Infección de virus
Soluciones en Paquete de las Empresas
NECESIDADES DE USUARIOS
Administración de la Red
Errores en el cumplimiento con requerimientos de
los usuarios
DISPONIBILIDAD
Disponibilidad
INTEGRADO
Errores para integrar
SEGURIDAD
Seguridad
COMPATIBLE
No compatible con la infraestructura técnica
CONTROL DE CONFIGURACIÓN
Control de configuración
SOPORTE
Problemas con el soporte del distribuidor
MANEJO DE INCIDENTES
Administración de incidentes
COSTO/COMPLEJIDAD
Implementación costosa/compleja
COSTOS
Costos
SOPORTE/MANTENIMIENTO
Soporte y mantenimiento
La matriz de Diagnóstico de la Sensibilización de TI de la
Administración, es un ejemplo de cómo se puede hacer
esto usando los hallazgos de 1997 del Grupo Gartner en
relación a los intereses de la administración respecto a TI.
Los problemas, desarrollados por ISACA dentro de un
grupo de riesgos, han sido mapeados en los 34 objetivos de
30
28361 imp toolset.pub
page 30
control de alto nivel del COBIT, y muestran dónde son
relevantes Los controles. Usando esta técnica, el COBIT
puede enfocarse en reconciliar a la organización y las prioridades de control propias con los argumentos de riesgos
de negocios.
IT GOVERNANCE INSTITUTE
Tuesday, February 15, 2005 08:17
Composite
CONJUNTO DE HERRAMIENTAS DE IMPLEMENTACION
Adicionalmente, las Directrices de Administración de
COBIT proporcionan un paquete completo de herramientas
que permiten a la administración llevar a cabo un
autoanálisis del estado actual de su organización. Estos
incluyen procesos genéricos de administración y
Directrices de Gobierno de TI que aplican a toda la
organización de TI así como a modelos de madurez
específicos de los procesos de TI, factores críticos de éxito,
indicadores claves de resultado e indicadores clave de
desempeño para procesos específicos de TI, que pueden
ser usados para definir la estrategia de mejoramiento de la
organización.
(Vea la sección – Diagnóstico de la Conciencia de la
Administración/Preocupaciones de la Administración
sobre TI)
IT GOVERNANCE INSTITUTE
28361 imp toolset.pub
page 31
31
Tuesday, February 15, 2005 08:17
Composite
CONJUNTO DE HERRAMIENTAS DE IMPLEMENTACION
CÓMO IMPLEMENTAR COBIT EN SU ORGANIZACIÓN
PRESENTACIÓN DE COBIT A LOS JUGADORES CLAVE
Así es que usted es el campeón COBIT. Usted se ha
convertido en el paladín de la adopción del COBIT, ha
identificado a los jugadores clave, y comprende las
relaciones organizacionales formales e informales dentro
de su organización. Ahora, debe convertirse en el
embajador COBIT, quien tiene oficialmente el cargo de
llevar al COBIT a la organización. La adopción exitosa del
COBIT requiere de la conducción de sesiones de
orientación, educación y capacitación. Un proceso
genérico para el embajador se describe a continuación. (Se
podría tener que adaptarlo de acuerdo al alcance que se le
ha dado a la implementación que haya seleccionado.)
El equipo de la alta administración debe recibir una
sesión de orientación de una hora. Usando la
presentación corta de diapositivas ISACA—puede
enfatizar los siguientes elementos:
1. El propósito de un sistema de control interno es para:
(i) “mantener en curso a una organización hacia el
logro de su misión y reducir las sorpresas a lo largo
del camino”, y (ii)”trabajar con los ambientes
cambiantes económicos y competitivos ,
intercambiando las demandas y prioridades de los
clientes , y reestructurando para el futuro
crecimiento” (COSO Resumen Ejecutivo, p.1). Las
organizaciones que adoptan un marco de referencia
de control para que todos los empleados lo adopten,
han demostrado que pueden sobresalir en el
desempeño ante sus competidores en las medidas de
éxito, como rentabilidad, penetración del mercado,
servicio al cliente, y liderazgo en la industria.
2. El control interno está ampliamente definido (por
COSO) como “un proceso, afectado por los
directores del consejo, la administración y demás
personal de una entidad diseñado para proporcionar
una seguridad razonable en cuanto al logro de los
objetivos en las siguientes categorías: eficiencia y
efectividad en las operaciones, confiabilidad de los
reportes financieros, y cumplimiento con las leyes y
legislaciones aplicables” (COSO Resumen Ejecutivo,
p1). COSO define que el control interno está
influenciado principalmente por la gente, y está
“basado en objetivos”. Como tal, todos en la
organización son responsables por la calidad de la
evaluación del control de riesgo. COSO reconoce
que el control es trabajo de todos.
3. El control es definido (por COBIT) como las
políticas, procedimientos, prácticas y estructuras
32
28361 imp toolset.pub
page 32
4.
5.
6.
organizacionales diseñadas para proveer la seguridad
razonable de que los objetivos del negocio se
lograrán y que los eventos indeseables serán
prevenidos y detectados.
[Resume estos tres puntos (1 al 3) estableciendo que
el control interno es un proceso mediante el cual la
administración incrementa la posibilidad de lograr
los objetivos organizacionales mientras minimiza los
riesgos que sucedan cosas malas a lo largo del
camino. COBIT y COSO son marcos de referencia
complementarios atendiendo tanto problemas de TI
como problemas que no son de TI, respectivamente.
(Resúmenes similares podrían ser provistos por
CoCo en Canadá y Cadbury en Reino Unido)]
Revisa el impacto que la tecnología tiene en el
control. Esto es, mientras los objetivos de control y
operativos cambian poco (algunos objetivos de
control específicos de la tecnología cambiarán), son
los métodos de control los que tiene más impacto
directo por parte de los cambios en la tecnología.
Luego, enfatiza que el énfasis del COBIT en los
objetivos de control proporcionarán un marco de
referencia fundamental que proveerá los lineamientos
para aquellos responsables de diseñar, implementar y
ejercitar los controles conforme cambia la tecnología.
El COBIT incluye objetivos de control relacionados a
la tecnología y métodos derivados de 41 referencias
internacionales, aceptadas generalmente, de
seguridad, auditoría y control. [Resume estos dos
puntos (4 y 5) estableciendo que al adoptar el COBIT
como un estándar administrativo y de control de TI, la
organización puede obtener la seguridad razonable de
que sus recursos de TI están dirigidos a lograr los
objetivos organizacionales].
Concluya la sesión de orientación revisando el
contenido del COBIT.
a. En el Marco de Referencia del COBIT se
describe la forma como el COBIT documenta las
relaciones entre los criterios de información, los
recursos de TI y los procesos de TI.
b. En los Objetivos de Control del COBIT se
describen las relaciones entre los 34 objetivos de
control de alto nivel y los 318 objetivos de
control detallados.
c. En las Directrices de Auditoría del COBIT se
revisa la directriz general de la auditoría y la
estructura del proceso de auditoría. Estas
Directrices pueden dirigir la evaluación del
proceso de TI.
IT GOVERNANCE INSTITUTE
Tuesday, February 15, 2005 08:17
Composite
CONJUNTO DE HERRAMIENTAS DE IMPLEMENTACION
d.
En las Directrices Gerenciales se describe como
los modelos de madurez, los factores críticos de
éxito, los indicadores claves de resultados y los
indicadores claves de desempeño pueden ser
usados para ayudarle a la administración a
analizar los procesos de TI contra los 34
procesos de TI que se encuentran en el COBIT y
medio ambiente del gobierno de TI en la
organización.
Los demás jugadores clave deben recibir una sesión de
educación de uno a dos días. Usando la presentación
larga de diapositivas del ISACA, estos talleres de
implementación deben ayudar a la gente a comprender y a
empezar a usar todos los productos del COBIT. (NOTA:
el Taller COBIT de las Series de Seminarios
Profesionales del ISACA [PSS-Professional Seminar
Series] incluye el estudio de casos que complementan la
presentación de diapositivas). La siguiente secuencia se
ha usado con frecuencia. Una o más personas reciben una
introducción sobre el COBIT (entre una hora y 2 días) en
los talleres locales o internacionales que realiza ISACA.
Después, ellos conducen talleres, o involucran a otros a
hacerlo, dentro de la organización. Estos talleres pueden
ser para los auditores de SI, otros auditores,
administración (general, de auditoría y de TI), usuarios y
personal de TI.
4.
5.
para realizar las evaluaciones de riesgo y para guiar
el desarrollo de los planes de auditoría.
Como se explica en la sección siguiente
“Conducción de Auditorías Usando el COBIT”, use
el Marco de Referencia y los Objetivos de Control
del COBIT para planear compromisos de auditorías
específicas.
Como se explica en la sección siguiente
“Conducción de Auditorías Usando el COBIT”,
adapte su programas de auditoría para incluir
actividades de las Directrices de Auditoría del
COBIT.
Las siguientes actividades, documentos e ideas han sido
usados por las organizaciones que han implementando
exitosamente el COBIT. Muchas de éstas serán
adecuadas en cualquier organización.
El Cuadro 2 es un plan de acción para la implementación
desarrollado por un auditor de SI en un banco. Hace
mención especial a los objetivos de implementación y las
metas, además del proceso. Mientras que este plan fue
desarrollado por un auditor de SI, dicho plan pudo haber
sido desarrollado y el memorándum expedido por un
equipo de implementación que incluye a la
administración superior y otros jugadores clave.
Por último, aquellos que usarán realmente el COBIT
pueden requerir una capacitación más extensa para
utilizar efectivamente el COBIT. En la siguiente sección
(Em-pezar a usar el COBIT) describimos las formas en
que se ha implementado el COBIT con éxito. Entre éstas,
existen actividades que pueden usarse para dar
capacitación en el trabajo de la forma como se puede usar
el COBIT.
Al no tener la voluntad o la posibilidad de arrancar una
implementación completa del COBIT, algunas
organizaciones han puesto a funcionar el COBIT
empezando por usarlo en compromisos de auditorías
cuidadosamente elegidos. Estas implementaciones piloto
se usaron entonces para identificar los beneficios de una
implementación COBIT. En todos los casos estas pruebas
han llevado a la completa implementación del COBIT.
Los ejemplos se incluyen en la última sección, “Usando
las Directrices de Auditoría del COBIT”.
EMPEZAR A USAR COBIT
Una vez que usted ha elegido el uso de COBIT en su
organización, considere hacer lo siguiente para formalizar su uso:
1. Especifique en su manual de políticas de auditoría
que el COBIT es un ejemplo de política clara y
buenas prácticas para el control y auditorías de TI
que se usarán para guiar las auditorías conducidas
dentro de la organización.
2. Incluya en el manual de procedimientos de
auditorías la “Directriz Genérica de Auditoría”
incluido en las Directrices de Auditoría del COBIT.
3. Como se explica en la siguiente sección, Evaluación
del Riesgo y Planeación de la Auditoría usando el
COBIT”, utilice el Marco de Referencia del COBIT
Las Directrices Gerenciales de COBIT introducen nuevos
concepto y herramientas que incrementarán la aceptación
y efectividad del COBIT. Su uso abrirá nuevas
perspectivas y nuevas opciones para introducir COBITen
la organización. El volumen de las Directrices
Gerenciales de COBIT incluye una guía de “Como usar”
en su apéndice I. Esta guía inicial es solo un comienzo y
evolucionará basado en la retroalimentación
proporcionada por los profesionales en seguridad y
control quienes implementaran esas recientemente
desarrolladas Directrices. Este conjunto de herramientas
de implementación se actualizarán en futuras ediciones
IT GOVERNANCE INSTITUTE
28361 imp toolset.pub
page 33
33
Tuesday, February 15, 2005 08:17
Composite
CONJUNTO DE HERRAMIENTAS DE IMPLEMENTACION
CUADRO 2—PLAN DE ACCIÓN PARA LA IMPLEMENTACIÓN DE COBIT
OBJETIVO
Obtener la aceptación de los conceptos COBIT así como su integración en nuestra organización de la tecnología incluyendo
Auditorías, Operaciones y Tecnología, y servicios externos.
METAS
1. Continuar proporcionando los servicios esenciales de consultoría para el control y auditoría, mejorados y adaptados
para asegurar la cobertura de los procesos de negocio COBIT, relevantes para la industria bancaria.
2. Asegurar que las necesidades de información del banco estén satisfechas por nuestra organización de tecnología consistentes con los criterios de información identificados en el COBIT..
3. Asegurar que las actividades importantes de planeación y organización identificadas en COBIT estén integradas a la
organización de la tecnología en el banco.
4. Asegurar que las actividades significativas de adquisición e implementación identificadas en COBIT se empleen en el
departamento de Servicios Computacionales y sean incorporadas en el acercamiento a la administración del proyecto
usado en el banco.
5. Asegurar que las actividades importantes de entrega y soporte identificadas en COBIT se provean a los clientes internos del banco mediante nuestro departamento de Servicios de la Red y los distribuidores de servicio externos.
6. Asegurar que los procesos de monitoreo significativos, identificados en COBIT, se empleen en las organizaciones de
auditoría y tecnología del banco.
ALCANCE
SECUENCIA
•
Conocimiento
•
Compromiso
•
•
Adaptación
•
•
Proveedores externos de servicio •
Administración senior
Educación
PROCESO
•
Organización de auditoría
•
Organización de la tecnología
•
Implementación
Comité de Auditoría
Distribuir copias del Resumen Ejecutivo COBIT y una encuesta preliminar (vea en Cuadro 3) a los gerentes clave,
provocando el análisis sobre la organización existente y las ideas sobre la misma.
2. Compilar los resultados de la encuesta y desarrollar una presentación relacionando los conceptos COBIT con los resultados.
3. Presentar al equipo de administración de Operaciones y Tecnología.
4. Presentar al personal de Operaciones y Tecnología.
5. Presentar a los Directivos y al personal clave del proveedor de servicios externo.
6. Ayudar a los gerentes clave en el desarrollo de los planes de acción para integrar los conceptos COBIT a los procesos
de negocios del banco.
7. Presentar los reportes de progreso de los conceptos y actividades COBIT a la alta administración para informar y obtener el compromiso.
8. Reestructurar el inventario de auditorías para reflejar la orientación de un proceso COBIT.
9. Desarrollar y actualizar los programas de auditorías consistentes con las guías de auditorías COBIT.
10. Desarrollar las oportunidades de educación COBIT consistentes con las necesidades organizacionales.
11. Conducir la capacitación COBIT según sea necesario.
12. Monitorear el progreso en los planes de acción de TI.
13. Presentar los conceptos, progreso y resultados COBIT al Comité de Auditoría.
FECHAS CLAVE
1. Mayo—completar la encuesta y los planes de acción
2. Julio—presentar el COBIT a la alta administración
3. Agosto—presentar COBIT al Comité de Auditoría
1.
34
28361 imp toolset.pub
page 34
IT GOVERNANCE INSTITUTE
Tuesday, February 15, 2005 08:17
Composite
CONJUNTO DE HERRAMIENTAS DE IMPLEMENTACION
EVALUACIÓN DEL RIESGO Y PLANEACIÓN DE
AUDITORÍA USANDO COBIT
Las siguientes matrices basadas en el COBIT podrían ser
usadas por el equipo de auditoría durante el trabajo previo
a la auditoría para ayudar a identificar áreas potenciales
para el trabajo de los servicios de asesoría administrativa o
de auditoría. Algunas de las matrices pueden usarse
efectivamente haciendo que un participante de la
administración o dueño del proceso las llene. Bajo esa luz,
el equipo de auditoría debe decidir llenar las formas en
conjunto con los participantes, las matrices pueden servir
para facilitar las discusiones en la entrevista previa a la
auditoría. Algunas de estas discusiones podrían mostrarse
muy útiles para la administración al inicio del compromiso
identificando tempranamente áreas operativas que realizan
funciones de TI que deberían estar sujetas a los estándares
de operaciones o control de la organización, ya que podrían
no estar cumpliéndolos. También puede ayudar a la
administración a asegurar que existen puntos claros de
responsabilidad en todos los procesos de TI, y para
identificar a quién debe entrevistar el equipo de auditoría o
de quién tienen que obtener información. Estas matrices
pueden ayudar al auditor a desempeñar un alto nivel de
evaluación de la documentación del control interno. El
equipo de auditoría debe determinar si la documentación
de control interno ha sido revisada y aprobada por la
administración. La falta de controles documentados para
cualquiera de los procesos de TI debe considerarse como
una bandera roja por la carencia de control, y como una
oportunidad para los servicios de asesoría administrativa.
FORMATO DE TRABAJO PREVIO A LA AUDITORÍA
Propósito: Identificar si el trabajo de auditoría
relacionado al proceso de TI se incluyó dentro del
alcance previo de la auditoría. Si fue así, entonces la
forma requiere que el auditor identifique las
conclusiones derivadas del trabajo previo de auditoría.
El llenado de estas formas presume el uso del COBIT
en compromisos anteriores.
A ser diligenciado por: El equipo de auditoría
durante el trabajo previo a la auditoría antes de llevar a
cabo una visita al sitio de la auditoria en compañía del
auditado.
Discusión: Si el trabajo previo de auditoría resultó en
equivalencia a una opinión limpia, entonces no habrá
descubrimientos en la auditoría que necesiten solución. Ya
que podrían haber también más de un descubrimiento por
proceso de TI, la forma requiere que el auditor identifique el
número de hallazgos y representar su disposición. Si
hubo más de un descubrimiento por proceso, el auditor
debe usar valores numéricos en las columnas
dispuestas para ello.
(Vea Sección Diagnóstico del Control de TI—
Forma de Trabajo Previa a la Auditoría)
FORMATO CORTO DE LA ENTIDAD
Propósito: Identificar qué procesos de TI se
consideran los más importantes y qué tan bien cree la
administración que se están ejecutando.
A ser diligenciado por:
1.a. Administración auditada (TI o no TI) o los
dueños del proceso durante la fase previa a la
auditoría. Si se entrega a una muestra
representativa de administradores en los diversos
departamentos o divisiones, la matriz podría
usarse para identificar las diferencias en la
comprensión de la importancia relativa y el nivel
de desempeño de cada proceso de TI.
b. Si ciertos procesos de TI han sido contratados
externamente, la matriz se puede usar para obtener una
lectura del nivel de satisfacción de la administración o
del dueño del proceso de negocio sobre el servicio
prestado por el proveedor como tercero. Y, de nuevo,
cuando lo concluye una muestra representativa de
administradores en las fronteras organizacionales,
podría proveer algunas ideas de las diversas
percepciones del servicio prestado.
2.
El equipo de auditoría durante la pre auditoría
para registrar su entendimiento de la importancia
relativa y el desempeño de cada proceso de TI.
Lo último podría ser la lectura lograda mediante
la encuesta de la satisfacción del usuario o
podría basarse en los resultados obtenidos de las
evaluaciones al desempeño de la administración.
(La columna “Calificado Formalmente” se
marcaría con ‘S’ para un ‘sí’ y una ‘N’ para un
‘no’, con el fin de indicar si la administración
tiene un proceso para calificar formalmente el
desempeño.)
Discusión: Se puede enviar a los administradores y
dueños de procesos de negocio. Si se envía, las
descripciones de los procesos de TI, tales como
aquellos encontrados en el Marco de Referencia del
COBIT, deben incluirse en la forma. (La “Forma Larga
de Entidad” debe utilizarse cuando la auditoría
obtenga la información de primera mano mediante la
entrevista.)
IT GOVERNANCE INSTITUTE
28361 imp toolset.pub
page 35
35
Tuesday, February 15, 2005 08:17
Composite
CONJUNTO DE HERRAMIENTAS DE IMPLEMENTACION
Esta matriz se puede usar para la evaluación del
riesgo con el fin de responder a la preguntas “¿qué es
importante para nosotros?” y “¿cómo lo estamos
haciendo? Existen ejemplos donde esto se utilizó para
una discusión entre la administración, los auditores y
TI. De manera alternativa, esta matriz se puede
utilizar para recolectar información de estos grupos de
manera separada y para comparar los resultados con el
fin de determinar dónde existen desacuerdos sobre la
importancia y el desempeño. En cualquier caso, esta
matriz puede ser el catalizador de muchas discusiones
útiles. Por ejemplo, donde ningún grupo puede
decidir el nivel de importancia, puede indicar algo de
educación, y, cuando el desempeño de algún proceso
no se puede evaluar, se podría requerir más
investigación.
También, esta matriz se puede usar para iteraciones
múltiples. Usted debe diligenciar primero sólo las
columnas de importancia para determinar el nivel de
desempeño percibido. Algún tiempo después (quizá
una semana) use la matriz de nuevo con las columnas
de desempeño únicamente. Ya que puede ser difícil
valorar las funciones importantes mal realizadas, estos
procesos de dos pasos podrían llevar a valoraciones de
desempeño más útiles.
(Vea la sección Diagnóstico de Los Controles de
TI—Forma Corta de la Entidad)
FORMATO LARGO DE LA ENTIDAD
Propósito: Documentar las evaluaciones de los
dueños de procesos de negocios y la administración
para los cuales los procesos de TI son más
importantes y qué tan bien creen que estos procesos se
estén desempeñando. La forma también hace
referencia a dónde existen controles internos
documentados para los procesos de TI.
A ser diligenciado por: El equipo de auditoría
durante la fase previa a la auditoría. La matriz debe
ser diligenciada en conjunto por la administración y
los dueños de procesos de negocios, en el curso de la
entrevista del auditor, o a través del mismo equipo de
auditoría.
Discusión: El auditor puede obtener beneficios al
comprender el grado en el cual los controles internos
de la administración se documentan en los procesos
de TI. Ya que el equipo de auditoría estará
solicitando copias de los controles documentados
durante la pre auditoría, la referencias del papel de
trabajo debe utilizarse para hacer referencias cruzadas
36
28361 imp toolset.pub
page 36
con las copias de los controles documentados
(manuales de control, procedimientos, estándares,
etc.) o cualquier revisión preliminar realizada.
