2. INTRODUCCIÓN
La evaluación de los requerimientos del negocio,
los
recursos y procesos IT, son puntos bastante
importantes
para el buen funcionamiento de una compañía y
para el
aseguramiento de su supervivencia en el mercado
3. INTRODUCCIÓN
Para muchas organizaciones, la información y la tecnología
que la respalda, representan los activos más valiosos de la
empresa, por lo que la gestión de los riesgos asociados de la
Tecnología de Información, o Gobernabilidad de TI, ha
ganado notoriedad en tiempos recientes como un aspecto
clave de la gobernabilidad corporativa, dada su capacidad de
proporcionar valor agregado al negocio, balanceando la
relación entre el riesgo y el retorno de la inversión sobre TI y
sus procesos.
4. COBIT
El COBIT es un modelo de evaluación y monitoreo
que enfatiza en el control de negocios y la
seguridad IT y que abarca controles específicos
de IT desde una perspectiva de negocios
5. COBIT : MODELO PARA AUDITORIA Y
CONTROL DE SISTEMAS DE
INFORMACIÓN
Las siglas COBIT significan Objetivos de Control
para Tecnología de Información y Tecnologías
relacionadas (Control Objectives for Information
Systems and related Technology). El modelo es
el resultado de una investigación con expertos de
varios países, desarrollado por ISACA
(Information Systems Audit and Control
Association).
6. COBIT : MODELO PARA AUDITORIA Y
CONTROL DE SISTEMAS DE
INFORMACIÓN
COBIT, lanzado en 1996, es una herramienta de
gobierno de TI que ha cambiado la forma en que
trabajan los profesionales de tecnología.
Vinculando tecnología informática y prácticas de
control, el modelo COBIT consolida y armoniza
estándares de fuentes globales prominentes en un
recurso crítico para la gerencia, los profesionales
de control y los auditores
7. COBIT : MODELO PARA AUDITORIA Y
CONTROL DE SISTEMAS DE
INFORMACIÓN
Está basado en la filosofía de que los recursos TI
necesitan ser administrados por un conjunto de
procesos naturalmente agrupados para proveer la
información pertinente y confiable que requiere una
organización para lograr sus objetivos.
8. COBIT : MODELO PARA AUDITORIA Y
CONTROL DE SISTEMAS DE
INFORMACIÓN
Misión: Investigar, desarrollar,
publicar y promover un conjunto
internacional y actualizado de
objetivos de control para tecnología
de información que sea de uso
cotidiano para gerentes y auditores
9. COBIT
(COBIT), define un marco de referencia que
clasifica los procesos de las unidades de
tecnología de información de las organizaciones en
cuatro (4) “dominios” principales, a saber:
- Planificación y organización
- Adquisición e implantación
- Soporte y Servicios
- Monitoreo
10. PLANIFICACION Y ORGANIZACION:
Este dominio cubre la estrategia y las tácticas y se
refiere a la identificación de la forma en que la
tecnología de información puede contribuir de la
mejor manera al logro de los objetivos del negocio.
Además, la consecución de la visión estratégica
necesita ser planeada, comunicada y administrada
desde diferentes perspectivas. Finalmente, deberán
establecerse una organización y una infraestructura
tecnológica apropiadas.
11. COBIT presenta 10 procesos:
PO1 – Definición de un plan estratégico: gestión
del valor, alineación con las necesidades del
negocio, planes estratégicos y tácticos.
P02 – Definición de la arquitectura de información:
modelo de arquitectura, diccionario de datos,
clasificación de la información, gestión de la
integridad.
12. ADQUISION E IMPLANTACION:
Para llevar a cabo la estrategia de TI, las
soluciones de TI deben ser identificadas,
desarrolladas o adquiridas, así como
implementadas e integradas dentro del proceso
del negocio. Además, este dominio cubre los
cambios y el mantenimiento realizados a sistemas
existentes.
13. COBIT define los siguientes 7 procesos:
AI1 – Identificación de soluciones: análisis
funcional y técnico, análisis del riesgo, estudio de la
viabilidad.