(Vea la sección Diagnóstico de los Controles de
TI—Forma Larga de la Entidad)
FORMATO DE EVALUACIÓN DEL RIESGO
Propósito: Ayudar al equipo de auditoría en la
identificación de aquellos procesos de TI donde la
auditoría basada en riesgos debe indicar que el trabajo
de auditoría (o el trabajo de servicios de asesoría
administrativa) puede garantizarse.
A ser diligenciado por: ya sea el equipo de auditoría
o la administración, o ambos en conjunto, durante el
trabajo de pre auditoria.
Discusión: El equipo de auditoría debe completar
esto después de que hayan completado la “Forma
Corta de la Entidad”, y “la Forma Larga de la
Entidad” y después de que hayan obtenido y
registrado la suficiente comprensión de la misión de la
organización, los objetivos primarios del negocio, los
factores críticos del éxito, los requerimientos
legislativos o legales (incluyendo los contractuales), y
la estructura de control. El equipo de auditoría podría
haber realizado algunos análisis hasta ahora.
(Vea la sección Diagnóstico de los Controles de TI
– Forma de Evaluación del Riesgo)
FORMATO DE LA PARTE RESPONSABLE
Propósito: Identificar quién realiza cada proceso de
TI y quién tiene la responsabilidad final de cada
proceso.
A ser diligenciado por:
El equipo de auditoría, en conjunto con la
administración auditada, durante la fase previa a la
auditoría.
Se pueden enviar a los administradores o dueños de procesos
de negocios. Si se envía, las descripciones de los procesos de
TI, tales como los encontrados en el Marco de Referencia del
COBIT, debe anexarse a la forma. Vea un ejemplo en el
Anexo 3, Encuesta COBIT.
Discusión: Se sugiere que esta forma se complete
junto con el formato de acuerdos de niveles de
servicio / servicio contratado (SLA) (discutida en la
siguiente sección), con el fin de identificar
IT GOVERNANCE INSTITUTE
Tuesday, February 15, 2005 08:17
Composite
CONJUNTO DE HERRAMIENTAS DE IMPLEMENTACION
plenamente los servicios proporcionados dentro de la
entidad por los Servicios de TI, dentro de la entidad
pero no por los Servicios de TI, o por un proveedor
externo.
Dada la naturaleza penetrante de TI, es probable que
más de un proceso será realizado tanto por personal de
los Servicios de TI como personal ajeno a los Servicios
de TI. Bajo esa luz, el diligenciar la forma en conjunto
con la alta administración traerá luz a la comprensión
de la administración de qué procesos son realizados
por quién. También resaltará el alcance de las
responsabilidades de TI a través de la organización
donde la TI ha adoptado una naturaleza penetrante.
Aunque los procesos de TI y lo que deberían atender
podría ser de algún modo evidente, se recomienda que
el equipo de auditoría esté preparado para presentar un
panorama general a la administración de lo que cubre
cada proceso. También, la forma puede usarse
mientras se entrevista a los administrados de diferentes
departamentos o divisiones a través de la organización
para identificar el punto hasta el cual tienen clara la
idea de cuáles unidades funcionales, internas o
externas, están realizando los procesos de TI.
Aunque la forma requiere que el equipo de auditoría
identifique quién tiene la responsabilidad primaria, debe
considerarse como el punto de partida para las discusiones de
pre auditoría en relación a las responsabilidades asignadas,
puntos de responsabilidad, y las actividades de TI dadas ya
sean descentralizadas o “distribuidas”, el grado de la
estandarización requerida necesaria. Como ejemplo de lo
anterior, si dentro de una organización dada ha habido un
intercambio en el procesamiento de los Servicios de TI a los
departamentos individuales, no significa que los objetivos de
control de seguridad de datos y disponibilidad del sistema
relacionados con los servicios de TI no sigan aplicando. Los
objetivos de control aún se deben atender, pero ahora por
diferentes unidades organizacionales y generalmente con
diferentes estrategias de control.
(Vea la sección Diagnóstico de Control de TI–
Formato “Parte Responsable”)
formales o SLA existen y si los controles estan
documentados para cada proceso de TI “contratado”.
Los procesos de TI Contratados/SLA incluyen:
servicios externos, servicios contratados internamente
(dentro de la organización pero por los Servicios de TI),
y servicios para los cuales existe un SLA interno. La
forma puede ayudar al auditor a identificar las funciones
que han sido “contratadas” sin los contratos o acuerdos
explícitos. De acuerdo con eso, la forma le ayudaría a
identificar las necesidades potenciales de incluir trabajo
de auditoría de contratos/SLA en el alcance de la
auditoría.
A ser diligenciado por: El equipo de auditoría durante
la fase previa a la auditoría.
Discusión: La forma de contrato de servicio /SLA
ayuda al auditor en su evaluación de controles internos.
Antes de evaluar la conveniencia de los controles
definidos, el auditor determinaría la extensión hasta los
controles que están documentados.
(Vea la Sección de Diagnóstico de los Controles de
TI—Formato de Contrato de Servicio/SLA)
EJEMPLO DEL USO DE LAS MATRICES DE PLANEACIÓN
Como una evaluación inicial, al principio de su
implementación del COBIT, un Auditor de SI realizó una
encuesta en un banco. La encuesta, incluida como el
Anexo 3, es una aplicación de la “Forma de la Parte
Responsable”. La encuesta está orientada a aquellos que
reportan directamente al VP de Operaciones y Tecnología.
Las cuatro páginas anexadas a la encuesta se imprimieron
de la base de datos que el Auditor de SI desarrolló usando
los archivos de texto que se incluyen en el paquete DEL
COBIT. Las respuestas de la encuesta indicaron que ¡todos
eran responsables por la mayoría de los procesos del
COBIT! El Auditor de SI atribuyó la ausencia de
responsabilidades claramente asignadas a la falta de
dirección clara del VP. Como resultado de esta encuesta, y
los descubrimientos de una auditoría regulatoria, se agregó
una función de administración de tecnología a la
organización de Operaciones y Tecnología. Esta función
fue una responsabilidad asignada por muchos de los
procesos de Planeación Y Organización del COBIT.
FORMA SLA/SERVICIO CONTRATADO
Propósito: Mientras la matriz de la “Parte Responsable”
indica que uno o más servicios de TI no los realizan los
servicios de TI, esta forma identifica si los contratos
IT GOVERNANCE INSTITUTE
28361 imp toolset.pub
page 37
37
Tuesday, February 15, 2005 08:17
Composite
CONJUNTO DE HERRAMIENTAS DE IMPLEMENTACION
CUADRO 3—ENCUESTA COBIT
MEMORÁNDUM
PARA:
CC:
De:
FECHA:
RE:
Gerente de Servicios de la Red, Gerente de Telecomunicaciones, Supervisor de Programación, Gerente de Operaciones del Centro de Datos, Gerente del Centro de Datos de Confidencialidad
VP Senior de Operaciones y Tecnología, Gerente de Cuenta Externo
Gerente de Auditoría de SI
Marzo 19, 20xx
Procesos de Negocio de TI y Objetivos de Control.
Me gustaría tomarme un momento para presentarles una nueva manera de ver los controles internos en el área de TI; y
solicitar su ayuda en la medida que nos volvemos auditores más proactivos y de apoyo. Nuestro enfoque anterior a los
controles de información y la auditoría de TI tendían a hacer énfasis en los problemas técnicos. La Information Systems
Audit and Control Foundation (ISACF) recientemente publicó a través de su IT Governance Institute la 3a edición de su
documento Objetivos de Control el cual enfoca las guías de control en los criterios de información, procesos de negocios y
Procesos de control y administración de TI.
Este documento, llamado Objetivos de Control para la Información y la Tecnología Relacionada, o COBIT, identifica 34
procesos de negocio de TI importantes dentro de cuatro dominios de la Planeación y Organización (PO), Adquisición e
Implementación (AI), Entrega y Soporte (DS), y Monitoreo (M). Entonces, el COBIT vincula 318 tareas y actividades
diferentes para estos 34 procesos. Cada una de estas actividades, tareas y procesos tienen un componente de control relacionado, al cual se pueden enfocar las actividades de auditoría.
Consecuentemente, el COBIT proporciona una buena oportunidad para que el Auditor de SI haga reingeniería nuestras
auditorías a los procesos de negocios de TI. También, presenta una oportunidad para que los TI realicen una autoevaluación, asegurando que todos los servicios necesarios se están proveyendo al banco. He anexado una copia del Resumen
Ejecutivo del COBIT para sus revisiones (para aquellos de ustedes que todavía no tengan una).
Para iniciar la reingeniería de la función de auditoría, me gustaría saber cómo perciben su propiedad o responsabilidad de
estos procesos de TI. He incluido en este memo una encuesta preliminar el cual lista los 34 procesos y pide a los cuestionados indicar si tienen o no responsabilidad por el proceso. Esto nos ayudaría si obtengo sus repuestas y cualquier idea que
pudieran tener sobre el COBIT, para Marzo 28. Espero encontrar coincidencias y diferencias; mantengan en mente que el
propósito de esta encuesta es desarrollar un diagrama de la posición en la que estamos actualmente. Yo entregaré los resultados así cada uno de ustedes podrá comprender la forma que los demás ven sus actividades en la función de TI.
Me emociona este cambio de enfoque porque nos ayudará a conducir las actividades de Auditoría de SI consistentes en la
forma como ustedes operan la parte del negocios de la función de TI. Podemos realizar auditorías a “procesos” además de
las auditorías de “productos”. Nos podemos concentrar en las mejoras continuas al proceso. Las auditorías pueden abocarse más fácilmente a los riesgos y los criterios de información y tecnología, tales como confidencialidad, integridad, disponibilidad, eficiencia, efectividad, cumplimiento y confiabilidad. Además podemos relacionar los controles con nuestros recursos de datos, sistemas de aplicación, tecnología, gente e instalaciones. En resumen, la auditoría se puede convertir en
mejor recurso para ustedes si utilizamos el COBIT como una herramienta y una guía.
Si existe más personal administrativo que ustedes crean deben completar la encuesta; o si ustedes tienen alguna observación
o duda, o los conceptos COBIT en general, por favor comuníquense conmigo a la extensión xx, o envíenme un mensaje vía
e-mail. Favor de regresar las entrevistas, vía correo interoficinas para Marzo 28. Gracias.
38
28361 imp toolset.pub
page 38
IT GOVERNANCE INSTITUTE
Tuesday, February 15, 2005 08:17
Composite
CONJUNTO DE HERRAMIENTAS DE IMPLEMENTACION
Encuesta Preliminar - Responsabilidades del Proceso de TI para:
Área:
Participante:
ID DEL DOMINIO
ID DEL PROCESO
PO 1
2
3
4
Fecha:
Auditor:
EL ÁREA ES RESPONSABLE DEL
PROCESO DE TI PARA:
LO QUE SATISFACE LOS REQUERIMIENTOS DEL
NEGOCIO
SÍ/NO/
NO SÉ
definir un plan estratégico de
tecnología de información
acertar a un óptimo balance de las oportunidades
en la tecnología de información y los
requerimientos de los negocios de TI así como ________________
asegurar su posterior logro
definir la arquitectura de la
información
optimizar la organización de los sistemas de
información
determinar la dirección
tecnológica
tomar ventaja de la tecnología disponible y
emergente para direccionar y hacer posible la
estrategia del negocio.
definir la organización de TI y prestar los servicios correctos de TI
sus relaciones
________________
________________
________________
5
administrar la inversión de TI
asegurar los fondos y controlar los desembolsos
de los recursos financieros
________________
6
comunicar los objetivos y
aspiraciones de la gerencia
asegurar la concientización del usuario y la
comprensión de las metas
7
8
________________
administración de recursos
humanos
Adquirir y mantener una fuerza de trabajo
competente y motivada y maximizar las
________________
contribuciones del personal a los procesos de TI
asegurar el cumplimiento de los cumplir con las obligaciones contractuales,
requerimientos externos
legales y legislativas
________________
9
evaluar los riesgos
10
administración de proyectos
11
administración de la calidad
Soportar las decisiones administrativas a través
del logro de los objetivos de TI y responder a las ________________
amenazas reduciendo la complejidad,
incrementando la objetividad e identificando
factores de decisión importante
establecer prioridades y entregar a tiempo dentro
del presupuesto
________________
cumplir con los requerimientos del cliente de TI
________________
Notas y Comentarios:
IT GOVERNANCE INSTITUTE
28361 imp toolset.pub
page 39
39
Tuesday, February 15, 2005 08:17
Composite
CONJUNTO DE HERRAMIENTAS DE IMPLEMENTACION
COMO IMPLEMENTAR COBIT EN SU ORGANIZACION, (continuación)
CUADRO 3 (cont.)
ID DEL DOMINIO
ID DEL PROCESO
AI1
EL ÁREA ES RESPONSABLE DEL
PROCESO DE TI PARA:
LO QUE SATISFACE LOS REQUERIMIENTOS DEL
Identificar las soluciones
automatizadas
Asegurar un efectivo y eficiente acercamiento
para satisfacer los requerimientos de los
usuarios
NEGOCIO
SÍ/NO/
NO SÉ
________________
__________
2
Adquirir y mantener el software Proveer las funciones automatizadas que
de aplicaciones
soporten efectivamente los procesos del negocio ________________
3
Adquirir y mantener la
infraestructura tecnológica
Proveer las plataformas apropiadas para
soportar las aplicaciones de negocios
Desarrollar y mantener los
procedimientos
Asegurar que el uso adecuado de las
aplicaciones y las soluciones tecnológicas
tengan lugar
Verificar y confirmar que la solución esté
adaptada al propósito pretendido
_______________
4
5
6
Instalar y acreditar los sistemas
Administrar cambios
Minimizar la posibilidad de interrupciones,
alteraciones no autorizadas, y los errores
________________
________________
________________
_______________
________________
_______________
Notas y Comentarios:
40
28361 imp toolset.pub
page 40
IT GOVERNANCE INSTITUTE
Tuesday, February 15, 2005 08:17
Composite
CONJUNTO DE HERRAMIENTAS DE IMPLEMENTACION
ID DEL DOMINIO
ID DEL PROCESO
DS1
2
EL ÁREA ES RESPONSABLE
DEL PROCESO DE TI PARA:
Definir y administrar los
niveles
de servicio
Administrar los servicios con
terceros
LO QUE SATISFACE LOS REQUERIMIENTOS DEL SÍ/NO/
NO SÉ
NEGOCIO
Establecer una comprensión común del nivel de
servicio requerido
________________
Asegurar que las funciones y responsabilidades
de terceros estén claramente definidas, adheridas
y continúen satisfaciendo los requerimientos
________________
3
Administrar el desempeño y la Asegurar que la capacidad adecuada esté disponible
capacidad
y que se haga el mejor y óptimo uso para cumplir
con las necesidades de desempeño requeridas
________________
4
Asegurar el servicio continuo Tener la seguridad de que los servicios de TI
estén disponibles cuando se requieran y asegurar ________________
un impacto mínimo en el negocio en el evento de
una interrupción mayor
Asegurar la seguridad del
Salvaguardar la información contra el uso no
sistema
autorizado, divulgación o modificación, daño o ________________
pérdida.
Identificar y atribuir costos
Asegurar una atención correcta a los costos
atribuibles a los servicios de TI.
________________
5
6
7
Educar y entrenar a los
usuarios
Asegurar que los usuarios estén haciendo un uso
efectivo de la tecnología y estén conscientes de
los riesgos y responsabilidades involucradas
________________
8
Ayudar y aconsejar a los
clientes
Asegurar que cualquier problema experimentado
por el usuario se resuelva apropiadamente
________________
9
Administrar la configuración
Responder por todos los componentes de TI,
prevenir las alteraciones no autorizadas, verificar
la existencia física y proveer una base para la
buena administración de cambio.
________________
10
Administrar los problemas e
incidentes
Asegurar que los problemas e incidentes se
resuelvan y sus causas sean investigadas para
prevenir cualquier recurrencia.
________________
11
Administración de datos
12
Administración de instalaciones Proveer un entorno físico adaptable el cual proteja al
13
Administración de operaciones Asegurar que las importantes funciones de
soporte de TI se realicen regularmente y de forma ________________
ordenada
Asegurar que los datos permanezcan completos,
precisos y válidos durante su captura, procesamiento y ________________
almacenamiento
equipo y personas de TI contra los peligros naturales y
provocados por el hombre
________________
Notas y Comentarios:
IT GOVERNANCE INSTITUTE
28361 imp toolset.pub
page 41
41
Tuesday, February 15, 2005 08:17
Composite
CONJUNTO DE HERRAMIENTAS DE IMPLEMENTACION
COMO IMPLEMENTAR COBIT EN SU ORGANIZACION, (continuación)
CUADRO 3 (cont.)
ID DEL
DOMINIO
ID DEL
PROCESO
M1
EL ÁREA ES RESPONSABLE
DEL PROCESO DE TI PARA:
LO QUE SATISFACE LOS REQUERIMIENTOS DEL SÍ/NO/
NO SÉ
NEGOCIO
Monitorear los procesos
Asegurar el logro de los objetivos definidos para
los procesos de TI
________________
Evaluar la conveniencia de
los controles internos
Asegurar el cumplimiento de los objetivos de
control interno para los procesos de TI
3
Obtener el aseguramiento
independiente
Incrementar los niveles de confianza y
credibilidad entre la organización, los clientes y
los proveedores como terceros
________________
4
Proveer auditoría
independiente
Incrementar los niveles de confianza y los
beneficios a partir de las recomendaciones de las
mejores prácticas
2
________________
________________
Notas y Comentarios:
42
28361 imp toolset.pub
page 42
IT GOVERNANCE INSTITUTE
Tuesday, February 15, 2005 08:17
Composite
CONJUNTO DE HERRAMIENTAS DE IMPLEMENTACION
Usando la matriz en el Anexo 4, otro auditor de SI en una
organización diferente mapeó los 34 objetivos de control
de alto nivel de COBIT para las políticas de SI, los
procedimientos y los estándares en su organización. Hubo
un proceso iterativo conforme el auditor de SI
gradualmente descubría las políticas documentadas.
Inicialmente una recompensa cuantitativa, este proceso
continuaba en la organización con una evaluación de la
calidad y la conveniencia de las políticas existentes, los
procedimientos y los estándares. Esta es una adopción de
la “Forma Larga de Entidad “ con entradas en la columna
que hace la referencia cruzada con las políticas y
procedimientos existentes que representan la
documentación de los controles.
CUADRO 5: USO DE COBIT PARA LA
EVALUACIÓN DE RIESGOS
Área de
Auditoría
Factores: Fecha de última auditoría,
Criterios de información, recursos de TI,
quejas/solicitudes, riesgo $
Rangos de riesgo –10 a +10
Totales por cada proceso y luego totalizado por cada área de auditoría
CUADRO 4: REVISIÓN DE POLÍTICAS,
34 Procesos de
COBIT
PO1
PO2
•
•
•
M4
Políticas & Procedimientos de TI
A B C D E F - - -
A = Atender Objetivos COBIT
C = Puede Proveer los controles
deseados
E = Evaluar (pruebas de cumplimiento)
R = Reporte • Conclusión positiva
• Hallazgos
PROCEDIMIENTOS Y ESTÁNDARES
Otro Auditor de SI, en una organización diferente, utilizó
el COBIT para evaluar los riesgos y escoger aquellas áreas
de auditorías que requerían su atención. El Anexo 5
representa la matriz que él usó para esta valoración.
Advierta que los Criterios de Información del COBIT y los
Recursos de TI jugaron un papel preponderante en esta
valoración. Esta matriz combina los elementos de las
formas “Trabajo Previo a la Auditoría” y “Evaluación de
Riesgos”.
En otra organización, un auditor de SI y profesional de TI
reunió al equipo para usar la matriz representada en el
Anexo 6 con el fin de enfocar su atención a aquellas áreas
que requerían políticas, procedimientos o estándares
adicionales, o atención especial en la auditoría durante el
año. Esta es una adaptación de la forma de “Evaluación
del Riesgo”.
CUADRO 6: EVALUACIÓN DEL RIESGO
En una organización de auditoría, los auditores de SI
estaban usando los 34 procesos del COBIT para valorar su
cobertura de auditoría existente y planeada (vea el Cuadro
7). Querían saber cuánto esfuerzo de auditoría se dedicaba
a qué tipos de procesos de TI y si algún proceso de TI era
problemático (ej., muchos hallazgos de auditoría).
Además, querían saber qué entidades habían recibido, o
recibirían, auditorías y qué tipos de auditorías (ej., qué
procesos de TI) se habían realizado o se realizarían.
34
Procesos
de COBIT
Alto
Medio
Bajo
Notas
PO1
PO2
•
•
•
M4
IT GOVERNANCE INSTITUTE
28361 imp toolset.pub
page 43
Nivel del Riesgo Evaluado
43
Tuesday, February 15, 2005 08:17
Composite
CONJUNTO DE HERRAMIENTAS DE IMPLEMENTACION
CUADRO 7: PLANEACION DE LA
AUDITORIA
34 Procesos de
COBIT
PO1
PO2
•
•
•
M4
Auditorías (o entidades auditadas)
A B C D E F - - -
2.
S = Encuesta previa a la auditoría
A = Auditoría
R = Reporte • Conclusión positiva
• Hallazgos
3.
En resumen, todas estas actividades de Benchmarking/
evaluaciones/planeación proporcionaron información
adicional a la organización, como:
•
Se requieren políticas, procedimientos o estándares
adicionales (o documentados).
•
Los procesos de TI (o controles) deben agregarse o
eliminarse.
•
Las responsabilidades por los procesos de TI deben
ser asignadas o reasignadas.
•
Existen riesgos que tienen que ser considerados.
•
Existen funciones internas o externas que tienen que
manejarse mejor.
•
Existen auditorías que tienen que realizarse.
Conducción de Auditorías Usando COBIT
Lo siguiente nos describe de forma señalada de cómo las
diversas piezas del COBIT y las evaluaciones de riesgo y
matrices de planeación descritas anteriormente se pudieran
usar en un proceso de auditoría “típico”.
1. Un Paso Opcional. Si es necesario, seleccione el tipo
de compromiso de auditoría para la entidad a ser
auditada. Los siguientes son tipos de auditorías que
podrían realizarse: financiera, de desempeño,
cumplimiento, TI (instalaciones, sistemas en desarrollo,
revisión posterior a la implementación, planeación &
organización, servicios de consultoría administrativa),
auditoría integrada, procedimientos de acuerdo, etc.
Estos tipos de auditorías no son mutuamente exclusivos.
Una evaluación de riesgo usando el Marco de
Referencia del COBIT y las herramientas similares a las
44
28361 imp toolset.pub
page 44
4.
5.
matrices de “Forma Corta de Entidad”, “Parte
Responsable”, y “Servicios de contratos/SLA”
explicadas anteriormente podrían facilitar la selección
del tipo de compromiso en la auditoría.
Refinar el Alcance y Determinar los Objetivos de
la Auditoría. Habiendo elegido una entidad y un tipo
de compromiso para la auditoría, es momento de usar
los objetivos de control detallados del COBIT (de los
Objetivos de Control del COBIT) para obtener ideas
adicionales de los procesos de TI (del Marco de
Referencia del COBIT) seleccionado para esta
auditoría, una vez que el alcance se ha refinado,
desarrolle objetivos de auditoría utilizando los
Objetivos de Control del COBIT. El alcance y los
objetivos de auditoría deben discutirse con el cliente
durante la reunión previa al compromiso. NOTA:
Este paso se puede repetir tanto como se requiera a lo
largo de la auditoría.
Desarrollar el Programa de Trabajo de la
Auditoría.
a. Si hay programa existente de trabajo para una
auditoría
i. Compare los objetivos de la auditoría con los
Objetivos de Control del COBIT.
ii. Compare los pasos en el programa de
auditoría para las actividades en las
Directrices de Auditoría del COBIT.
iii. Agregue actividades de auditoría sugeridas
por las guías y manuales específicos de la
plataforma (ej., paquetes de seguridad,
LANs), organizacionales, legales y
reguladores.
b. Si no existe un programa de trabajo de auditoría.
Realice los pasos como se indica anteriormente,
pero desarrolle el programa de auditoría usando el
COBIT, en vez de comparar un programa existente
con el COBIT buscando totalidad.
Realice la Auditoría. En la reunión de apertura
mientras se discute el tipo, alcance y objetivos,
describa la forma como el COBIT contribuye a estos y
la forma como serán usados para guiar la auditoría.
Escriba el Reporte de Auditoría. Anote las
conclusiones enfocándose en los objetivos logrados y
no logrados. Usando el COBIT, presente el caso del
negocio, para fundamentar los resultados. Incluya el
COBIT en la sección donde se citan los criterios en los
hallazgos de auditoría y en la sección que describe la
metodología utilizada en la realización de la auditoría.
IT GOVERNANCE INSTITUTE
Tuesday, February 15, 2005 08:17
Composite
CONJUNTO DE HERRAMIENTAS DE IMPLEMENTACION
USO DE LAS DIRECTRICES DE AUDITORÍA DE
COBIT
Como se describe anteriormente, el uso de las Directrices
de Auditoría COBIT cae en dos categorías principales: el
auditor tiene un programa existente de auditoría o el
auditor no tiene un programa existente de auditoría.
Paso #2: ¿Cuáles son los
más importantes?
Objetivos de
control
detallados de
COBIT
SDM
Paso #1: ¿El auditor está
satisfecho con el SDM?
SI NO HAY UN PROGRAMA DE AUDITORÍA EXISTENTE
El diagrama de abajo representa los pasos que aplicarían si
existiera un proceso de TI que fuera a ser auditado, aunque
no existe un programa de auditoría. El proceso de TI
utilizado en este ejemplo es una Metodología de Desarrollo
de Sistemas (SDM).
Paso #3: ¿Desarrollo del
programa de auditoría?
Directrices
de Auditoría
de
COBIT
Programa de
auditoría
SDM
Paso #4: ¿Qué parte del programa
de auditoría es más importante?
En el Paso #1 los auditores determinan, por comparación
del SDM a los objetivos de control del COBIT
comparables (en los Objetivos de Control), si el SDM
provee el control adecuado en el desarrollo de sistemas.
del COBIT están agrupados en objetivos de control de alto
nivel (ej., procesos de TI). El proceso de mapeo en las
directrices de auditoría requeridas en el paso #3 se
describen después.
Asumiendo que están satisfechos, los auditores escogen, en
el Paso #2 aquellos objetivos detallados de control que son
más importantes, dado su comprensión de los riesgos y los
objetivos relacionados a los procesos TI en cuestión (el
SDM). COBIT ayuda a los auditores a llegar a esta
determinación porque están enfocados en el control de los
recursos de TI para asegurar que las siete cualidades de la
información provista estén atendidos con el fin de lograr
los objetivos organizacionales.
En el Paso #4 el auditor determina qué pasos en el
programa de auditoría requieren más atención. Habiendo
determinado los objetivos detallados más importantes en el
paso #2, este paso es directo.
En el Paso #3, los auditores desarrollan un programa de
auditoría con la ayuda de las Directrices de Auditoría del
COBIT. Advierta que hemos definido los objetivos
detallados de interés, aunque las Directrices de Auditoría
En una organización, el uso del COBIT para una auditoría
de control de cambio acelera el proceso de planeación de la
auditoría y lleva a usos posteriores del COBIT mediante la
auditoría y mediante TI. El Anexo 8 muestra una
excepción de este programa de auditoría de control de
cambios. Los “Objetivos del negocio” se adaptaron del
Marco de Referencia del COBIT (los objetivos de control
de alto nivel). Los “Efectos” son los riesgos indicados por
la organización para esta auditoría.
IT GOVERNANCE INSTITUTE
28361 imp toolset.pub
page 45
45
Tuesday, February 15, 2005 08:17
Composite
CONJUNTO DE HERRAMIENTAS DE IMPLEMENTACION
Los “Objetivos de Control” se adaptaron de los Objetivos
de Control del COBIT. Los “Elementos para RevisiónPrueba” se adaptaron de las Directrices de Auditoría del
COBIT. Este proceso es normal para el desarrollo de un
programa de auditoría basado en el COBIT:
a. Revise los 34 objetivos de control de alto nivel del
COBIT y seleccione aquellos objetivos que aplican a
esta auditoría.
b. Describa los riesgos (o “exposiciones” o “efectos”)
que podrían resultar de la falla en el logro de cada
objetivo elegido en el paso a.
c. Seleccione de los Objetivos de Control del COBIT
aquellos objetivos de control que apliquen para esta
auditoría. Normalmente, debemos tener que revisar
solamente los objetivos de control detallados de los
objetivos de control de alto nivel elegidos en el paso
a, anterior.
46
28361 imp toolset.pub
page 46
d.
e.
Usando las Directrices de Auditoría del COBIT,
enumere los procedimientos de auditoría a ser
realizados. En este paso el auditor de SI debe elegir
aquellos procedimientos que se relacionan con los
objetivos de control detallados que se seleccionaron
en el paso c anterior. Si en el paso c, el auditor de SI
sólo seleccionó objetivos detallados para los objetivos
de control de alto nivel identificados en el paso a,
debemos tener que revisar solamente los lineamientos
de auditoría para aquellos objetivos de control de alto
nivel.
Para terminar el programa de auditoría el auditor de
SI puede, entonces, tener que incluir pruebas de
auditoría adicionales que se relacionen a la plataforma
específica a ser auditada. Por ejemplo, el auditor
podría tener que consultar el (los) manual(es) del
sistema de administración de base de datos
seleccionado en este esfuerzo de desarrollo de
sistema.
IT GOVERNANCE INSTITUTE
Tuesday, February 15, 2005 08:17
Composite
CONJUNTO DE HERRAMIENTAS DE IMPLEMENTACION
CUADRO 8—EXTRACTO DE UN PROGRAMA DE AUDITORIA
OBJETIVO DEL NEGOCIO
AI6
EFECTO
OBJETIVOS DE CONTROL
ELEMENTOS A REVISIÓNPRUEBA
REF.
ADMINISTRACIÓN DE
CAMBIOS
Requerimiento del
Cambio
Iniciación y Control
Asegurar que las soluciones Errores en el
La administración de TI
automatizadas sean
seguimiento de los
debe asegurar que todas
identificadas vía un análisis procedimientos de
las solicitudes de cambio,
de todas las alternativas
control de cambio causa Mantenimiento del sistema
posibles que cumplen con
de las fallas, datos y
y Mantenimiento
los requerimientos de los
archivos corruptos,
proporcionado por los
usuarios
retrasos en los procesos, proveedores están
incremento de los
estandarizadas y están
costos y necesidades
sujetas a los
de usuarios y sistemas procedimientos formales de
no satisfechos. Se
administración de cambios.
incrementa el riesgo
Los cambios deben
durante las situaciones categorizarse y priorizarse y
de emergencia.
Deben existir
Procedimientos específicos
Para administrar
Situaciones urgentes.
Debe mantenerse
informado a quien solicita
el cambio acerca del estado
de su requerimiento.
Control de Cambios
Integración insuficiente
La administración de TI
con el sistema de
debe asegurar que la
manejo de la
administración de
configuración podría
cambios y la distribución y
afectar otras plataformas
Control del software están
Apropiadamente integradas
con un sistema de manejo
de Configuración
comprensible. El sistema
usado para monitorear los
Cambios a los sistemas de
aplicación deben ser
automáticos para soportar
el registro y rastreo de los
Cambios hechos a los
sistemas de información
complejos y grandes.
IT GOVERNANCE INSTITUTE
28361 imp toolset.pub
page 47
Revise los
procedimientos de
cambios al sistema para
tener los controles
internos suficientes, etc.
Haga pruebas para ver si
los procedimientos de
cambios al sistema son
efectivos y están
reforzados incluso en las
situaciones de
emergencia.
Revise y pruebe la
documentación adecuada
para asegurar el
cumplimiento con el
sistema de manejo
comprensible.
47
Tuesday, February 15, 2005 08:17
Composite
CONJUNTO DE HERRAMIENTAS DE IMPLEMENTACION
SI HAY UN PROGRAMA DE AUDITORÍA
EXISTENTE
El diagrama que se presenta a continuación representa los
pasos que aplicarían si existiera un proceso de TI a ser
auditado y se cuenta con un programa de auditoría al cual
le queremos efectuar un Benchmark contra las Directrices
de Auditoría del COBIT. De nuevo, el proceso de TI
utilizado en este ejemplo es una metodología de desarrollo
de sistemas (SDM-System Development Methodology).
Los Pasos #1, #2, y #4 son iguales si no existe un
programa de auditoría.
En el Paso #3 el auditor compara su programa de auditoría
con las Directrices de Auditoría del COBIT para
determinar si existen actividades sugeridas por el COBIT
que pudieran mejorar el programa de auditoría existente.
Paso #2: ¿Cuáles son los
más importantes?
SDM
Objetivos de
control
detallados del
COBIT
Paso #1: ¿El auditor está
satisfecho con el SDM?
48
28361 imp toolset.pub
page 48
MAPEO DE LOS OBJETIVOS DE CONTROL
DETALLADOS PARA LAS DIRECTRICES DE
AUDITORÍA
Como se menciona anteriormente, las actividades en las
Directrices de Auditoría del COBIT están agrupados en 34
objetivos de control de alto nivel. Ya que un auditor
normalmente desarrollaría programas de auditoría para
valorar el cumplimiento de los objetivos de control
detallados, un auditor debe mapear sus objetivos detallados
incluidos en las Directrices de Auditoría del COBIT. Por
ejemplo, si el auditor fuera a auditar un objetivo de control
detallado (una tarea absurda para estar seguro). Asuma
que un objetivo es AI 1.18 Aceptación de la Tecnología
(vea los Objetivos de Control). Las actividades de auditoría
comienzan en la siguiente página donde se selecciona las
actividades de las Directrices de Auditoría porque están
relacionadas con el objetivo de control detallado AI 1.18.
Paso #3: Benchmark al
programa de auditoría
Programa de
auditoría
SDM
Directrices
de Auditoría
del
COBIT
Paso #4: ¿Qué parte del programa
de auditoría es más importante?
IT GOVERNANCE INSTITUTE
Tuesday, February 15, 2005 08:17
Composite
CONJUNTO DE HERRAMIENTAS DE IMPLEMENTACION
Obtener un entendimiento a través de:
► Entreviste a:
•
•
Dueños/patrocinadores del proyecto
Administración del contratista
► Obteniendo:
•
•
•
•
Políticas y procedimientos relacionados con el ciclo de vida de desarrollo del sistema y la obtención del software.
Objetivos de TI y los plantes a corto y largo plazo.
Documentación seleccionada del proyecto, incluyendo la definición de los requerimientos, análisis de alternativas,
estudios de factibilidad tecnológica, estudios de factibilidad económica, análisis de la arquitectura de la
información/modelo de datos de la empresa, análisis de riesgos, estudios de costo-efectividad de la seguridad/
controles internos, análisis de las pistas de auditoría, estudios ergonómicos, y Planes de aceptación de las
instalaciones y de tecnologías específicas y resultados de pruebas.
Contratos seleccionados relacionados con la compra, desarrollo o mantenimiento del software.
Evaluar los controles:
► Considerando si:
• Las políticas y procedimientos existen, requiriendo que:
• los requerimientos operativos y funcionales de la solución estén satisfechos incluyendo el
desempeño, confiabilidad, compatibilidad, seguridad y legislación
• los productos sean revisados y probados antes de su uso y el cargo o pago financiero
• los productos finales de servicios de programación contratados y terminados, deben ser probados y
revisados de acuerdo a los estándares correspondientes por el grupo de aseguramiento de calidad
de TI y otras partes interesadas antes del pago del trabajo y la aprobación del producto final.
• Un plan de aceptación para tecnología específica se acuerda con el proveedor en el contrato y
este plan define los procedimientos y criterios de aceptación.
• Las pruebas incluidas en las especificaciones del contrato consisten en pruebas al sistema, pruebas de
integración, pruebas del hardware y componentes, pruebas de procedimientos, pruebas de carga y
estrés, pruebas de afinamiento y desempeño, pruebas de regresión, pruebas de aceptación del usuario,
y finalmente, pruebas piloto del sistema total para evitar cualquier falla inesperada en el sistema
• Las pruebas específicas de aceptación de la tecnología deben incluir pruebas de inspección,
funcionalidad y valoraciones de carga de trabajo.
IT GOVERNANCE INSTITUTE
28361 imp toolset.pub
page 49
49
Tuesday, February 15, 2005 08:17
Composite
CONJUNTO DE HERRAMIENTAS DE IMPLEMENTACION
Evaluar el Cumplimiento mediante:
► Probando que:
•
•
Los productos comprados se revisan y prueban antes de su uso y el cargo o pago financiero
La conveniencia y perfección del plan de aceptación de la tecnología, incluyendo inspecciones, pruebas de
funcionalidad y pruebas de carga de trabajo.
Comprobar el riesgo de los objetivos de control no alcanzados:
► Llevando a Cabo
• Benchmarking de la identificación de los requerimientos de los usuarios para satisfacer las soluciones
automatizadas contra organizaciones similares o los estándares internacionales apropiados, reconocidos en la
industria como mejores prácticas
• Una revisión detallada del proceso de aceptación para la tecnología específica con el fin de asegurar que las
inspecciones, pruebas de funcionalidad y pruebas de carga de trabajo cumplan con los requerimientos especificados
en el contrato
► Identificando:
•
•
•
•
•
Deficiencias en la metodología del ciclo de vida del desarrollo del sistema de la organización
Soluciones que no cumplan con los requerimientos de los usuarios
Soluciones que no siguieron el enfoque de abastecimiento establecido en la organización y así resulten en costos
adicionales provenientes de la organización
Donde se acepta la tecnología específica pero las inspecciones, pruebas de funcionalidad y pruebas de carga de
trabajo no se han realizado adecuadamente, y como resultado la tecnología no cumple con los requerimientos del
usuario y/o no cumple con los términos del contrato.
Cualquier falla en el sistema
50
28361 imp toolset.pub
page 50
IT GOVERNANCE INSTITUTE
Tuesday, February 15, 2005 08:17
Composite
CONJUNTO DE HERRAMIENTAS DE IMPLEMENTACION
DIAGNÓSTICO DE SENSIBILIZACIÓN DE LA
ADMINISTRACIÓN
IT GOVERNANCE INSTITUTE
28361 imp toolset.pub
page 51
51
Tuesday, February 15, 2005 08:17
Composite
CONJUNTO DE HERRAMIENTAS DE IMPLEMENTACION
DIAGNÓSTICO DE SENSIBILIZACIÓN DE LA ADMINISTRACIÓN
AUTOEVALUACIÓN DEL GOBIERNO DE TI
Auditado
Formalidad
No sabe
Dominios y Procesos del COBIT
Externo
¿Quién lo hace?
Otros
Importancia – la importancia para la organización en una escala de 1 (para nada) a 5
(mucho)
Desempeño – qué tan bien se realiza de 1 (no sabe o mal) hasta 5 (muy bien)
Auditado – Sí, No, o ?
Formalidad – existe un contrato, un SLA o un procedimiento claramente documentado (Sí, No, o ?)
Responsabilidad – Nombre o “no se sabe”
TI
Desempeño
Importancia
Riesgo
¿Quién es responsable?
PLANEACIÓN & ORGANIZACIÓN
PO1
Definir un Plan Estratégico deTI
PO2
Definir la Arquitectura de Información
PO3
Determinar la Dirección Tecnológica
PO4
Definir la Organización y las Relaciones deTI
PO5
Administrar la Inversión de Tecnología de Información
PO6
Comunicar las Aspiraciones y Dirección de la Gerencia
PO7
Administrar Recursos Humanos
PO8
Asegurar el Cumplimiento con los Requerimientos Externos
PO9
Evaluar los Riesgos
PO10 Administrar Proyectos
PO11 Administrar Calidad
ADQUISICIÓN & IMPLEMENTACIÓN
AI1
Identificar Soluciones Automatizadas
AI2
Adquirir y Mantener Software de Aplicación
AI3
Adquirir y Mantener la Infraestructura Tecnológica
AI4
Desarrollar y Mantener los Procedimientos
AI5
Instalar y Acreditar Sistemas
AI6
Administrar Cambios
ENTREGA & SOPORTE
DS1
Definir y Administrar Niveles de Servicio
DS2
Administrar los Servicios prestados por Terceras Partes
DS3
Administrar el Desempeño y la Capacidad
DS4
Asegurar el Servicio Continuo
DS5
Garantizar la Seguridad en los sistemas
DS6
Identificar y Asignar Costos
DS7
Educar y Capacitar a Usuarios
DS8
Atender y Aconsejar a los Clientes
DS9
Administrar la Configuración
DS10 Administrar Problemas e Incidentes
DS11 Administrar Datos
DS12 Administrar Instalaciones
DS13 Administrar Operaciones
MONITOREO
M1
Monitorear los Procesos
M2
Evaluar qué tan adecuado es el Control Interno
M3
Obtener el Aseguramiento Independiente
M4
Colaborar en la Auditoría Independiente
52
28361 imp toolset.pub
page 52
IT GOVERNANCE INSTITUTE
Tuesday, February 15, 2005 08:17
Composite
CONJUNTO DE HERRAMIENTAS DE IMPLEMENTACION
PREOCUPACIONES DE LOS DIRECTIVOS DE TI
Implementación
Cara/Compleja
Problemas de soporte
del Vendedor
Filtrado de Datos
Confidenciales
*
Falla al integrar
Pérdida de Integr. en
las transac. Corp.
*
Incompatible con la
Infra. Tecnológica
Acceso no autorizado a
los msgs. confid.
*
Infección de Virus
Acceso no autorizado a
la red corporativa
Adquiriendo y Desarrollando Habilidades
*
Fallas al Satisf. los
Requer. del Usuario
Soluciones llave en mano1
para la Empresa
Internet/Intranet
Reduciendo los Costos
de Propiedad de TI
Consolidando la
Infraestructura TI
Uso de como Ventaja
Competitiva
Políticas de TI y Gobierno
Corporativo
Iniciativas de Ti en Línea
con estrategia del Negocio
FACTORES DE RIESGO
Administración
Interrupción de la Disponibilidad del serv.