AI2 – Adquisición y mantenimiento de
aplicaciones: Diseño, controles sobre la seguridad,
desarrollo, configuración, verificación de la calidad,
mantenimiento.
14. SOPORTE Y SERVICIOS:
En este dominio se hace referencia a la entrega
de los servicios requeridos, que abarca desde
las operaciones tradicionales hasta el
entrenamiento, pasando por seguridad y
aspectos de continuidad. Con el fin de proveer
servicios, deberán establecerse los procesos de
soporte necesarios. Este dominio incluye el
procesamiento de los datos por sistemas de
aplicación, frecuentemente clasificados como
controles de aplicación.
15. Cobit ha definido 13 procesos diferentes.
DS3 – Gestión del rendimiento y la capacidad:
planes de capacidad, monitorización del
rendimiento, disponibilidad de recursos.
DS4 – Asegurar la continuidad del servicio: plan
de continuidad, recursos críticos, recuperación de
servicios, copias de seguridad
16. MONITOREO:
Todos los procesos necesitan ser evaluados
regularmente a través del tiempo para verificar su
calidad y suficiencia en cuanto a los requerimientos
de control.
17. Cobit define los siguientes 4 procesos:
ME1 – Monitorización y evaluación del rendimiento
ME2 – Monitorización y evaluación del control
interno
ME3 – Asegurar el cumplimiento con
requerimientos externos
ME4 – Buen gobierno
18. Estos dominios agrupan objetivos de control de
alto nivel, que cubren tanto los aspectos de
información, como de la tecnología que la
respalda. Estos dominios y objetivos de control
facilitan que la generación y procesamiento de la
información cumplan con las características de
efectividad, eficiencia, confidencialidad,
integridad, disponibilidad, cumplimiento y
confiabilidad.
19. El Informe COSO es un documento que contiene
las principales directivas para la implantación,
gestión y control de un sistema de Control Interno.
20. Está diseñado con el objeto de proporcionar un
grado de seguridad razonable en cuanto a la
consecución de objetivos dentro de las siguientes
categorías:
Eficacia y eficiencia de las operaciones.
Fiabilidad de la información financiera.
Cumplimiento de leyes y normas que sean
aplicables.
21. COMPONENTES
El marco integrado de control que plantea el informe COSO
consta de cinco componentes interrelacionados, derivados del
estilo de la dirección, e integrados al proceso de gestión:
· Ambiente de control
· Evaluación de riesgos
· Actividades de control
· Información y comunicación
· Supervisión
22. Los principales factores del ambiente de control son:
· La filosofía y estilo de la dirección y la gerencia.
· La estructura, el plan organizacional, los
reglamentos y los manuales de procedimiento.
23. Los principales factores de Evaluación de riesgos
son:
Cambios en el entorno.
· Redefinición de la política institucional.
· Reorganizaciones o reestructuraciones
internas.
24. Actividades de control
· Las operaciones
· La confiabilidad de la información
financiera
· El cumplimiento de leyes y reglamentos
25. Supervisión
El objetivo es asegurar que el control interno
funciona adecuadamente, a través de dos
modalidades de supervisión: actividades continuas o
evaluaciones puntuales.
26. INFORMACION Y COMUNICACION
Así como es necesario que todos los agentes
conozcan el papel que les corresponde
desempeñar en la organización (funciones,
responsabilidades), es imprescindible que cuenten
con la
información periódica y oportuna que deben
manejar para orienta
27. Conclusión
En el modelo de control interno, las diferencias que
son significativas, sobre todo entre COSO y
COBIT, que son los dos modelos más difundidos
en la actualidad.
1. La primera gran diferencia es que COSO está
enfocado a toda la organización, mientras que
COBIT se centra en el entorno IT.
2. La segunda es que COBIT contempla de forma
específica la seguridad de la información como
uno de sus objetivos, cosa que COSO no hace.
28. CONCLUSIÓN
3. Y la tercera, que el modelo de control interno
que presenta COBIT es más completo, dentro
de su ámbito, que el de COSO, ya que
contempla políticas, procedimientos y
estructuras organizativas además de procesos
para definir el modelo de control interno