Preocupación de la Tecnología para la Administración
(Gartner Group) PLANEACIÓN & ORGANIZACIÓN
PO1 Definir un Plan Estratégico de TI
*
PO2 Definir la Arquitectura de Información
*
*
*
*
*
PO3 Determinar la Dirección Tecnológica
*
*
*
*
PO4 Definir la Organización y las Relaciones de TI
*
*
*
PO5 Administrar la Inversión de Tecnología de Información
*
PO6 Comunicar las Aspiraciones y Dirección de la Gerencia
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
PO9 Evaluar los Riesgos
PO10 Administrar Proyectos
*
*
*
*
PO7 Administrar Recursos Humanos
PO8 Asegurar el Cumplimiento con los Requerimientos Externos
*
*
*
*
*
*
*
*
*
*
*
*
PO11 Administrar Calidad
*
ADQUISICIÓN & IMPLEMENTACIÓN
AI11 Identificar Soluciones Automatizadas
*
*
*
*
AI12 Adquirir y Mantener Software de Aplicación
*
*
*
*
*
*
AI13 Adquirir y Mantener la Infraestructura Tecnológica
*
*
*
*
*
*
*
AI14 Desarrollar y Mantener los Procedimientos de TI
*
AI15 Instalar y Acreditar Sistemas
AI16 Administrar de Cambios
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
ENTREGA & SOPORTE
DS1 Definir y administrar los Niveles de Servicio
*
*
*
DS2 Administrar los Servicios de las Terceras Partes
*
DS3 Administrar el Desempeño y la Capacidad
*
DS4 Asegurar el Servicio Continuo
*
DS5 Garantizar la Seguridad en sistemas
*
*
*
*
*
*
*
*
*
DS6 Identificar y Asignar Costos
*
*
*
*
*
*
*
*
*
*
*
DS7 Educar y Capacitar a Usuarios
*
DS8 Atender y Aconsejar a los clientes
*
*
*
DS9 Administrar la Configuración
*
DS10 Administrar Problemas e Incidentes
*
DS11 Administrar Datos
*
*
*
*
*
DS12 Administrar Instalaciones
*
*
*
*
*
*
*
*
*
DS13 Administrar Operaciones
*
*
MONITOREO
M1 Monitorear los Procesos
*
M2 Evaluar qué tan adecuado es el Control Interno
M3 Obtener el Aseguramiento Independiente
M4 Colaborar en la Auditoría Independiente
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
IT GOVERNANCE INSTITUTE
28361 imp toolset.pub
page 53
*
*
*
*
*
*
53
Tuesday, February 15, 2005 08:17
Composite
CONJUNTO DE HERRAMIENTAS DE IMPLEMENTACION
PREOCUPACIONES DE LOS DIRECTIVOS DE TI
Costos
Soporte y
Mantenimiento
Administración de
Incidentes
Control de
Configuración
Seguridad
Disponibilidad
Administración
De la Red
Control de
Configuración
Integridad de Datos
Procedimientos
Informales
Control de Calidad
Altos Costos de
Propiedad
Control de las Versiones de Software
Problemas de Admón. del
Usuario Final
Incompatibilidad con la
Infraestructura Técnica
Problemas de Control
de Acceso
Falla al Coordinar los
Requerimientos
FACTORES DE RIESGO
Control de Acceso
Grupos de Trabajo
y Groupware
Arquitectura Cliente/Servidor
PLANEACIÓN & ORGANIZACIÓN
PO1 Definir un Plan Estratégico deTI
*
*
PO2 Definir la Arquitectura de Información
PO3 Determinar la Dirección Tecnológica
PO4 Definir la Organización y las Relaciones de TI
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
PO5 Administrar la Inversión de Tecnología de Información
*
*
*
*
*
*
*
*
*
PO8 Asegurar el Cumplimiento con los Requerimientos Externos
*
*
*
PO9 Evaluar los Riesgos
*
*
PO6 Comunicar las Aspiraciones y Dirección de la Gerencia
*
*
*
PO7 Administrar Recursos Humanos
PO10 Administrar Proyectos
*
*
*
*
*
PO11 Administrar Calidad
*
*
*
*
*
*
*
*
*
ADQUISICIÓN & IMPLEMENTACIÓN
AI11 Identificar Soluciones Automatizadas
*
*
*
*
*
AI12 Adquirir y Mantener Software de Aplicación
*
AI13 Adquirir y Mantener la Infraestructura Tecnológica
*
*
*
AI14 Desarrollar y Mantener los Procedimientos
AI15 Instalar y Acreditar Sistemas
*
AI16 Administrar Cambios
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
ENTREGA & SOPORTE
*
DS1 Definir y Administrar niveles de Servicio
DS2 Administrar los Servicios de las Terceras Partes
*
*
*
*
*
DS3 Administrar el Desempeño y la Capacidad
*
*
DS4 Asegurar el Servicio Continuo
*
*
*
DS5 Garantizar la Seguridad en los sistemas
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
DS6 Identificar y Asignar Costos
*
DS7 Educar y Capacitar a Usuarios
*
*
*
DS8 Atender y Aconsejar a los Clientes
*
*
DS9 Administrar la Configuración
*
*
*
*
*
*
*
*
*
*
DS10 Administrar Problemas e Incidentes
DS11 Administrar Datos
*
DS12 Administrar Instalaciones
*
*
*
*
*
*
*
*
*
*
DS13 Administrar Operaciones
*
*
*
*
*
*
*
*
*
MONITOREO
M1 Monitorear los Procesos
*
M2 Evaluar qué tan adecuado es el Control Interno
*
M3 Obtener el Aseguramiento Independiente
*
*
*
M4 Colaborar en la Auditoría Independiente
*
*
*
54
28361 imp toolset.pub
page 54
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
IT GOVERNANCE INSTITUTE
Tuesday, February 15, 2005 08:17
Composite
CONJUNTO DE HERRAMIENTAS DE IMPLEMENTACION
DIAGNÓSTICO DE CONTROL DE TI
IT GOVERNANCE INSTITUTE
28361 imp toolset.pub
page 55
55
Tuesday, February 15, 2005 08:17
Composite
CONJUNTO DE HERRAMIENTAS DE IMPLEMENTACION
DIAGNÓSTICOS DE CONTROL DE TI
FORMA DE TRABAJO PREVIA A LA AUDITORÍA
PO1
Definir un Plan Estratégico de TI
PO2
Definir la Arquitectura de TI
PO3
Determinar la Dirección Tecnológica
PO4
Definir la Organización y las Relaciones de TI
PO5
Administrar la Inversión de Tecnología de Información
PO6
Comunicar las Aspiraciones y Dirección de la Gerencia
PO7
Manejar los Recursos Humanos
PO8
Asegurar el Cumplimiento de los Requerimientos Externos
PO9
Evaluar los Riesgos
PO10
Administrar Proyectos
PO11
Administrar Calidad
AI1
Identificación de Soluciones Automatizadas
AI2
Adquisición y Mantenimiento del Software de Aplicación
AI3
Adquisición y Mantenimiento de Infraestructura Tecnológica
AI4
Desarrollar y Mantener los Procedimientos de TI
AI5
Instalar y Acreditar Sistemas
AI6
Administrar Cambios
DS1
Definir y administrar niveles de Servicio
DS2
Administrar los Servicios prestados por Terceras Partes
DS3
Administrar el Desempeño y la Capacidad
DS4
Asegurar el Servicio Continuo
DS5
Garantizar la Seguridad en los Sistemas
DS6
Identificar y Asignar Costos
DS7
Educar y Capacitar a los Usuarios
DS8
Asistir y Aconsejar a los Clientes
DS9
Administrar la Configuración
DS10
Administrar Problemas e Incidentes
DS11
Administrar Datos
DS12
Administrar Instalaciones
DS13
Administrar Operaciones
M1
Monitorear los Procesos
M2
Evaluar qué tan adecuado es el Control Interno
M3
Obtener el Aseguramiento Independiente
M4
No Determinado
Resuelto
N/A
Disposición de los
Descubrimientos
Descubrimientos
Rectificación
Debilidades Materiales
Proceso de TI
Adversa
Calificada
No
No Calificada
Si
Previo a la Auditoría
Opinión
Sin resolver
Previo al
Alcance
Colaborar en la Auditoría Independiente
Inserte el número de la debilidad material y/o hallazgo si hay más de uno por categoría
de proceso y luego refleje el número apropiado bajo cada columna.
56
28361 imp toolset.pub
page 56
IT GOVERNANCE INSTITUTE
Tuesday, February 15, 2005 08:17
Composite
CONJUNTO DE HERRAMIENTAS DE IMPLEMENTACION
FORMA CORTA DE LA ENTIDAD
Definir un Plan Estratégico de TI
PO2
Definir la Arquitectura de Información
PO3
Determinar la Dirección Tecnológica
PO4
Definir la Organización y las Relaciones de TI
PO5
Administrar la Inversión de Tecnología de Información
PO6
Comunicar las Aspiraciones y Dirección de la Gerencia
PO7
Administrar Recursos Humanos
PO8
Asegurar el Cumplimiento con los Requerimientos Externos
PO9
Evaluar los Riesgo
PO10
Administrar Proyectos
PO11
Administrar Calidad
AI1
Identificar Soluciones Automatizadas
AI2
Adquirir y Mantener Software de Aplicación
AI3
Adquirir y Mantener la Infraestructura Tecnológica
AI4
Desarrollar y Mantener los Procedimientos
AI5
Instalar y Acreditar Sistemas
AI6
Administrar Cambios
DS1
Definir y Administrar Niveles de Servicio
DS2
Administrar los Servicios prestados por Terceras Partes
DS3
Administrar el Desempeño y la Capacidad
DS4
Asegurar el Servicio Continuo
DS5
Garantizar la Seguridad en los Sistemas
DS6
Identificar y Asignar Costos
DS7
Educar y Capacitar a Usuarios
DS8
Atender y Aconsejar a los Clientes
DS9
Administrar la Configuración
DS10
Administrar Problemas e Incidentes
DS11
Administrar Datos
DS12
Administrar Instalaciones
DS13
Administrar Operaciones
M1
Monitorear los Procesos
M2
Evaluar qué tan adecuado es el Control Interno
M3
Obtener el Aseguramiento Independiente
M4
Colaborar en la Auditoría Independiente
IT GOVERNANCE INSTITUTE
28361 imp toolset.pub
page 57
No Aplicable
No Clasificado
Formalmente Clasificado
No está Seguro
Pobre
Satisfactorio
Muy Bien
Proceso de TI
PO1
Excelente
Desempeño
No Aplicable
No Está Seguro
No Importante
Algo Importante
Muy Importante
Importancia
57
Tuesday, February 15, 2005 08:17
Composite
CONJUNTO DE HERRAMIENTAS DE IMPLEMENTACION
FORMA LARGA DE LA ENTIDAD
28361 imp toolset.pub
page 58
Definir un Plan Estratégico de TI
PO2
Definir la Arquitectura de Información
PO3
Determinar la Dirección Tecnológica
PO4
Definir la Organización y las Relaciones de TI
PO5
Administrar la Inversión de Tecnología de Información
PO6
Comunicar las Aspiraciones y Dirección de la Gerencia
PO7
Administrar Recursos Humanos
PO8
Asegurar el Cumplimiento con los Requerimientos Externos
PO9
Evaluar los Riesgos
PO10
Administrar Proyectos
PO11
Administrar Calidad
AI1
Identificar Soluciones Automatizadas
AI2
Adquirir y Mantener Software de Aplicación
AI3
Adquirir y Mantener la Infraestructura Tecnológica
AI4
Desarrollar y Mantener los Procedimientos
AI5
Instalar y Acreditar Sistemas
AI6
Administrar Cambios
DS1
Definir Niveles de Servicio
DS2
Administrar los Servicios prestados por Terceras Partes
DS3
Administrar el Desempeño y la Capacidad
DS4
Asegurar el Servicio Continuo
DS5
Garantizar la Seguridad en los Sistemas
DS6
Identificar y Asignar Costos
DS7
Educar y Capacitar a Usuarios
DS8
Atender y Aconsejar a los Clientes
DS9
Administrar la Configuración
DS10
Administrar Problemas e Incidentes
DS11
Administrar Datos
DS12
Administrar Instalaciones
DS13
Administrar Operaciones
M1
Monitorear los Procesos
M2
Evaluar qué tan adecuado es el Control Interno
M3
Obtener el Aseguramiento Independiente
M4
Colaborar en la Auditoría Independiente
Ref. PT
No está Seguro
No Documentado
Documentado
No Aplicable
No Clasificado
Formalmente Clasificado
No está Seguro
Pobre
Satisfactorio
Procesos de TI
PO1
Muy Bien
Excelente
No Está Seguro
58
Controles
Internos
Desempeño
Algo Aplicable
No Importante
Muy Importante
Algo Importante
Importancia
IT GOVERNANCE INSTITUTE
Tuesday, February 15, 2005 08:17
Composite
CONJUNTO DE HERRAMIENTAS DE IMPLEMENTACION
FORMA DE EVALUACIÓN DE RIESGO
Definir un Plan Estratégico de TI
PO2
Definir la Arquitectura de Información
PO3
Determinar la Dirección Tecnológica
PO4
Definir la Organización y las Relaciones de TI
PO5
Administrar la Inversión de Tecnología de Información
PO6
Comunicar las Aspiraciones y Dirección de la Gerencia
PO7
Administrar Recursos Humanos
PO8
Asegurar el Cumplimiento con los Requerimientos Externos
PO9
Evaluar los Riesgos
PO10
Administrar Proyectos
PO11
Administrar Calidad
AI1
Identificar Soluciones Automatizadas
AI2
Adquirir y Mantener Software de Aplicación
AI3
Adquirir y Mantener la Infraestructura Tecnológica
AI4
Desarrollar y Mantener los Procedimientos
AI5
Instalar y Acreditar Sistemas
AI6
Administrar Cambios
DS1
Definir y Administrar Niveles de Servicio
DS2
Administrar los Servicios prestados por Terceras Partes
DS3
Administrar el Desempeño y la Capacidad
DS4
Asegurar el Servicio Continuo
DS5
Garantizar la Seguridad en los Sistemas
DS6
Identificar y Asignar Costos
DS7
Educar y Capacitar a Usuarios
DS8
Atender y Aconsejar a los Clientes
DS9
Administrar la Configuración
DS10
Administrar Problemas e Incidentes
DS11
Administrar Datos
DS12
Administrar Instalaciones
DS13
Administrar Operaciones
M1
Monitorear los Procesos
M2
Evaluar qué tan adecuado es el Control Interno
M3
Obtener el Aseguramiento Independiente
M4
Colaborar en la Auditoría Independiente
Ref. PT
No está Seguro
No Documentado
Documentado
No está Seguro
Inmaterial
Bajo
Medio
Alto
Procesos de TI
PO1
IT GOVERNANCE INSTITUTE
28361 imp toolset.pub
page 59
Controles de
Riesgo
Riesgo
No Está Seguro
No Importante
Muy Importante
Algo Importante
Importancia
59
Tuesday, February 15, 2005 08:17
Composite
CONJUNTO DE HERRAMIENTAS DE IMPLEMENTACION
FORMA DE LA PARTE RESPONSABLE
Realizado Por (1)
Procesos de TI
PO1
Definir un Plan Estratégico de TI
PO2
Definir la Arquitectura de Información
PO3
Determinar la Dirección Tecnológica
PO4
Definir la Organización y las Relaciones de TI
PO5
Administrar la Inversión de Tecnología de Información
PO6
Comunicar las Aspiraciones y Dirección de la Gerencia
PO7
Administrar Recursos Humanos
PO8
Asegurar el Cumplimiento con los Requerimientos Externos
PO9
Evaluar los Riesgos
PO10
Administrar Proyectos
PO11
Administrar Calidad
AI1
Identificar Soluciones Automatizadas
AI2
Adquirir y Mantener Software de Aplicación
AI3
Adquirir y Mantener la infraestructura tecnológica
AI4
Desarrollar y Mantener los Procedimientos
AI5
Instalar y Acreditar Sistemas
AI6
Administrar Cambios
DS1
Definir y Administrar Niveles de Servicio
DS2
Administrar los Servicios prestados por Terceras Partes
DS3
Administrar el Desempeño y la Capacidad
DS4
Asegurar el Servicio Continuo
DS5
Garantizar la Seguridad en los Sistemas
DS6
Identificar y Asignar Costos
DS7
Educar y Capacitar a Usuarios
DS8
Atender y Aconsejar a los Clientes
DS9
Administrar la Configuración
DS10
Administrar Problemas e Incidentes
DS11
Administrar Datos
DS12
Administrar Instalaciones
DS13
Administrar Operaciones
M1
Monitorear los Procesos
M2
Evaluar qué tan adecuado es el Control Interno
M3
Obtener el Aseguramiento Independiente
M4
Colaborar en la Auditoría Independiente
Entidad con la Responsabilidad Principal
(1) Identifique las unidades organizacionales (departamento de TI, dentro de la organización, externo o no está seguro) que realizarán las actividades incorporadas dentro de los procesos
de TI.
60
28361 imp toolset.pub
page 60
IT GOVERNANCE INSTITUTE
Tuesday, February 15, 2005 08:17
Composite
CONJUNTO DE HERRAMIENTAS DE IMPLEMENTACION
FORMATO DE SERVICIO Ó ACUERDO DE NIVEL DE SERVICIO (SLA)
Definir un Plan Estratégico de TI
PO2
Definir la Arquitectura de Información
PO3
Determinar la Dirección Tecnológica
PO4
Definir la Organización y las Relaciones de TI
PO5
Administrar la Inversión de Tecnología de Información
PO6
Comunicar las Aspiraciones y Dirección de la Gerencia
PO7
Administrar Recursos Humanos
PO8
Asegurar el Cumplimiento con los Requerimientos Externos
PO9
Evaluar los Riesgos
PO10
Administrar Proyectos
PO11
Administrar Calidad
AI1
Identificar Soluciones Automatizadas
AI2
Adquirir y Mantener Software de Aplicación
AI3
Adquirir y Mantener la Infraestructura Tecnológica
AI4
Desarrollar y Mantener los Procedimientos
AI5
Instalar y Acreditar Sistemas
AI6
Administrar Cambios
DS1
Definir y Administrar Niveles de Servicio
DS2
Administrar los Servicios prestados por Terceras Partes
DS3
Administrar el Desempeño y la Capacidad
DS4
Asegurar el Servicio Continuo
DS5
Garantizar la Seguridad en los Sistemas
DS6
Identificar y Asignar Costos
DS7
Educar y Capacitar a Usuarios
DS8
Atender y Aconsejar a los Clientes
DS9
Administrar la Configuración
DS10
Manejar Problemas e Incidentes
DS11
Administrar Datos
DS12
Administrar Instalaciones
DS13
Administrar Operaciones
M1
Monitorear los Procesos
M2
Evaluar qué tan adecuado es el Control Interno
M3
Obtener el Aseguramiento Independiente
M4
Colaborar en la Auditoría Independiente
IT GOVERNANCE INSTITUTE
28361 imp toolset.pub
page 61
Ref. PT
No está Seguro
No Aplicable
No
Si
¿Contrato Formal/SLA
establecido?
No esta Seguro
Documentado
No Está Seguro
Terceras Partes
Departamento de TI
Dentro de la Organiz.
Procesos de TI
PO1
No Documentado
Controles
Internos
Realizado por
61
Tuesday, February 15, 2005 08:17
Composite
CONJUNTO DE HERRAMIENTAS DE IMPLEMENTACION
PAGINA INTENCIONALMENTE EN BLANCO
62
28361 imp toolset.pub
page 62
IT GOVERNANCE INSTITUTE
Tuesday, February 15, 2005 08:17
Composite
CONJUNTO DE HERRAMIENTAS DE IMPLEMENTACION
ESTUDIO DE CASOS DE COBIT
MICHAEL P. RAS, CISA, GERENTE SENIOR DE AUDITORÍA DE TI
GRUPO CEDEL
LUXEMBURGO
RESUMEN
El tremendo cambio en la manera en que el Grupo Cedel realiza sus negocios ha creado una necesidad de revisar los controles y actualizar las
formulaciones de políticas. La implantación exitosa de COBIT ha sido un esfuerzo de equipo entre la alta administración, TI y los usuarios
finales. Los objetivos de negocios se han vinculado estrechamente con las políticas de control y auditoría, ya que los líderes de negocios
reciben el valor agregado de las actividades de control y de auditoría de TI.
ANTECEDENTES
Creada como una organización de compensación en 1970 por 66 de las más grandes instituciones financieras del mundo, Grupo Cedel
minimiza el riesgo en el establecimiento de intercambio de valores entre países, particularmente en el creciente mercado Eurobond. Tiene
más de 800 empleados en Luxemburgo, Dubai, Hong Kong, Londres, New York y Tokio y se han establecido vínculos con los mercados de
valores de más de 30 países. Los resultados de las transacciones para 1997 excedieron los $15 trillones de dólares y Banco Cedel tiene $1.4
trillones de dólares en valores de clientes bajo su custodia. El creciente negocio internacional ha dado como resultado intercambios de hasta
$100 billones de dólares, en transacciones de un día de negocios promedio.
Mientras que nuestro ambiente anterior de TI era estable, confiable y cubría las necesidades del negocio, el cambio era necesario para
mantener un ambiente controlado. A finales de 1980 experimentamos un crecimiento de nuevas oportunidades de negocio, demandas
sofisticadas de TI, el desarrollo de nuevas aplicaciones cliente/servidor y cambios dramáticos en los ambientes de computadoras personales y
redes de telecomunicaciones.
Mientras que las Declaraciones de las Políticas de Sistemas de Grupo Cedel se mantuvieron aplicables y reforzadas, cada vez más surgían
situaciones donde los métodos estipulados para cubrir los requerimientos de control no eran apropiados en el nuevo ambiente. Por ejemplo,
la política asociada con el ambiente anterior DOS/Novell requería que existiera un control para evitar que un usuario entrara al sistema más de
una vez al mismo tiempo. Ahora esto evitaba que un usuario que tuviera acceso al sistema desde un sitio de contingencia no tuviera acceso al
sistema desde su sitios normal de trabajo. Los permisos y las solicitudes de cambio a los requerimientos de la política se estaban convirtiendo
en algo muy común.
PROCESO
De frente al reto de desarrollar y mantener políticas de control que aplicasen a cambios significativos en las áreas tecnológica, ambiental y de
proceso, aprovechamos la oportunidad para examinar el enfoque de auditoría de TI. Se revisaron varias metodologías alternativas y COBIT
resultó ser la más apropiada.
Comenzamos a implantar COBIT en 1996 mediante la aplicación de un marco de referencia para la auditoría, la cual se llevó a cabo de
manera exitosa subsecuentemente.
Nuestro departamento de TI fue urgido por los resultados de la auditoría para considerar al COBIT como el marco de referencia para un nuevo
conjunto de Declaraciones de Políticas del Grupo Cedel. El director de procesamiento y comunicaciones, quien encabezó esta revisión,
declaró: “COBIT presentó sus objetivos de control de una manera novedosa y lógica que es práctica para su implantación.”
Los resultados de una revisión completa de COBIT de las políticas de Cedel se han vuelto alentadores. Las nuevas políticas que se están
generando aplican a todas las plataformas técnicas. Además, la alta administración se está volviendo más consciente del riesgo y del control.
El conflicto tradicional entre cubrir los objetivos del negocio y manejar los requerimientos de control se está convirtiendo en menos que un
problema conforme los gerentes reconocen con frecuencia los beneficios de los controles en los negocios.
CONCLUSIÓN
Un enfoque novedoso y fuerte sobre negocios prácticos y prioridades de eficiencia fue la diferencia más notable cuando se implantó COBIT.
Siguiendo sus principios, ahora establecemos auditorías basadas en los propios objetivos de negocios y de operación de los auditados. Ahora
las auditorías se manejan desde arriba, en lugar de la parte media y hacia abajo. La introducción de COBIT ha probado ser un método de
auditoría extremadamente eficaz y la alta administración ha encontrado que las auditorías agregan valor al negocio.
Basándome en el éxito de nuestra organización con la implantación de COBIT, recomiendo a mis colegas analizar a COBIT con su respectiva
administración de TI. COBIT es un enfoque altamente flexible y creíble para mantener y mejorar un ambiente controlado para beneficio de
todos los involucrados en la industria.
IT GOVERNANCE INSTITUTE
28361 imp toolset.pub
page 63
63
Tuesday, February 15, 2005 08:17
Composite
CONJUNTO DE HERRAMIENTAS DE IMPLEMENTACION
JOHN BEVERIDGE, CISA
OFICINA DEL AUDITOR DEL ESTADO DE MASSACHUSETTS
ESTADOS UNIDOS
RESUMEN
La Oficina del Auditor del Estado es la principal entidad de auditoría gubernamental para el gobierno estatal de Massachusetts. Hemos
utilizado extensamente COBIT en la selección de auditoría, en compromisos individuales y para sustentar resultados. COBIT ayuda a nuestros
equipos en la identificación de auditorías de TI y para delimitarlas en uno o más dominios o conjuntos de objetivos de control.
ANTECEDENTES
Nuestras auditorías proporcionan al gobernador, al cuerpo legislativo, a los auditados, a las entidades de control y al público una evaluación
independiente de las funciones y las actividades del estado. La división de auditoría de TI realiza auditorías integradas, financieras, operativas
y de TI en un ambiente multi – plataforma que incluye 20 grandes centros de datos y más de 150 pequeñas y medianas instalaciones en más de
600 entidades de auditoría.
PROCESO
Nuestro equipo de administración de auditorías de TI utilizó un enfoque por fases en donde algunos miembros de nuestro personal de auditoría
de TI fueron introducidos al Marco de Referencia, Objetivos de Control y Directrices de Auditoría para su utilización en auditorías. El equipo
seleccionado audita la instalación de TI donde el examen incluye en el alcance el sistema bajo desarrollo auditando un sistema de aplicación en
particular.
Una vez que el equipo administrativo y los auditores senior seleccionados estuvieron lo suficientemente familiarizados con COBIT para apoyar
a otra parte del personal, todo el personal de auditoría de TI recibió una sesión de capacitación de 2 días sobre el modelo de control y los
productos relacionados. La utilización de COBIT como programa piloto proporcionó una excelente idea de su aplicación y las experiencias
adecuadas sobre las cuales se desarrolla la capacitación.
En la tarea previa a la auditoría COBIT ayuda a identificar procesos de alto riesgo de TI y evalúa el ambiente de control de TI. Por medio de la
revisión de las políticas organizacionales y de TI contra los objetivos de control detallados y de alto nivel de COBIT, el equipo se enfoca
rápidamente en las áreas a ser incluidas en el alcance de la auditoría o en la tarea de servicios potenciales de consultoría administrativa.
Durante las actividades previas a la auditoría, nuestro equipo usa el marco de referencia y los objetivos de control de COBIT para facilitar las
discusiones de entrevista. La identificación de datos y los requerimientos y fuentes de información son referidos a los requerimientos de
información de negocios de COBIT. Esto ayuda a los equipos de auditoría y a los auditados en discusiones sobre objetivos de control y
políticas, procedimientos y estándares de control.
El enfoque de COBIT hacia los objetivos de controlo y su propósito relacionado con la organización de negocios ha apoyado los esfuerzos de la
administración de auditorías para alejarse de las auditorías mediante listas de verificación. Continuamos fortaleciendo nuestro proceso de
planeación de auditorías y nuestra comprensión de los objetivos de control fundamentales para la TI mediante la implantación de los principios
de COBIT.
CONCLUSIÓN
Al comienzo del compromiso, el equipo de auditoría hace referencia a COBIT durante las conferencias iniciales como uno de sus principales
criterios de auditoría. Es una fuente experta que otorga credibilidad a los criterios de revisión y, cuando se comparte con el auditado, proporciona
excelentes oportunidades para un trabajo constructivo de auditoría. Esto ha ayudado a los auditados a entender la base de la revisión desde el
principio. Además, nuestro equipo descubrió que COBIT utiliza eslabones con el Committee of Sponsoring Organizations (COSO) y cambios
actuales para los estándares de auditoría (por ejemplo, implantación de SAS 70 y 78). Las Directrices de auditoría de COBIT también pueden
utilizarse para desarrollar programas de trabajo de auditoría.
COBIT también es útil para ayudar a los auditados a evaluar y fortalecer sus controles internos. Existe un tremendo beneficio para ellos al estar
mejor preparados para las siguientes auditorías. El estar conscientes de los criterios de revisión significa que los auditados están conscientes de las
prácticas de control recomendadas para los procesos de TI. La organización de COBIT facilita al auditado la relación e interpretación de las
solicitudes de información y de las recomendaciones subsecuentes de los auditores.
Nuestra experiencia con COBIT también ha ayudado a los auditores poco experimentados a comprender los procesos de TI y los objetivos
detallados de control, y para delimitar esto dentro de la organización auditada y el ambiente de TI. Mediante la implantación de COBIT, hemos
identificado la necesidad de mejorar y enmendar lineamientos de auditoría genéricos, manuales de procedimientos de auditoría y revisiones de
aseguramiento de calidad.
En lo general, hemos logrado una consistencia incrementada de las discusiones con respecto a dominios de TI, objetivos de control y controles de
64
28361 imp toolset.pub
page 64
IT GOVERNANCE INSTITUTE
Tuesday, February 15, 2005 08:17
Composite
CONJUNTO DE HERRAMIENTAS DE IMPLEMENTACION
AD VAN NIJNATTEN, ASOCIADO, AUDITORÍA DE PED, PAÍSES BAJOS
EDDY SCHUERMANS, CISA, ASOCIADO, SERVICIOS DE ASEGURAMIENTO, BÉLGICA
RENE BARLAGE, AUDITOR DE PED
PRICEWATERHOUSECOOPERS
RESUMEN
En los Países Bajos, PriceWaterHouseCoopers tiene 100 auditores de PED en servicios de aseguramiento de computadoras,
muchos de los cuales ya poseen un profundo conocimiento de COBIT y lo están utilizando para sus clientes. Para muchos
clientes, utilizamos el siguiente enfoque por fases:
•
Enfocar. Identificar los motores del negocio para la TI y evaluar el nivel de riesgos de negocios involucrados con la
implementación de TI.
•
Evaluar. Valorar las amenazas y vulnerabilidades, identificar la falta o las medidas de control inadecuadas y
determinar las raíces de las causas.
•
Resolver las deficiencias de control. Acordar planes de acción y aplicar mejoras de control interno.
•
Monitorear. Asegurar el mejoramiento continuo mediante la implantación de un monitoreo adecuado de las medidas
de control interno aplicadas.
ANTECEDENTES
Hemos implantado COBIT para varios clientes de PriceWaterHouseCoopers y ellos apoyan fuertemente el marco de
referencia. Nuestro personal lo utiliza para desarrollar programas de mejoramiento para los departamentos de TI de los
clientes Los objetivos detallados de control nos ayudan a valorar mejor los procesos administrativos de los sistemas de los
clientes.
PROCESO
Los ejemplos de la manera en que COBIT se utilizó exitosamente en situaciones de negocios incluyen:
Línea aérea. El cliente nos pidió que midiéramos la eficacia y la eficiencia de su departamento de TI. Primero
medimos la satisfacción de los usuarios y, después de analizar los resultados, realizamos una revisión detallada de los
procesos de TI, basándonos en COBIT como guía. Como resultado, los procedimientos en el departamento de TI
mejoraron significativamente.
Proveedor de servicios de redes. Un proveedor de redes implantó una administración de sistemas basada en ITIL. Se
nos pidió que realizáramos una revisión externa y que reportáramos los resultados a los clientes del proveedor. Nuestro
personal utilizo el marco de referencia de COBIT para realizar la auditoría.
Asociaciones civiles. Basándonos en los principios de COBIT e ITIL, realizamos un programa de mejoramiento para el
departamento de TI.
Cámara de Comercio. Varias fusiones y cambios significativos de negocios habían afectado el ambiente de TI de la
organización. Usamos el marco de referencia de COBIT para implantar un programa de mejoramiento apropiado.
Banca. Un banco danés nos solicitó documentar los controles base para diversas plataformas. Describimos los
controles base para RS/6000, servidores Windows NT y diversos componentes de redes. Para la parte de administración
de sistemas de los controles base, consultamos los objetivos detallados de control de COBIT.
CONCLUSIÓN
Un beneficio único de COBIT es que la Biblioteca de Infraestructura de TI (ITIL – Information Technology Infrastructure
Library) es uno de los estándares globales sobre los cuales se basa COBIT. Desarrollada en el Reino Unido, ITIL es popular
en muchos países. En los Países Bajos, a los auditores miembros de ITIMF.EDP, un grupo usuario de ITIL, con frecuencia
se les pide que auditen procesos de TI creados utilizando publicaciones ITIL. COBIT proporciona un excelente marco de
referencia para realizar dichas auditorías.
IT GOVERNANCE INSTITUTE
28361 imp toolset.pub
page 65
65
Tuesday, February 15, 2005 08:17
Composite
CONJUNTO DE HERRAMIENTAS DE IMPLEMENTACION
PRATAP OAK, AUDITOR SENIOR DE TI
JAY STOTT, VICEPRESIDENTE, AUDITORÍA DE TI
FIDELITY INVESTMENTS
BOSTON, MASSACHUSETTS, ESTADOS UNIDOS DE AMÉRICA
RESUMEN
Desde que Fidelity Investments, una organización de administración de inversiones con base en Boston, MA, adoptó
COBIT, el trabajo de auditoría se ha vuelto extremadamente consistente y ahora son factibles las auto – evaluaciones de
control.
ANTECEDENTES
Fidelity tiene 24,000 empleados en 70 ciudades en los Estados Unidos, Canadá, Europa, Australia y Asia. Los bienes/
activos de sus clientes representan un total de aproximadamente $905 billones de dólares.
El marco de referencia de COBIT puede mejorar proactivamente el ambiente de control y proporciona servicios con valor
agregado. Resuelve directamente el reto enfrentado por nuestro CIO y otros ejecutivos en apoyo a los objetivos generales
de negocios mediante el mejoramiento continuo de los sistemas de TI. Como resultado del apoyo de la alta administración
y el ánimo de mejoramiento continuo, hemos ‘COBIT – izado’ el proceso de auditoría en un período de tiempo relativamente
corto.
Hemos logrado más auditorías con menos recursos y hemos mejorado la coordinación con otros grupos de auditoría, las
evaluaciones de riesgos, la planeación de auditorías, el alcance de las auditorías y la comunicación de problemas de
auditoría. Uno de los beneficios más importantes que hemos obtenido utilizando COBIT es la satisfacción de llevar a cabo
un trabajo de calidad.
PROCESO
Anteriormente, el reto de mitigar los riesgos de TI se manejaba con las mejores prácticas y metodologías relacionadas.
Nuestros gerentes apoyan fuertemente las mejoras continuas y reconocieron rápidamente que COBIT proporcionaba un
estándar generalmente aplicable y aceptado para el control de TI. COBIT ha llevado el proceso hacia delante ofreciendo una
base para los controles de TI que se relacionan directamente con los objetivos de negocios de Fidelity.
En 1996, realizamos una revisión utilizando el marco de referencia de COBIT y confirmamos su utilidad. En 1997, creamos
una base de datos de dominios, procesos y objetivos/elementos de control de COBIT. Entonces mapeamos la base de datos
COBIT con los diversos tipos de auditorías que realizamos.
Muchos cambios positivos fueron el resultado de este esfuerzo. Los programas de auditoría y la documentación de papeles
de trabajo fueron actualizados con base al marco de referencia. COBIT fue incorporado en nuestra declaración de misión.
Los memorándums de compromiso explican ahora la manera en que se usa el marco de referencia y copias del marco de
referencia están disponibles para los auditados para ayudarles a prepararse mejor para la auditoría y para comprender sus
beneficios.
CONCLUSIÓN
Mediante la implantación de COBIT, hemos incorporado en nuestras auditorías un cuerpo de conocimientos completo sobre
los controles. COBIT proporciona una base experta de los controles de TI y ayuda a asegurar una cobertura completa,
eficiente y consistente del ambiente de control de TI.
En el futuro, planeamos utilizar COBIT para controlar las revisiones de auto – evaluación y para reforzar el ambiente de
control. Proporciona una base para medir mejor el estado del ambiente de control de TI y es lo suficientemente flexible
para apoyar nuestros objetivos a través de muchos cambios por venir.
66
28361 imp toolset.pub
page 66
IT GOVERNANCE INSTITUTE
Tuesday, February 15, 2005 08:17
Composite
CONJUNTO DE HERRAMIENTAS DE IMPLEMENTACION
CHRISTIAN HENDRICKS
DEPARTAMENTO DE DEFENSA
ESTADOS UNIDOS
RESUMEN
The Office of Inspector General (OIG) del Departamento de Defensa de los Estados Unidos utiliza COBIT como un estándar
para definir el área de auditoria de TI. COBIT está escrito de manera tal que la comunidad de TI puede entender y adherirse
al mismo. Como resultado, pueden prepararse planes estratégicos para asegurar una cobertura de auditoría eficaz. Este
estudio de caso detalla la forma en que se implantó COBIT para realizar la planeación estratégica de TI, establecer una base
para evaluar las habilidades de sus auditores y seleccionar los mejores cursos de capacitación de TI.
ANTECEDENTES
El dominio y marco de referencia del proceso de COBIT presenta actividades de control dentro de una estructura manejable
y definible. Para cada uno de los cuatro dominios, los objetivos de control se evalúan sobre la base de la oportunidad en que
se presentan en el plan estratégico de la OIG. Nuestra meta a largo plazo es cubrir cada uno de los objetivos de control
dentro de los dominios.
PROCESO
Las auditorías se planean utilizando los objetivos de control como criterios. Los procedimientos detallados de auditoría se
desarrollan sobre la base de diversas áreas, incluyendo los requerimientos gubernamentales y el uso de técnicas de auditoría
asistidas por computadora. Dado que los auditores que trabajan en TI necesitan experiencia especializada, utilizamos
COBIT para realizar evaluaciones de habilidades y asegurar que la auditoría pueda llevarse a cabo exitosamente. Los
auditores califican su capacidad de trabajo en los cuatro dominios de COBIT y evalúan su capacidad de auditoría utilizando
los objetivos de control de alto nivel. Los estudios, la capacitación y la experiencia en TI de cada auditor se caracterizan
basándose en los siguientes tres conjuntos de habilidades:
Comprensión Básica: Amplio conocimiento de un proceso de TI, su propósito, sus objetivos y sus metas.
Conocimiento Funcional: Capacidad demostrada para identificar fortalezas y debilidades de control interno dentro de
un proceso de TI.
Conocimiento Experto: Capacidad de diseñar y utilizar técnicas de auditoría asistidas por computadora para
identificar, evaluar y corregir debilidades de control interno.
Para evaluar las oportunidades de capacitación, mantenemos una base de datos de cursos basados en su capacidad de brindar
un conjunto de habilidades que apoyen a un dominio y objetivo de control de COBIT. Otros factores, tales como costo del
curso, fechas y desempeño, también son tomados en consideración. Basándonos en la evaluación de cursos de COBIT,
podemos seleccionar el mejor curso en el momento adecuado.
CONCLUSIÓN
COBIT proporciona un marco de referencia al que la comunidad de TI puede comprender y adherirse. Como resultado,
pueden prepararse planes estratégicos de auditoría para asegurar una cobertura de auditoría eficaz. Además, utilizando los
objetivos de control como base para evaluar las auditorías de TI y los requerimientos de habilidades de los auditores, se
puede brindar capacitación eficaz y oportuna para asegurar que la auditoría pueda llevarse a cabo exitosamente.
IT GOVERNANCE INSTITUTE
28361 imp toolset.pub
page 67
67
Tuesday, February 15, 2005 08:17
Composite
CONJUNTO DE HERRAMIENTAS DE IMPLEMENTACION
JOHN BEVERIDGE, CISA
PARA
BOSTON GAS COMPANY
ESTADOS UNIDOS DE AMÉRICA
RESUMEN
Se estudió cuidadosamente a COBIT para aprender sus beneficios y determinar como sería más beneficioso para Boston Gas.
Consistente con la estrategia de Auditoría Interna del departamento, de proporcionar servicios de auditoría con valor
agregado, COBIT ha servido como un punto de referencia para las mejores prácticas de control y para los criterios de
revisión.
ANTECEDENTES
Boston Gas Company, un servicio público, emplea a 1,400 personas y genera $700 millones de dólares al año. Da servicio
a 74 ciudades y poblaciones en el área metropolitana de Boston, MA, EUA. Su ambiente de TI es manejado principalmente
por un Mainframe IBM, plataformas UNIX, Novell, y plataformas y redes NT.
PROCESO
El Gerente de Auditoría Interna y un auditor de SI obtuvieron COBIT cuando se publicó en 1996 y poco después
participaron en una presentación de COBIT patrocinada por el Capítulo de Nueva Inglaterra de ISACA.
Convencidos de que COBIT podía beneficiar a Boston Gas en el desarrollo de políticas y procedimientos relacionados con
TI y para llevar a cabo auditorías de TI, los gerentes presentaron los principios de COBIT al Vicepresidente de SI y a los
miembros del personal de SI. Como resultado de dicha presentación, se identificaron varios usos personalizados y exitosos
de COBIT, incluyendo:
•
El Director de Auditoría Interna indicó que el departamento adoptaría a COBIT como estándar de revisión de tal forma
que los objetivos para la revisión se comunicasen de manera clara.
•
El departamento de SI adoptó a COBIT como punto de referencia y conjunto de objetivos y lineamientos de control
contra los cuales medir las funciones y proyectos futuros y presentes de SI.
CONCLUSIÓN
El éxito de la introducción de COBIT y de que los departamentos de Auditoría Interna y SI lo adoptarán residió en
familiarizarse con el marco de referencia de control, la obtención de capacitación y el enfoque de su tiempo hacia la
implantación de sus principios. COBIT ha proporcionado valor agregado a la empresa de servicios públicos a través del
enfoque hacia el objetivo general de negocios mientras se fortalecen los controles de TI.
68
28361 imp toolset.pub
page 68
IT GOVERNANCE INSTITUTE
Tuesday, February 15, 2005 08:17
Composite
CONJUNTO DE HERRAMIENTAS DE IMPLEMENTACION
DAVID ABTS, VICEPRESIDENTE EJECUTIVO, DIRECTOR DE MIS Y OPERACIONES
SANTA BARBARA BANK AND TRUST
SANTA BARBARA, CALIFORNIA, ESTADOS UNIDOS DE AMÉRICA
RESUMEN
El Santa Barbara Bank and Trust implantó COBIT para dar apoyo a nuestros objetivos generales de negocios con un
gobierno de TI eficaz.
ANTECEDENTES
Adoptamos el enfoque COBIT porque se enfoca sobre las necesidades del negocio. Primero que nada, estamos manejando
un negocio. Al implantar los principios de COBIT, hemos sido capaces de mantener en la mira nuestros objetivos de
negocios mientras que damos los pasos necesarios para asegurar un ambiente controlado de sistemas de información.
PROCESO
Nuestros auditores de SI anteriormente se enfocaban en auditorías de sistemas o códigos de cómputo. Después de implantar
los principios de COBIT, realizan las auditorías de acuerdo con los procesos del negocio, con alcances de auditoría que son
fácilmente comprendidos y apoyados por los gerentes de negocios. Por ejemplo, en donde una auditoría anteriormente se
podría haber enfocado en el ‘control sobre NT’, ahora tendrá como objetivo el ‘procesamiento de principio a fin de una
solicitud de préstamo.’
En vez de considerar a las auditorías de SI como una interrupción de los negocios, los gerentes de los departamentos ahora
utilizan el conocimiento de los auditores para agregar valor y protección.
Por dar un ejemplo, los gerentes aseguraron a los auditores que las personas externas indeseables no podrían tener acceso a
las computadoras internas a través de un sitio corporativo de la red mundial (world wide web). Pero el personal de auditoría
notó que existía una capacidad de correo electrónico y alertó a los gerentes de que el sistema de correo electrónico
necesitaba controles para reducir el riesgo de correos Spam, el cual podría afectar a la red.
CONCLUSIÓN
Como resultado de la implantación de COBIT, la cooperación entre los gerentes de negocios y los auditores de SI aumentó y
se mejoró la comunicación. El marco de referencia de COBIT y sus otros componentes ayudaron a los gerentes a
comprender claramente la manera en que los controles y los asuntos de seguridad benefician a sus departamentos.
Cuando los gerentes de los departamentos y los auditores de SI hablan el mismo idioma de negocios, el proceso de auditoría
se convierte en un esfuerzo cooperativo que beneficia a todo el banco.
IT GOVERNANCE INSTITUTE
28361 imp toolset.pub
page 69
69
Tuesday, February 15, 2005 08:17
Composite
CONJUNTO DE HERRAMIENTAS DE IMPLEMENTACION
PETER DE KONICK, AUDITOR SENIOR, BRUSELAS, BÉLGICA
ERIK GULDENTOPS, DIRECTOR, GLOBAL INFORMATION SECURITY
SOCIEDAD PARA LA TELECOMUNICACIÓN FINANCIERA INTERBANCARIA MUNDIAL (S.W.I.F.T. – SOCIETY FOR
WORLDWIDE INTERBANK FINANCIAL TELECOMMUNICATION)
RESUMEN
La Sociedad para la Telecomunicación Financiera Interbancaria Mundial (S.W.I.F.T.) utilizó COBIT en una auditoría de sus centros de
apoyo al cliente localizados en los Países Bajos, Singapur y los Estados Unidos. Este fue un esfuerzo de auditoría que implicó 16
personas por semana.
ANTECEDENTES
S.W.I.F.T. es una cooperativa con base en Bélgica, propiedad de 2,465 bancos para servicios de mensajería financiera interbancaria
segura y software de interfaz. La red global de S.W.I.F.T. maneja aproximadamente 2.5 millones de mensajes diariamente con un
promedio total de transacciones diarias de $2.3 trillones de dólares.
La función de apoyo al cliente de S.W.I.F.T. ha sido rediseñada recientemente y se pusieron en marcha nuevas herramientas y procesos.
El plan de auditorías proporcionó espacio para herramientas y procesos de auditoría. COBIT ha sido utilizado para auditar los procesos,
más no las herramientas.
PROCESO
La primera reacción de la administración ante el modelo de control y el gobierno de TI de COBIT fue un tanto negativa debido a la
oportunidad. Pero los auditados con frecuencia piensan que las auditorías llegan en mal momento. Durante la auditoría, sin embargo,
esta actitud se revirtió y el enfoque se convirtió en buena aceptación. Este cambio fue confirmado por la alta administración después de
que recibieron el borrador del reporte de auditoría.
Los gerentes estaban particularmente impresionados por la orientación del proceso que se utilizó en lugar de la forma tradicional de
enfocarse hacia la confidencialidad/integridad/disponibilidad. El resultado más aparente del enfoque COBIT es la preparación lógica y la
secuencia de las entrevistas que hacen más eficiente el proceso ya que los auditores obtienen su conocimiento en un orden apropiado.
Se han tenido largas discusiones para obtener la aprobación del alcance de la auditoría por parte de la alta administración ya que el marco
de referencia de COBIT estaba conduciendo una investigación en áreas anteriormente no investigadas. Los gerentes cuestionaron la
capacidad del equipo de auditoría para realizar una auditoría de objetivos en estos nuevos campos. El departamento anteriormente
únicamente observaba problemas de seguridad de TI, con una seguridad ampliamente definida. El enfoque COBIT se dirigía hacia la
administración del proceso y a los problemas del control de procesos.
Construimos una matriz utilizando los objetivos de control de COBIT. Una evaluación de riesgos nos ayudó a determinar cuáles
objetivos serían verificados durante la auditoría. Entonces relacionamos los objetivos para la auditoría con (a) los alcances de auditorías
anteriores, (b) los estándares de la industria y (c) con las listas de verificación proporcionadas por auditores externos.
Basándonos en la matriz, construimos el programa de auditoría. El marco de referencia de COBIT nos permitió dar prioridad a las
actividades de auditoría y áreas bajo revisión, utilizando las calificaciones primarias/secundarias proporcionadas por COBIT.
CONCLUSIÓN
La implantación del marco de referencia de COBIT en esta auditoría fue un cambio mayor para los auditores y la administración.
Mientras que el cambio frecuentemente crea adversidad y crítica, la orientación del proceso fue rápidamente apreciada por la
administración y los auditores están planeando utilizarla nuevamente.
COBIT será usado más y más en auditorías futuras, seguramente ahora que el Comité de Auditoría lo ha ratificado como la referencia de
auditoría de TI. Ciertamente se está considerando como una buena base para revisiones de tipo SAS70. Paralelamente, COBIT también
ha logrado colarse dentro de la organización de TI de la empresa. Después de que el CIO, al encontrarse por accidente con el Marco de
Referencia, lo ordenó para todos los Gerentes de Servicio de TI. Elevó sus ideas y planes para llevar a la organización de TI hacia una
excelencia de procesos incrementada.
COBIT también está encontrando uso inmediato y práctico. Cuando se buscan ideas para la definición de la misión y objetivos de un
nuevo grupo de planeación de sistemas, el CIO vino y me dijo: “¡Dame tus Objetivos Detallados de COBIT para ayudarnos a hacer
esto!” Yo solamente tuve que señalarle las secciones PO1 a la PO5. Él me había pedido ideas para esta misión y objetivos
anteriormente, así es que ¿por qué no se me ocurrió a mí antes?
70
28361 imp toolset.pub
page 70
IT GOVERNANCE INSTITUTE
Tuesday, February 15, 2005 08:17
Composite
CONJUNTO DE HERRAMIENTAS DE IMPLEMENTACION
1.
¿CUÁL ES EL PROPÓSITO DE COBIT?
El propósito de COBIT es proporcionar a los dueños
de procesos administrativos y de negocios un modelo de
gobierno de TI (IT – Information Technology) que ayude
en la compresión y el manejo de los riesgos asociados con
TI. COBIT ayuda a enlazar las brechas entre los riesgos de
negocios, las necesidades de control y los problemas
técnicos. Es un modelo de control para cubrir las
necesidades de gobierno de TI y para asegurar la integridad
de la información y de los sistemas de información.
2.
¿QUIÉN ESTÁ UTILIZANDO COBIT?
COBIT está siendo utilizado por aquellos que tienen
responsabilidades principales de procesos y tecnología de
negocios, aquellos que dependen de la tecnología para
información relevante y confiable, y aquellos que
suministran calidad, confiabilidad y control de tecnología
de información.
3.
¿QUIÉNES SON DUEÑOS DE PROCESOS?
COBIT es un proceso de negocios orientado y por lo
tanto se resuelve a sí mismo en primer lugar para los
dueños de estos procesos. Refiriéndonos al Modelo
Genérico de Negocios de Porter, estamos hablando de
procesos básicos (abastecimiento, operaciones, mercadeo,
ventas, etc.), así como también de procesos de apoyo
(recursos humanos, administración, tecnología de
información, etc.). Como consecuencia, COBIT no es
aplicado solamente por el departamento de TI, sino por el
negocio como un todo.
El enfoque anterior se deriva del hecho de que en las
empresas de hoy en día, los dueños de procesos son
responsables del desempeño de sus procesos, de los cuales
la TI se ha convertido en una parte integral. En otras
palabras, tienen poder pero también son responsables.
Como consecuencia, los dueños de procesos de negocios
cargan con la responsabilidad final de la tecnología de
información y su implementación dentro de los confines de
sus procesos de negocios. Por supuesto, harán uso de
servicios suministrados por entidades especializadas como
el departamento de TI tradicional o el proveedor de
servicios externo.
COBIT brinda a los dueños de procesos un marco de
referencia que deberá permitirles controlar todas las
diferentes actividades que involucra la implementación de
TI. Como resultado, sobre estas bases pueden obtener la
seguridad razonable de que TI contribuirá en la
consecución de los objetivos de su negocio.Además,
COBIT brinda a los dueños de procesos de negocios un
marco de referencia genérico de comunicación para
facilitar la comprensión y la claridad entre las diferentes
partes involucradas en el suministro de servicios de TI.
De otra parte, la adición de Las Directrices
Gerenciales, en la tercera edición provee a la
administración un conjunto de herramientas que
permiten auto-evaluaciones con el fin de tomar
decisiones para la implementación de controles y el
mejoramiento sobre TI, y medir el logro de los objetivos
y del apropiado desempeño de los procesos de TI. Las
Directrices Gerenciales incluyen Factores Críticos de
Éxito, Indicadores Claves de Objetivo e Indicadores
4.
¿POR QUÉ SE ENFOCÓ LA ORIENTACIÓN DE
COBIT EN EL PROCESO EN LUGAR DE LAS
FUNCIONES O APLICACIONES?
El marco de referencia de COBIT ha sido
estructurado en 34 procesos de TI que agrupan actividades
de ciclo de vida interrelacionadas o tareas discretas
interrelacionadas. El modelo de procesos fue preferido por
diversas razones. Primeramente, un proceso por naturaleza
está orientado a los resultados de manera tal que se enfoca
en el resultado final mientras optimiza el uso de recursos.
La manera en que están físicamente estructurados dichos
recursos, por ejemplo, personas/habilidades en
departamentos, es menos relevante desde esta perspectiva.
En segundo lugar, un proceso, y especialmente sus
objetivos, es de naturaleza más permanente y no corre
riesgos de cambio tan frecuentemente como una entidad
organizacional. En tercer lugar, el despliegue de TI no
puede confinarse a un departamento en particular e
involucra usuarios y administración, así como también
especialistas de TI. Dentro de este contexto, el proceso de
TI permanece sin importar el común denominador.
Por lo que a las aplicaciones respecta, se tratan
dentro del marco de referencia de COBIT como una de las
cinco categorías de recursos. Por lo tanto serán manejadas
y controladas de manera tal que se obtenga la información
requerida en el nivel de proceso del negocio. De esta
forma, los sistemas de aplicaciones son una parte integral
del marco de referencia de COBIT y pueden resolverse
específicamente mediante el punto de ventaja de recurso.
En otras palabras, al enfocarse estrictamente solo en los
recursos, uno obtendría automáticamente un punto de vista
de aplicaciones de los objetivos COBIT.
5.
¿QUÉ TAN ROBUSTOS SON LOS
REQUERIMIENTOS DE NEGOCIOS?
Durante el proceso de revisión de COBIT, a los gerentes
senior y CIOs les agradó la definición de los
IT GOVERNANCE INSTITUTE
28361 imp toolset.pub
page 71
71
Tuesday, February 15, 2005 08:17
Composite
CONJUNTO DE HERRAMIENTAS DE IMPLEMENTACION
requerimientos de información del negocio y apoyaron las
elecciones sobre cuáles requerimientos eran los más
importantes en cuáles procesos. Las elecciones fueron
difíciles y provocaron considerable debate entre los
expertos durante el proyecto. El principio guía siempre
ha sido: ¿Qué es realmente fundamental para este
Objetivo de Control en este proceso? ¿Qué recurso
necesita un control especial? ¿Cuál requerimiento de
información necesita especial atención?
6.
¿CUÁL ES LA CALIDAD GENERAL DE COBIT Y
FUERON ALGUNOS DUEÑOS/EJECUTIVOS DE
NEGOCIOS PARTE DE LOS EXPERTOS QUE
LLEVARON A CABO LA REVISIÓN?
Con el fin de asegurar la calidad final de COBIT, se
han tomado diversas medidas. Las más importantes
son:
i.
Todo el proceso de investigación ha sido
gobernado por el Comité Directivo de COBIT
(CSC). Además de preconcebir las
características de los entregables, el CSC
también ha sido responsable por la calidad final
de dichos entregables.
ii. Los resultados detallados de la investigación
han sido sujetos a controles de calidad a lo largo
de todo el proceso.
iii. Los resultados preliminares de la investigación,
así como también el marco de referencia, han
sido expuestos a dos grupos de expertos,
incluyendo administradores de negocios.
iv. Antes de publicar los textos finales, estos han
sido distribuidos entre un número de
especialistas para sus comentarios.
Las Directrices Gerenciales fueron desarrolladas por
un panel internacional conformado por 40
expertos en control y seguridad, directivos de TI
profesionales en la administración del
desempeño, analistas de la industria y
académicos que participaron en un taller de
trabajo residencial conducido por facilitadores
profesionales. Los entregables del taller de
trabajo atravesaron un proceso de
aseguramiento de calidad y fueron expuestos
para su revisión. Sin embargo en necesario
enfatizar que las Directrices aún son genéricas,
aplican generalmente y no proporcionan normas
específicas de la industria. Las organizaciones
necesitan en muchos casos personalizar éste
conjunto general de Directrices a su propio
ambiente.
72
28361 imp toolset.pub
page 72
En general, la experiencia demuestra que el modelo
COBIT convence a la administración de negocios
como un todo y que aprecian su valor agregado
desde el punto de vista del mejoramiento de su
control sobre TI. A este respecto, estamos seguros
de que se ha alcanzado el nivel de calidad requerido,
más allá de la satisfacción del cliente.
7.
¿CUÁL ES LA DIRECCIÓN A FUTURO DE COBIT?
Como cualquier investigación innovadora, COBIT
será actualizado cada 3 años. Esto asegurará que el
modelo y el marco de referencia permanezcan válidos. La
validación también conllevará el aseguramiento de que los
41 materiales de referencia primarios no hayan sufrido
cambios, y si los han tenido, que se reflejen en el
documento
8.
¿CÓMO HIZO ISACF/A PARA DECIDIR SOBRE LA
LISTA DE REFERENCIAS PRIMARIAS?
La lista de referencias primarias fue desarrollada
como un consenso colectivo basado en la experiencia de
los profesionales que participaron en el grupo de
investigación del Comité Directivo del COBIT, que
enfocaron sus esfuerzos a una revisión experta y al
aseguramiento de calidad.
9.
¿PUEDO USAR COBIT COMO UNA DECLARACIÓN
DE CRITERIOS PARA CONCLUSIONES
ESPECÍFICAS DE AUDITORÍA?
Sí. Al basar firmemente las Directrices de Auditoría
sobre los Objetivos de Control, COBIT retira la opinión del
auditor de la conclusión de auditoría, reemplazándola con
criterios sólidos. COBIT está basado en 41 estándares y
documentos de las mejores prácticas para tecnología de
información a partir de los organismos de fijación de
estándares (tanto públicos como privados) mundiales.
Estos incluyen documentos de Europa, Canadá, Australia,
Japón y los Estados Unidos. Dado que COBIT contiene
todos los estándares mundiales pertinentes e identificables
hasta este momento, incluye todo con respecto a los
estándares de control de TI. Como resultado, COBIT puede
utilizarse como una fuente sólida de documentos de
referencia, brindando criterios de control de TI para
auditorías.
10.
¿LOS OBJETIVOS DE CONTROL TIENEN COMO
FINALIDAD SER UN NIVEL MÍNIMO DE CONTROL
O LA MEJOR PRÁCTICA?
Son tanto la práctica mínima como la mejor ya que
todavía estamos al nivel de objetivos de control, no en el
nivel de lineamientos de control o prácticas de control.
IT GOVERNANCE INSTITUTE
Tuesday, February 15, 2005 08:17
Composite
CONJUNTO DE HERRAMIENTAS DE IMPLEMENTACION
Esto será resuelto en fases subsecuentes del proyecto
COBIT en donde el ambiente de la empresa, los objetivos
específicos de negocios, el nivel de seguridad que uno
desea alcanzar, el nivel de riesgo que uno desea aceptar,
etc., determinarán cómo se traducirán los objetivos de
control para un proceso en el nivel correcto de control.
Dado que todas estas elecciones no son evidentes por
sí mismas y dado que el proceso de selección de control
puede ser oneroso y consumir demasiado tiempo,
seguramente deberán desarrollarse y promoverse la
seguridad mínima estándar y los niveles de control.
11. ¿QUÉ HAY RESPECTO A LA FALTA DE CONTROLES
ESPECÍFICOS DE PLATAFORMA?
Los objetivos de control de COBIT son de naturaleza
genérica y resuelven actividades o tareas dentro de procesos de
TI. De esta forma, son independientes de la plataforma por una
parte. Por otra parte, sin embargo, son la estructura general sobre
la cual se van a definir controles más específicos relacionados con
la plataforma. De hecho, los objetivos generales de control
deberán permanecer válidos sin importar si uno está controlando,
por ejemplo, una plataforma Mainframe o una plataforma de
automatización de oficinas. Es obvio que ciertos aspectos
requerirán mayor énfasis en un ambiente dado.
12.
¿DÓNDE ESTÁN LOS CONTROLES DE
APLICACIÓN?
Los controles de aplicaciones han sido
completamente integrados al modelo de COBIT. Esta
opción ha sido tomada considerando que COBIT está
orientado a procesos de negocios y que en este nivel los
controles de aplicación son simplemente parte de los
controles generales a ejercerse sobre los sistemas de
información y las tecnologías relacionadas. En la mayoría
de los casos, sin embargo, esta parte no puede ser externa.
De ahí que la pregunta, “¿Dónde están los controles de
aplicación?”, sea de primordial importancia.
Los sistemas de aplicaciones y datos se tratan dentro
del marco de referencia de COBIT como dos de las cinco
categorías de recursos. Estas van a suministrar la
información requerida en el nivel de proceso de negocios.
De esta forma, los sistemas de aplicaciones y datos son una
parte integral del marco de referencia de COBIT y pueden
tratarse específicamente a través del punto de ventaja de
recursos. Al hacer esto, uno notará que muchos procesos
de COBIT tratan los controles de aplicación y los continúan
a través de todo el ciclo de vida, desde la concepción hasta
las operaciones.
Además del punto de vista general de recursos, existe
un proceso “Administrar datos” en donde se pueden
encontrar transacciones y controles de archivos
tradicionales. Sin embargo, uno debe tomar en
consideración que dichos controles por si solos ya no
bastan para controlar eficazmente los sistemas de
aplicaciones y datos.
Cuando se integra a COBIT dentro de la organización,
deben tenerse en cuenta los anteriores elementos. A este
respecto, se requiere agregar controles específicos de
plataforma a los objetivos genéricos de control. Las
plataformas deberán interpretarse ampliamente en este
sentido (por ejemplo, automatización de oficinas,
telecomunicaciones, DatawareHouse, etc.). Los procesos
de COBIT que se volverán a revisar a este respecto son
aquellos que están relacionados con la categoría de
recursos de “tecnología.”
13.
¿POR QUÉ SE SUPERPONEN LOS OBJETIVOS DE
CONTROL?
La superposición de los objetivos de control, aunque
no ocurren frecuentemente, fue intencional. Algunos
objetivos de control trascienden dominios y procesos y
adicionalmente deben ser repetidos para asegurara que
existen en cada dominio o proceso. Algunos objetivos de
control son un medio para hacer cruces de verificación
entre uno y otro y desde luego debe ser repetido para
asegurar una aplicación consistente en mas de un dominio
o proceso. Es así que, aunque se percibe como una
superposición, COBIT intencionalmente repitió algunos
objetivos de control con el fin de asegurar una cobertura
apropiada de esos controles de TI.
14.
¿LOS OBJETIVOS DE CONTROL ESTÁN
VINCULADOS A LAS DIRECTRICES DE
AUDITORÍA – Y HASTA QUÉ GRADO?
Los objetivos han sido desarrollados a partir de una
orientación al proceso porque la administración está
buscando consejo pro – activo sobre cómo resolver el
problema de mantener TI bajo control. El equilibrio entre
costo y riesgo es el siguiente problema a resolver (esto es,
hacer una elección consciente de la manera en que se van a
implantar cada uno de los objetivos de control y si se van a
implantar o no). Los futuros productos de COBIT tratarán
profundamente esta elección, a pesar de que permanezca el
principio pro - activo – los objetivos de control deberán
aplicarse desde el primer momento para obtener unos
criterios de control de información (eficacia, eficiencia,
confidencialidad, disponibilidad, integridad, cumplimiento
y confiabilidad). El vínculo es el proceso. Los objetivos
de control ayudan a la administración a establecer el
control sobre el proceso, las directrices de auditoría ayudan
al auditor o asesor al proporcionarles seguridad de que el
IT GOVERNANCE INSTITUTE
28361 imp toolset.pub
page 73
73
Tuesday, February 15, 2005 08:17
Composite
CONJUNTO DE HERRAMIENTAS DE IMPLEMENTACION
proceso está realmente bajo control de manera tal que los
requerimientos de información necesarios para alcanzar los
objetivos del negocio serán satisfechos. En relación con el
marco de referencia de control representado por el modelo
de cascada, las directrices de auditoría pueden ser
considerados como retroalimentación de los procesos de
control hacia los objetivos de negocios. Los objetivos de
control son la guía que baja por la cascada para tener bajo
control el proceso de TI. Las directrices de auditoría son la
guía para subir de regreso a la cascada con la pregunta:
“¿Existe seguridad de que se alcanzará el objetivo de
negocios?” Algunas veces los lineamientos de auditoría
son traducciones literales de los objetivos de control; con
más frecuencia los lineamientos buscan la evidencia de que
el proceso está bajo control.
15.
¿POR QUÉ NO HAY NINGUNA DECLARACIÓN DE
RIESGO CON LOS OBJETIVOS DE CONTROL?
La provisión de declaraciones de riesgos se consideró
e investigó seriamente durante las fases de investigación y
revisión del proyecto inicial de COBIT, pero no se mantuvo
porque la administración prefirió el enfoque pro – activo
(la consecución de objetos) sobre el enfoque reactivo (la
mitigación de riesgos). El enfoque de riesgos viene al final
de las directrices de auditoría cuando se sustenta el riesgo
de no implantar los controles. En la aplicación de COBIT,
el enfoque de riesgos es ciertamente útil cuando la
administración decide qué controles implantar o cuando los
auditores deciden qué objetivos de control revisar. Ambas
decisiones dependen completamente del ambiente de
riesgo.
16.
¿QUÉ TIPO DE CAPACITACIÓN ESTÁ DISPONIBLE
PARA EL USO DE COBIT?
A través de las Oficinas Generales Internacionales de
ISACA, están disponibles sesiones de capacitación de uno
o dos días sobre los fundamentos de COBIT y su uso por la
administración y auditores o evaluadores. La capacitación
cubre los elementos de COBIT: marco de referencia,
definiciones, objetivos de control, directrices de auditoría,
estudios de casos y enfoques exitosos de implantación. La
capacitación puede personalizarse al gusto de la
administración ejecutiva, de los usuarios o evaluadores.
Además, ISACA ha preparado presentaciones con
diapositivas (incluidas en este paquete) para informar sobre
COBIT, su marco de referencia, sus definiciones, objetivos
de control y directrices de auditoría. ISACA también
brinda un curso de COBIT de dos días a través de todo el
año. ISACA puede personalizar las presentaciones para los
requerimientos de cualquier organización y el nivel de
detalle requerido.
74
28361 imp toolset.pub
page 74
17.
¿QUIÉN DENTRO DE MI ORGANIZACIÓN
DEBERÍA IR A LA CAPACITACIÓN?
La capacitación de COBIT deberá ser tomada por la
administración, gerentes y auditores de SI, profesionales de
TI, gerentes de procesos de negocios y profesionales de
auditoría y aseguramiento de calidad.
18.
¿CUÁL ES EL NIVEL DE CAPACITACIÓN
REQUERIDO?
La cantidad y nivel de capacitación necesaria está en
función de qué tan cómodo se siente uno con el producto.
Para aquellas entidades que son más pro – activas y que
tienen una relación bien definida con su departamento de
TI, la capacitación pudiera cumplirse simplemente por
medio de la utilización del Conjunto de Herramientas de
Implantación de COBIT. Sin embargo, para aquellas
entidades en donde las cosas no están tan bien definidas, se
recomienda que aquellos que integran la Administración,
TI y Auditoría asistan a una sesión de ISACA de un día.
Estas sesiones están disponibles a través de la Oficina
Internacional o de los capítulos locales distribuidos a nivel
mundial.
19.
¿POR QUÉ EXISTEN DIFERENCIAS ENTRE LOS
OBJETIVOS DETALLADOS DE CONTROL Y LAS
CONSIDERACIONES DE CONTROL?
Los Objetivos de control se enfocan sobre
específicos objetivos de control detallados asociados con
cada proceso de TI. Están definidos basados en un número
de recursos que comprenden estándares internacionales de
Jure y de facto relacionados con los controles sobre TI que
proporcionan el punto de vista del control del especialista.
Las consideraciones de control actualizadas en la tercera
edición del COBIT proporcionan puntos de vista de la
administración y están alineadas con los factores críticos
de éxito para los controles incluidos en las Directrices
Gerenciales.
20.
¿DE QUÉ FORMA PUEDO SUGERIR A LA
ADMINISTRACIÓN DE TECNOLOGÍA DE
INFORMACIÓN QUE UTILICE COBIT?
Como COBIT está orientado al negocio, su uso
para comprender los objetivos de control de TI con el fin
de administrar los riesgos del negocio relacionados con TI
es directo:
1.
2.
Empiece con sus objetivos del negocio en el
Marco Referencial.
Seleccione de los Objetivos de Control los
procesos de TI y los apropiados objetivos de
control para su empresa.
IT GOVERNANCE INSTITUTE
Tuesday, February 15, 2005 08:17
Composite
CONJUNTO DE HERRAMIENTAS DE IMPLEMENTACION
3.
4.
5.
Opere desde su plan de negocio
Analice sus procedimientos y resultados con
Las Directrices de Auditoria.
Analice el estado de su organización
identificado actividades críticas necesarias para
el éxito y mida el desempeño en busca de los
objetivos de la empresa con Las Directrices
Gerenciales.
21.
¿EL MARCO DE REFERENCIA DE COBIT ES
SUPERIOR A OTROS MODELOS DE CONTROL
ACEPTADOS?
La mayoría de los altos gerentes están conscientes de
la importancia de los marcos de referencia de control
generales con respecto a su responsabilidad fiduciaria, tales
como COSO, Cadbury, COCO o King; sin embargo, no
necesariamente pueden estar conscientes de los detalles de
cada uno de ellos. Además, la administración está cada
vez más consciente sobre las guías de seguridad más
técnicas, tales como las declaraciones de TI de OECD e
IFAC en el nivel superior y el Código de Prácticas de DTI
en el nivel detallado. Aunque los modelos anteriormente
mencionados enfatizan el control de negocios y los
problemas de seguridad de TI, solamente COBIT intenta
resolver los problemas específicos de control de TI desde
una perspectiva de negocios. Debería hacerse notar que
COSO fue utilizado como un material fuente para el
modelo de negocios. Por último, COBIT no tiene como
finalidad reemplazar a ninguno de dichos modelos de
control. Tiene como finalidad proporcionar más detalles
dentro del ambiente de TI mientras se refuerzan las
fortalezas de dichos modelos de control.
22.
¿CUÁL ES LA MEJOR Y MÁS RÁPIDA MANERA
DE VENDER COBIT A LOS GERENTES DE
TECNOLOGÍA DE INFORMACIÓN?
Como todos sabemos, no existe una caballería que
venga al rescate. Como lo señalan el resto de las
Herramientas de Implementación, la cultura organizacional
es vitalmente importante. Una cultura pro – activa será
más receptiva que una que no lo es. Sin embargo,
considere el enfatizar los aspectos de negocios y el hecho
de que COBIT no se pierde en terminología técnica.
Además, señale que COBIT fue diseñado de la misma
forma que piensa un gerente de TI, y que uno de sus
grandes beneficios es que todo se documenta en un solo
lugar.
De otra parte con la adición de Las Directrices
Gerenciales, COBIT proporciona a la administración
nuevas capacidades para soportar las autoevaluaciones del
estado de la organización, comparado con las mejores
prácticas de la industria, alineado con los objetivos de la
empresa y con la implementación de la toma de decisiones
y el monitoreo del desempeño. Los modelos de madurez,
los factores críticos de éxito, los indicadores claves de
objetivo y los indicadores claves de desempeño
proporcionan guías que ayudan a la administración en
mejorar la alineación de TI con la estrategia de toda la
empresa mediante el aseguramiento de que TI es un
posibilitador de las metas de la empresa.
23. DADO QUE ACTUALMENTE COBIT NO RESUELVE
RIESGOS ASOCIADOS CON NEGOCIOS, SINO MÁS
BIEN DECLARACIONES PRO-ACTIVAS DE
CONTROL A SER ALCANZADAS, ¿SE ESTÁ
TOMANDO ALGUNA CONSIDERACIÓN PARA
RESOLVER LA NECESIDAD PERCIBIDA DE
IDENTIFICACIÓN DE RIESGOS?
El riesgo está considerado de una manera difundida a
través del COBIT y aún mas con el advenimiento de las
Directrices Gerenciales en la tercera edición. Una mayor
consideración de los procesos de aseguramiento y control
es el modelo de Gobierno de TI que ahora es cubierto
extensamente en COBIT y en marco de referencia de Las
Directrices Gerenciales. El Gobierno de TI se refiere a los
objetivos genéricos de la empresa de medir los beneficios y
administrar los riesgos. La misma idea, de administración
de riesgos es un objetivo de la empresa que sin embargo ya
había sido capturado por COBIT anteriormente, porque
COBIT establece la necesidad de TI para proveer
información a la empresa, la cual debe tener las
características requeridas con el fin de posibilitar el logro
de los objetivos de la empresa. Mientras que los criterios
disponibilidad, integridad y confidencialidad relacionados
con la seguridad pueden ser más fácilmente asociados con
el riesgo, el no lograr los objetivos de la empresa o no
proporcionar los criterios requeridos es un riesgo que la
empresa necesita controlar.
Se proporcionan ejemplos específicos en la sección
de “Comprobación1” de Las Directrices de Auditoria. El
objetivo de esa sección es documentar para la
administración que puede o que ha sucedido como
resultado de no tener controles efectivos en
funcionamiento. De una forma más práctica, un proceso
completo fue definido para cubrir la evaluación de riegos.
(ver PO9-Evaluar Riesgos).
En conclusión, el riesgo está considerado en el
Marco de Referencia de una manera proactiva, por ejemplo
enfocándonos en los objetivos, porque el riesgo primario
IT GOVERNANCE INSTITUTE
28361 imp toolset.pub
page 75
75
Tuesday, February 15, 2005 08:17
Composite
CONJUNTO DE HERRAMIENTAS DE IMPLEMENTACION
que necesita ser administrado es que no se logren los
objetivos del negocio. Segundo, la sección de
“comprobación” de Las Directrices de Auditoría
proporcionan ejemplos de esos riesgos para cada proceso.
Esto provee la información sobre el riesgo que el
profesional en aseguramiento y control está buscando.
Finalmente un proceso completo de TI está dedicado a la
evaluación de riesgos en el paquete completo de los
objetivos de TI.
¿COBIT Y SU MARCO DE REFERENCIA HAN SIDO
ACEPTADOS POR LOS CIOS (Directores de
Sistemas de Información)?
Sí, ha sido aceptado por muchas organizaciones en el
ámbito global y se continúan documentando nuevos casos.
Sin embargo, no debería sorprender a nadie que en aquellas
entidades donde el CIO ha acogido a COBIT como un útil
marco de referencia de TI, esto ha sido consecuencia
directa de uno o más Campeones de COBIT dentro de los
Departamentos de Auditoría y/o TI.
24.
La adición de Las Directrices Gerenciales debe
haber incrementado la aceptación de COBIT tanto en la
empresa como en la administración de Ti, el énfasis sobre
la alineación de TI con las metas de la empresa, la
autoevaluación y la medición del desempeño aseguraran
que COBIT no sea solo visto como un marco de referencia
del control sino también como un proveedor de un
conjunto de herramienta para mejorar la eficacia de la
información y de los recursos de TI. La integración de Las
Directrices Gerenciales con el Marco de Referencia y los
Objetivos de Control proporcionarán énfasis adicional a la
administración para usar COBIT como un modelo
establecido, obligatorio y actualizado para el Gobierno y el
control de TI.
25.
¿COMO SE INTEGRAN LAS DIRECTRICES
GERENCIALES DENTRO DEL MARCO
REFERENCIAL DE COBIT?
Empezando con el Marco Referencial del COBIT , la
aplicación de estándares y directrices internacionales y la
investigación sobre las mejores prácticas han permitido el
desarrollo de los Objetivos de Control. Las Directrices de
Auditorías fueron desarrolladas después para evaluar si
esos Objetivos de Control están apropiadamente
1
implementados. Sin embargo la administración necesita
una aplicación similar del Marco de Referencia para
permitir una autoevaluación y tomar decisiones para la
implementación y mejoramiento de controles sobre su
información y la tecnología relacionada.
Las Directrices Gerenciales proporcionan las
herramientas que ayudan a cumplir esto. Fueron
desarrolladas para cada uno de los 34 Objetivos de control
de alto nivel con un proceso administrativo y una
perspectiva de la medición del desempeño. Los modelos de
madurez, los factores críticos del éxito, los indicadores
claves de objetivos y los indicadores claves de desempeño
son proporcionados por las directrices para soportar los
procesos de toma de decisiones de la administración. Las
consideraciones de control de los objetivos de control de
alto nivel han sido actualizadas para reflejar, sin comprar
una a una, los factores críticos de éxito de los objetivos de
control.
El desarrollo de Directrices Gerenciales tomó en
consideración la necesidad de soportar los requerimientos
de:
•
•
La administración de la empresa y de TI, con un
conjunto de herramientas de administración
para nuevos procesos, mientras se considera el
beneficio de utilizar un marco de referencia del
control establecido, autorizado y actualizado
como es el representado por el COBIT .
Los profesionales en seguridad y control con
unas bases para liderar y evolucionar los
procesos existentes orientados al control para
proveer servicios y valor adicional en el soporte
de los objetivos de la empresa
Las Directrices Gerenciales asumen un pequeño
conocimiento del marco de referencia del control, en
general, y del COBIT , en particular, para la gerencia
de la empresa y de TI. Todavía ellos utilizan la
misma estructura de Los Objetivos de Control y de
Las Directrices de Auditoría para soportar las
necesidades de los profesionales en seguridad y
control. A través del formato de contenido y
presentación hay apropiadas diferencias, todavía hay
integración y sinergia en la tercera edición del COBIT
para soportar las necesidades de las audiencias ya
mencionadas.
Comprobación ( substantiating)
76
28361 imp toolset.pub
page 76
IT GOVERNANCE INSTITUTE
Tuesday, February 15, 2005 08:17
Composite
CONJUNTO DE HERRAMIENTAS DE IMPLEMENTACION
APÉNDICES
IT GOVERNANCE INSTITUTE
28361 imp toolset.pub
page 77
77
Tuesday, February 15, 2005 08:17
Composite
CONJUNTO DE HERRAMIENTAS DE IMPLEMENTACION
PAGINA INTENCIONALMENTE EN BLANCO
78
28361 imp toolset.pub
page 78
IT GOVERNANCE INSTITUTE
Tuesday, February 15, 2005 08:17
Composite
CONJUNTO DE HERRAMIENTAS DE IMPLEMENTACION
APÉNDICE I – DIRECTRIZ DE ADMINISTRACIÓN DESGOBIERNO DE IT
Las siguientes Directrices Gerenciales y el Modelo de Madurez identifican los Factores Críticos de Éxito (Critical Success
Factors — CSFs), los Indicadires Claves de objetivos/resultados (Key Goal Indicators—KGIs), Indicadores Claves de
Desempeño (Key Performance Indicators—KPIs) para la Gobernabilidad de TI. Primero, la Gobernabilidad de TI se
define articulando las necesidades del negocio. A continuación, los criterios de información relacionados con la
Gobernabilidad de TI son identificados. Las necesidades del negocio son medidas por los Indicadores Claves de
Resultados - KGIs - y organizados por sentencias de control apoyado por todos los recursos de TI. El resultado de las
sentencias de control organizadas son medidas por los Indicadores Clave de desempeño - KPIs los cuales consideran los
Factores críticos de Éxito - CSFs.
El modelo de madurez se utiliza para evaluar el nivel de la organización para cumplir con lo establecido por la
Gobernabilidad de TI—desde el mas bajo nivel donde no existe, pasando por un estado inicial /adhoc, ascendiendo a otro
repetible pero intuitivo, luego a otro con procesos definidos, a otro administrado y medido y llegando al nivel optimista que
es el mas alto nivel. Para llegar al nivel de madurez optimista para la Gobernabilidad de TI, una organización debe estar al
menos en el nivel optimizado del dominio de Monitoreo y al menos estar en el nivel de medir y administrar los demás
dominios.
(Ver las Directrices Gerenciales de COBIT para una completa discusión del uso de esas herramientas)
IT GOVERNANCE INSTITUTE
28361 imp toolset.pub
page 79
79
Tuesday, February 15, 2005 08:17
Composite
CONJUNTO DE HERRAMIENTAS DE IMPLEMENTACION
APÉNDICE I DIRECTRICES GERENCIALES DEL GOBIERNO/
GOBERNABILIDAD DE TI
Gobierno sobre la tecnología de información y los
procesos con las metas del negocio para añadir valor,
mientras se balancean los riesgos y el retorno
z
Criterios de
Información
Asegurar la entrega de información al Negocio el cual
establece los Criterios de Información requeridos y
es medido por Indicadores Clave de Resultados/
Logros
Se hace posible a través de la creación y
mantenimiento de un sistema de procesos y
controles apropiados para el negocio, el cual
dirige y monitorea el valor del negocio
proporcionado por TI
Considera Factores Críticos de Éxito que
tiene en cuenta todos los Recursos de TI y
es medido por Indicadores Clave de
Desempeño
Factores Críticos de Éxito - CSFs
z
z
z
z
z
z
z
Las actividades del gobierno de TI son integradas
dentro del proceso de gobierno de la empresa y las
conductas de liderazgo
El gobierno de TI se enfoca en los objetivos y metas
de la empresa, en las iniciativas estratégicas y el uso
de tecnología para mejorar el negocio, con base en la
disponibilidad de recursos y capacidades suficientes
para soportar las demandas del negocio.
Las actividades del Gobierno de TI están definidas
sobre propósitos claros, documentados e
implementados, basados en las necesidades de la
empresa y con responsabilidades concretas.
Las prácticas gerenciales son implementadas para
incrementar la eficiencia y el uso óptimo de los
recursos así como incrementar la efectividad de los
procesos de TI.
Se establecen prácticas organizacionales para: evitar
descuidos; una cultura/ ambiente de control; análisis de
riesgos como práctica estándar; grado de adherencia a
estándares establecidos; monitoreo y seguimiento a los
riesgos y a las deficiencias de control.
Se definen prácticas de control para evitar el
incumplimiento o mal uso de controles internos.
Hay integración e interoperabilidad transparente de los
procesos de TI mas complejos como podrían ser: problemas,
cambios y administración de la configuración.
80
28361 imp toolset.pub
page 80
Se establece un comité de auditoría para designar y
supervisar un auditor independiente enfocado sobre
TI cuando dirige la ejecución de planes de auditoría y
revisa los resultados de las auditorías y revisiones de
terceros.
Efectividad
Eficiencia
Confidencialidad
Integridad
Disponibilidad
Cumplimiento
Recursos de TI
Personas
Aplicaciones
Tecnología
Instalaciones
Datos
Indicadores Clave de Resultados / Logros —
KGIs
z
z
z
z
z
z
z
z
z
z
z
z
Incrementar el desempeño y la administración de
costos
Mejorar el retorno de la inversión sobre las mayores
inversiones de TI
Mejorar el tiempo de comercialización
Incrementar la calidad, la innovación y la
administración de riesgos
Procesos del negocio apropiadamente integrados y
estandartizados
Búsqueda de nuevos clientes y satisfacer los
existentes
Disponibilidad de apropiado ancho de banda, poder
de cómputo y mecanismos para la entrega de
servicios de TI
Satisfacer los requerimientos y las expectativas de los
clientes de los procesos con base en un presupuesto y
a tiempo
Cumplir con las leyes, regulaciones, estándares de la
industria y compromisos contractuales.
Transparencia en los riesgos asumidos y
cumplimiento con el acuerdo del perfil de riesgo
organizacional.
Comparaciones mediante Benchmarking sobre el
nivel de madurez de TI
Creación de nuevos canales de distribución y entrega
de servicios
IT GOVERNANCE INSTITUTE
Tuesday, February 15, 2005 08:17
Composite
CONJUNTO DE HERRAMIENTAS DE IMPLEMENTACION
I - DIRECTRICES GERENCIALES
Indicadores Clave de Desempeño - KPIs
DEL GOBIERNO DE TI
z
z
z
z
z
z
z
z
Mejorar los procesos de costo-eficiencia de TI (costos
versus entregables o servicios)
Incrementare el número de planes de acción de TI
para las iniciativas de mejoramiento de procesos
Incrementar la utilización de la infraestructura de TI
Incrementar la satisfacción de los socios y accionistas
(encuestas y número de reclamaciones).
Incrementar la productividad de los funcionarios de
TI (número de entregables) y su moral (encuesta)
Incrementar la disponibilidad de conocimiento e
información para administrar la empresa.
Incrementar las relaciones entre el gobierno de la
empresa y el gobierno de TI
Incrementar el desempeño mediante mediciones
utilizando tarjetas de medición (Balanced
Scorecards).
Modelo de Madurez del Gobierno de TI
El Gobierno sobre la tecnología de información es un
proceso que tiene como finalidad proveer valor agregado
al negocio mientras balancea riesgos versus retorno.
0
No existe. Hay una completa falta de cualquier proceso
de gobierno de TI identificable. La organización no ha
reconocido aun que hay aspectos que deben ser
identificados y resaltados y no hay comunicación al
respecto.
1
Inicial / Ad Hoc7. Hay evidencia de que la organización ha
reconocido que existen aspectos del gobierno de TI que deben
ser considerados. Hay, sin embargo, procesos no
estandarizados, pero en su lugar, hay procedimientos ad hoc
aplicados sobre un caso individual o sobre bases de caso a
caso8. El enfoque Gerencial es caótico y hay una esporádica e
inconsistente comunicación sobre aspectos y enfoques que
deban ser considerados. Puede haber algún reconocimiento
para utilizar el valor de TI en el desempeño orientado al
resultado de los procesos relacionados de la empresa. No hay
procesos de análisis estándar. El monitoreo de TI está
implementado en una forma reactiva a incidentes que han
causado algunas pérdidas o apuros a la organización.
2
Repetible pero Intuitiva. Hay una conciencia global sobre los
aspectos del gobierno de TI. Las actividades del gobierno de TI
y los indicadores de desempeño están en desarrollo,
incluyendo la planeación de TI y los procesos de entrega y
monitoreo. Como parte de los esfuerzos, las actividades del
gobierno de TI están formalmente establecidas dentro del
proceso de administración del cambio con el involucramiento
activo de la alta gerencia. Procesos seleccionados de TI son
identificados para mejorar y/o controlar el núcleo de los
procesos de la empresa, son efectivamente planeados y
monitoreados como si fueran inversiones y son derivados en el
contexto de un marco de referencia de la arquitectura de TI. La
gerencia ha identificado los métodos y técnicas básicos de
análisis y medición del gobierno de TI, sin embargo, el proceso
no ha sido adoptado a través la organización. No hay
entrenamiento y comunicación sobre los estándares de
gobernabilidad y las responsabilidades son dejadas a los
individuos. Los individuos direccionan los procesos de
gobernabilidad como si no fueran procesos y proyectos de TI.
Las herramientas de gobernabilidad son limitadas, escogidas e
implementadas para lograr métricas de gobernabilidad pero
puede que no se usen en toda su capacidad debido a la falta de
experiencia en su funcionalidad.
3 Procesos Definidos. La necesidad de actuar con
respecto al gobierno de TI es entendida y aceptada. Se
desarrolla un grupo básico de indicadores de Gobierno
de TI, donde el encadenamiento entre medidas de
ingresos y controladores de desempeño es definido,
documentado e integrado dentro de la planeación
operacional y estratégica .
Los procedimientos han sido estandarizados,
documentados e implementados. La Gerencia ha
comunicado los procedimientos estandarizados y se
establece un entrenamiento informal. Los indicadores
de desempeño sobre las actividades de gobernabilidad
de TI son registrados y monitoreados generando
mejoras a todo lo largo de la empresa. Aunque
medidos, los procedimientos no son sofisticados pero
son la formalización de prácticas existentes. Las
herramientas están estandarizadas, utilizando técnicas
disponibles y modernas. La idea de utilizar tarjetas de
medición que balancean el negocio y TI son adoptadas
por la organización. Esto, sin embargo, deja que el
individuo, de acuerdo con su entrenamiento, siga y
aplique los estándares. El análisis de causa efecto es
ocasionalmente aplicado. La mayoría de los procesos
son monitoreados sobre métricas (bases), pero
cualquier desviación, debido a que generalmente se
basa en las iniciativas de los individuos, probablemente
IT GOVERNANCE INSTITUTE
28361 imp toolset.pub
page 81
81
Tuesday, February 15, 2005 08:17
Composite
CONJUNTO DE HERRAMIENTAS DE IMPLEMENTACION
no serían detectadas por la Gerencia. De todas maneras,
el registro total del desempeño de los procesos claves
es realizado y la gerencia es recompensada basada en
mediciones clave de desempeño.
4
Administrado y Medible. Hay un completo
entendimiento de los aspectos de Gobierno de TI a
todos los niveles de la organización, soportado por un
entrenamiento formal. Hay un claro entendimiento de
quien es el cliente y sus responsabilidades están
definidas y monitoreadas a través de acuerdos de nivel
de servicio. Las responsabilidades son claras y el
proceso de “propiedad” está establecido. Los procesos
de TI están alineados con el negocio y con la estrategia
de TI. El mejoramiento de los procesos de TI está
basado primariamente sobre un entendimiento
cuantitativo y por ello es posible monitorear y medir el
cumplimiento con procesos y con métrica de procesos.
Todos los responsables o propietarios de los procesos
son advertidos sobre los riesgos, la importancia de TI y
las oportunidades que TI puede ofrecer. La Gerencia ha
definido una tolerancia bajo la cual los procesos deben
operar. Se toman acciones en la mayoría, pero no en
todos los casos, donde parece que los procesos no están
operando efectiva o eficientemente. Los procesos se
mejoran ocasionalmente y se refuerzan las mejores
prácticas internas. Se estandariza el uso de análisis
causa-efectos. Hay un limitado, primario y táctico uso
de la tecnología, basado en técnicas de madurez y
reforzado con herramientas estándar. Hay
involucramiento de todos los expertos internos
requeridos. El gobierno de TI involucra los procesos a
todo lo ancho de la empresa. Las actividades del
gobierno de TI están llegando a integrarse con los
procesos de gobierno de la empresa.
82
28361 imp toolset.pub
page 82
5
Optimizado. En esta fase hay un entendimiento
avanzado y hacia futuro de los aspectos y soluciones
del gobierno de TI. El entrenamiento y las
comunicaciones son soportadas por conceptos y
técnicas de vanguardia. Los procesos han sido
refinados a un nivel de mejores prácticas externas
basadas sobre resultados de mejoramiento contínuo y
modelos de madurez con otras organizaciones. La
implementación de esas políticas han permitido a la
organización, a la gente y a los procesos que se adapten
rápidamente y por completo a los requerimientos de
gobierno de TI. Todos los problemas y desviaciones
son analizados de raíz y con base en ese análisis se
identifican e inician acciones eficientes y oportunas. La
Tecnología de Información es utilizada de una manera
extensiva y optimizada para automatizar el flujo de
trabajo y proporcionar herramientas para mejorar la
calidad y la efectividad. Los riesgos y el retorno de los
procesos de TI son definidos, balanceados y
comunicados a través de toda la empresa. Se
aprovechan expertos externos y se utilizan benchmarks
como guías. El monitoreo y el auto-análisis de riesgos
y las comunicaciones acerca de las expectativas del
gobierno influencian la organización y hay un óptimo
uso de la tecnología para soportar la medición, el
análisis, las comunicaciones y el entrenamiento. El
gobierno de la empresa y el gobierno de TI están
estratégicamente conectados empujando a los recursos
humanos y financieros a incrementar la ventaja
competitiva de la empresa.
IT GOVERNANCE INSTITUTE
Tuesday, February 15, 2005 08:17
Composite
CONJUNTO DE HERRAMIENTAS DE IMPLEMENTACION
APÉNDICE II – DESCRIPCIÓN DEL PROYECTO COBIT
El proyecto continua siendo supervisado por un Comité
de Dirección formado por representantes internacionales
de la academia, industria, gobierno y la profesión de
auditoría. El Comité de Dirección del Proyecto intervino
en el desarrollo del Marco Referencial ("Framework")
COBIT y en la aplicación de los resultados de la
investigación. Se establecieron grupos de trabajo
internacionales con el propósito de asegurar la calidad y
contar con una revisión experta de la investigación y los
elementos entregables del desarrollo del proyecto. El IT
Governance Institute proporcionó toda la dirección del proyecto.
INVESTIGACION Y ENFOQUE PARA EL
DESARROLLO INICIAL
Empezando con el Marco Referencial de COBIT, definido en
la primera edición, la aplicación de estándares y directrices
internacionales y la investigación dentro de mejores prácticas
ha permitido el desarrollo de los Objetivos de Control. Las
Guías o Directrices de Auditoría fueron desarrolladas a
continuación para analizar si esos objetivos de control son
apropiadamente implementados.
La investigación de la primera y segunda edición incluyó la
recolección y el análisis de fuentes identificadas y fue llevada
a cabo por equipos de investigación en Europa (Free
University of Amsterdam), Estados Unidos (California
Polytechnic University) y Australia (University of New
South Wales). Los equipos de investigación fueron
encargados de la compilación, revisión, análisis y apropiada
incorporación de estándares técnicos internacionales, códigos
de conducta, estándares de calidad, estándares profesionales
en prácticas y requerimientos de la auditoría y de la industria,
en cuanto a su relación con el Marco de Referencia y con los
Objetivos de Control individuales. Después de la colección y
análisis los investigadores fueron encargados de examinar
cada dominio y cada proceso en profundidad y sugerir
nuevos o modificados objetivos de control aplicables a los
procesos particulares de TI. La Consolidación de los
resultados fue llevada a cabo por el Comité de Dirección de
Cobit y por el Director de Investigaciones de ISACF.
INVESTIGACION Y ENFOQUE PARA LA 3a
EDICION
El proyecto de la 3a edición de COBIT consistió en
desarrollar las Directrices Gerenciales y actualizar la 2a
Edición de COBIT basado en nuevas y revisadas
referencias internacionales.
Adicionalmente, el Marco de Referencia de COBIT fue
revisado y mejorado para soportar el incremento de controles
gerenciales, introducir gerencia de desempeño y también
desarrollar el Gobierno de TI. Con el fin de proporcionarle a
la gerencia una aplicación del Marco de Referencia para que
pueda analizar y efectuar cambios para la implementación de
controles y el mejoramiento sobre la información y las
tecnologías relacionadas, así como medir el desempeño, las
Directrices Gerenciales incluyen Modelos de Madurez,
Factores Críticos de Éxito, Indicadores Clave de Logros/
resultados e Indicadores Clave de Desempeño relacionados
con los Objetivos de Control.
Las Directrices Gerenciales fueron desarrolladas para ser
utilizadas por un grupo de 40 expertos de todo el mundo,
pertenecientes a la industria, la academia, el gobierno y
profesionales en control y seguridad de TI. Esos expertos
participaron en talleres de trabajo guiados por facilitadores
profesionales que utilizaron guías definidas por el Comité de
Dirección del Proyecto COBIT. Los talleres fueron
fuertemente apoyados por el Gartner Group y
PricewaterhouseCoopers, quienes no solo proporcionaron
liderazgo de pensamiento sino que también enviaron varios de
sus expertos en control, gerencia del desempeño y seguridad
de la información. Los resultados de los talleres generaron los
borradores de los Modelos de Madurez, los Factores Críticos
de Éxito, los Indicadores Clave de Logros y los Indicadores
Clave de Desempeño para cada uno de los 34 objetivos de
control de alto nivel. El aseguramiento de calidad de los
entregables iniciales fue dirigido por el Comité de Dirección
del Proyecto y el resultado de este trabajo fue colocado a
disposición en la Web site de ISACA. El documento de las
Directrices Gerenciales fue finalmente preparado para ofrecer
un nuevo grupo de herramientas orientadas a la gerencia,
mientras que ofrecía integración y consistencia con el Marco
de Referencia de COBIT.
La actualización de los Objetivos de Control, basada en
nuevos y revisados estándares internacionales fue conducida
por miembros de los Capítulos de ISACA, bajo la
coordinación de los miembros del Comité de Dirección de
COBIT. La intención no fue llevar a cabo un análisis global de
todo el material o volver a desarrollar los Objetivo de Control,
sino generar un proceso de actualización incremental.
El resultado del desarrollo de las Directrices Gerenciales
fue utilizado para revisar el Marco de Referencia de COBIT,
especialmente en lo que tiene que ver con las
consideraciones, objetivos y sentencias que configuran los
objetivos de control de alto nivel.
IT GOVERNANCE INSTITUTE
28361 imp toolset.pub
page 83
83
Tuesday, February 15, 2005 08:17
Composite
CONJUNTO DE HERRAMIENTAS DE IMPLEMENTACION
APÉNDICE III – MATERIAL DE REFERENCIA PRIMARIA
Nota del traductor: Debido a que el contenido de este apéndice se compone principalmente de nombres propios de
instituciones y publicaciones, dichos nombres han sido respetados manteniéndolos en inglés.
COSO: Committee of Sponsoring Organisations of the Treadway Commission. Internal Control - Integrated Framework. 2
Vols. American Institute of Certified Accountants, New Jersey, 1994.
OECD Guidelines: Organisation for Economic Co-operation and Development. Guidelines for the Security of Information,
Paris, 1992.
DTI Code of Practice for Information Security Management: Department of Trade and Industry and British Standard
Institute. A Code of Practice for Information Security Management, London, 1993, 1995.
ISO 9000-3: International Organisation for Standardisation. Quality Management and Quality Assurance Standards - Part 3:
Guidelines for the Application of ISO 9001 to the development, supply and maintenance of software, Switzerland, 1991.
An Introduction to Computer Security: The NIST Handbook: National Institute of Standards and Technology, U.S.
Department of Commerce. Washington, DC, 1995.
ITIL IT Management Practices: Information Technology Infrastructure Library. Practices and guidelines developed by
the Central Computer and Telecommunications Agency (CCTA), London, 1989.
IBAG Framework: Draft Framework from the Infosec Business Advisory Group to SOGIS (Senior Officials Group on
Information Security, advising the European Commission) Brussels, Belgium, 1994.
NSW Premiers Office Statements of Best Practices and Planning Information Management and Techniques:
Statements of Best Practice #1 through #6. premier's Department New South Wales, Government of New South Wales,
Australia, 1990 through 1994.
Memorandum Dutch Central Bank: Memorandum on the Reliability and Continuity of Electronic Data Processing in
Banking. De Nederlandsche Bank, Reprint from Quarterly Bulletin #3, Netherlands, 1998.
EDPAF Monograph #7, EDI: An Audit Approach: Jamison, Rodger. EDI: An Audit Approach, Monograph Series #7,
Information Systems Audit and Control Foundation, Inc., Rolling Meadows, IL, April 1994.
PCIE (president's Council on Integrity and Efficiency) Model Framework: A Model Framework for Management Over
Automated Information Systems. Prepared jointly by the president's Council on Management Improvement and the
president's Council on Integrity and Efficiency, Washington, DC, 1987.
Japan Information Systems Auditing Standards: Information System Auditing Standard of Japan. Provided by the Chuo
Audit Corporation, Tokyo, August 1994.
CONTROL OBJECTIVES Controls in an Information Systems Environment: Control Guidelines and Audit
Procedures: EDP Auditors Foundation (now the Information Systems Audit and Control Foundation), Fourth Edition,
Rolling Meadows, IL, 1992.
CISA Job Analysis: Information Systems Audit and Control Association Certification Board. "Certified Information
Systems Auditor Job Analysis Study", Rolling Meadows, IL, 1994.
84
28361 imp toolset.pub
page 84
IT GOVERNANCE INSTITUTE
Tuesday, February 15, 2005 08:17
Composite
CONJUNTO DE HERRAMIENTAS DE IMPLEMENTACION
CICA Computer Control Guidelines: Canadian Institute of Chartered Accountants, Toronto, 1986.
IFAC International Guidelines for Managing Security of Information and Communications: International Federation
of Accountants, New York, NY, 1997.
IFAC International Guidelines on Information Technology Management - Managing Information Technology
Planning for Business Impact (Draft): International Federation of Accountants, New York, NY, 1998.
Standards for Internal Control in the U.S. Federal Government: U.S. General Accounting Office, Washington, DC,
1983.
Guide for Auditing for Controls and Security, A System Development Life Cycle Approach: NBS Special Publication
500-153: National Institute of Standards and Technology, U.S. Department of Commerce, Washington, DC, 1988.
Government Auditing Standards: U. S. General Accounting Office, Washington, DC, 1994.
Denmark Generally Accepted IT Management Practices: The Institute of State Authorized Accountants, Denmark,
1994.
SPICE: Software Process Improvement and Capability Determination. A standard on software process improvement,
British Standards Institution, London, 1995.
DRI International, Professional Practices for Business Continuity Planners: Disaster Recovery Institute International.
Guideline for Business Continuity Planners, St. Louis, MO, 1997.
IIA, SAC Systems Audibility and Control: Institute of Internal Auditors Research Foundation, Systems Audibility and
Control Report, Alamonte Springs, FL, 1991, 1994.
IIA, Professional Practices Pamphlet 97-1, Electronic Commerce: Institute of Internal Auditors Research Foundation,
Alamonte Springs, FL, 1997.
E & Y Technical Reference Series: Ernst & Young, SAP R/3 Audit Guide, Cleveland, OH, 1996.
C & L Audit Guide SAP R/3: Coopers & Lybrand, SAP R/3: Its Use, Control and Audit, New York, NY, 1997.
ISO IEC JTC1/SC27 Information Technology - Security: International Organisation for Standardisation (ISO) Technical
Committee on Information Technology Security, Switzerland, 1998.
ISO IEC JTC1/SC7 Software Engineering: International Organisation for Standardisation (ISO) Technical Committee on
Software Process Assessment. An Assessment Model and Guidance Indicator, Switzerland, 1992.
ISO TC68/SC2/WG4, Information Security Guidelines for Banking and Related Financial Services: International
Organisation for Standardisation (ISO) Technical Committee on Banking and Financial Services, Draft, Switzerland, 1997.
CCEB 96/011, Common Criteria for Information Technology Security Evaluation: Common Criteria Implementation
Board, Alignment and comparison of existing European, US and Canadian IT Security Criteria, Draft, Washington, DC,
1997.
IT GOVERNANCE INSTITUTE
28361 imp toolset.pub
page 85
85
Tuesday, February 15, 2005 08:17
Composite
CONJUNTO DE HERRAMIENTAS DE IMPLEMENTACION
Recommended Practice for EDI: EDIFACT (EDI for Administration Commerce and Trade), Paris, 1987.
TickIT: Guide to Software Quality Management System Construction and Certification. British Department of Trade and
Industry (DTI), London, 1994
ESF Baseline Control - Communications: European Security Forum, London. Communications Network Security,
September 1991; Baseline Controls for Local Area Networks, September, 1994.
ESF Baseline Control - Microcomputers: European Security Forum, London. Baseline Controls Microcomputers
Attached to Network, June 1990.
Computerized Information Systems (CIS) Audit Manual: EDP Auditors Foundation (now the Information Systems
Audit and Control Foundation), Rolling Meadows, IL, 1992.
Guide for Developing Security Plans for Information Technology: NIST Special Publication 800-18, National Institute
for Standards and Technology, US Department of Commerce, Washington, DC 1998
Financial Information Systems Control Audit Manual (FISCAM): US General Accounting Office, Washington, DC,
1999.
BS7799-Information Security Management: British Standards Institute, London, 1999.
CICA Information Technology Control Guidelines, 3er Edition: Canadian Institute of Chartered Accountants,
Toronto, 1998
ISO/IEC TR 1335-n Guidelines for the Management of IT Security, (GMITS) Parts 1-5: International Organisation
for Standardisation, Switzerland, 1998.
AICPA/CICA SystrustTM Principles and Criteria for Systems Reliability, Version 1.0: American Institute of
Certified Public Accountants, New York, and Canadian Institute of Chartered Accountants, Toronto, 1999.
86
28361 imp toolset.pub
page 86
IT GOVERNANCE INSTITUTE
Tuesday, February 15, 2005 08:17
Composite
CONJUNTO DE HERRAMIENTAS DE IMPLEMENTACION
APÉNDICE IV – GLOSARIO DE TÉRMINOS
AICPA
Instituto Americano de Contadores Públicos Certificado. (American Institute of Certified Public
Accountants)
CCEB
Criterios comunes para seguridad en tecnología de información. (Common Criteria for
Information Technology Security)
CICA
Instituto Canadiense de Contadores. (Canadian Institute of Chartered Accountants)
CISA
Auditor Certificado de Sistemas de Información. (Certified Information Systems Auditor)
Control
Políticas, procedimientos, prácticas y estructuras organizacionales, diseñados para proporcionar
una seguridad razonable de que los objetivos del negocio serán alcanzados y que eventos no
deseados serán prevenidos o detectados y corregidos.
COSO
Comité de Organizaciones Patrocinadoras de la Comisión de Intercambio.
"Tradeway" (Committee of Sponsoring Organisations of the Tradeway Commission).
DRI
Instituto Internacional de Recuperación de Desastres. (Disaster Recovery Institute International)
DTI
Departamento de Comercio e Industria del Reino Unido. (Department of Trade and Industry of
the United Kingdom)
EDIFACT
Intercambio Electrónico de Datos para la Administración, el Comercio y la Industria (Electronic
Data Interchange for Administration, Commerce and Trade)
EDPAF
Fundación de Auditores de Procesamiento Electrónico de Datos (Electronic Data Processing
Auditors Foundation), ahora ISACF.
ESF
Foro Europeo de Seguridad (European Security Forum), cooperación de 70+ multinacionales
europeas principalmente con el propósito de investigar problemas de seguridad y control
comunes de TI.
GAO
Oficina General de Contabilidad de los EUA. (U.S. General Accounting Office)
I4
Instituto Internacional de Integridad de Información. (International Information Integrity
Institute), asociación similar a ESF, con metas similares, pero con base principalmente en los
Estados Unidos y dirigida por el Instituto de Investigaciones de Stanford (Stanford Research
Institute)
IBAG
Grupo Consultivo de Negocios Infosec (Infosec Business Advisory Group), representantes de la
industria que asesoran al Comité Infosec. Este Comité está compuesto por funcionarios de los gobiernos
de la Comunidad Europea y asesora a la Comisión Europea sobre cuestiones de seguridad de TI.
IFAC
Federación Internacional de Contadores. (International Federation of Accountants)
IIA
Instituto de Auditores Internos. (Institute of Internal Auditors)
IT GOVERNANCE INSTITUTE
28361 imp toolset.pub
page 87
87
Tuesday, February 15, 2005 08:17
Composite
CONJUNTO DE HERRAMIENTAS DE IMPLEMENTACION
INFOSEC
Comité Consultivo para la Comisión Europea en Materia de Seguridad TI. (Advisory
Committee for IT Security Matters to the European Commission)
ISACA
Asociación para la Auditoría y Control de Sistemas de Información. (Information Systems Audit
and Control Foundation)
ISACF
Fundación para la Auditoría y Control de Sistemas de Información. (Information Systems Audit
and Control Foundation)
ISO
Organización de Estándares Internacionales. (International Standards Organisation) (con oficinas en
Génova, Suiza)
ISO9000
Estándares de manejo y aseguramiento de la calidad definidos por ISO.
ITIL
Biblioteca de Infraestructura de Tecnología de Información. (Information Technology Infrastructure
Library)
ITSEC
Criterios de Evaluación de Seguridad de Tecnología de Información (Information Technology Security
Evaluation Criteria). Combinación de los criterios de Francia, Alemania, Holanda y Reino Unido,
soportadas consecuentemente por la Comisión Europea (ver también TCSEC, el
equivalente en los Estados Unidos).
NBS
Departamento Nacional de Estándares de los Estados Unidos (National Bureau of Standards of
the U.S.)
NIST
(antes NBS) Instituto Nacional de Estándares y Tecnología. (National Institute of Standards and
Technology), con base en Washington D.C.
NSW
Nueva Gales del Sur, Australia. (New South Wales, Australia)
Objetivo de
Control
Una sentencia o declaración del resultado deseado o propósito a ser alcanzado mediante la
implementación de procedimientos de control en una actividad particular de TI
OECD
Organización para la Cooperación y el Desarrollo Económico. (Organisation for Economic Cooperation
and Development)
OSF
Fundación de Software Público (Open Software Foundation)
PCIE
Consejo Presidencial de Integridad y Eficiencia. (President´s Council on Integrity and Efficiency)
SPICE
TCSEC
Mejoramiento del Proceso de Software y Determinación de la Capacidad (Software Process
Improvement and Capability Determination) - un estándar pare el mejoramiento del proceso de software
Criterios de Evaluación de Sistemas Computarizados Confiables. (Trusted Computer System Evaluation
Criteria), conocido también como "The Orange Book". Criterios de evaluación de seguridad para
sistemas computarizados definidos originalmente por el Departamento de Defensa de los Estados
Unidos. Ver también ITSEC, el equivalente europeo.
TickIT
Guía para la Construcción y Certificación de Sistemas de Administración de Calidad. (Guide to
Software Quality Management System Construction and Certification)
88
28361 imp toolset.pub
page 88
IT GOVERNANCE INSTITUTE
Tuesday, February 15, 2005 08:17
Composite
Descargar