Cobit 5 es un marco de referencia para el gobierno y gestión de las tecnologías de la información creado por ISACA e ITGI. El documento explica que Cobit 5 está basado en cinco principios como satisfacer las necesidades de los interesados y cubrir la empresa de extremo a extremo. Describe los cinco dominios del modelo de referencia de Cobit 5, incluyendo el nuevo dominio para el gobierno de TI llamado "Evaluar, dirigir y monitorear". También resume los cambios en el modelo de madurez de procesos de Cob
COSO :Organización voluntaria del sector privado, establecida en los EEUU formada el año 1985 , dedicada a proporcionar orientación a la gestión ejecutiva y las entidades de gobierno sobre los aspectos fundamentales de organización de este, la ética empresarial, control interno, gestión del riesgo empresarial, el fraude, y la presentación de informes financieros. COSO ha establecido un modelo común de control interno contra el cual las empresas y organizaciones pueden evaluar sus sistemas de control.
El informe COSO se define como un proceso efectuado por el consejo de administración, la dirección y el resto del personal de una organización, diseñado con el objetivo de proporcionar un grado de seguridad razonable en cuanto a la persecución de los objetivos.
El informe C.O.S.O. de 1992, definió cinco componentes interrelacionados entre sí, los cuales eran: El ambiente de Control, Evaluación de Riesgos, Actividades de Control, Información y Comunicación; y Supervisión.
La Comisión Treadway plantea en su segundo informe (COSO ERM), que la administración de riesgos, se aplica desde la puesta en marcha de las estrategias y objetivos operacionales hasta el resultado final y en la retroalimentación pertinente de todos los procesos.
Los 8 componentes del COSO ERM están interrelacionados entre si: Ambiente interno, establecimiento de objetivos, identificación de eventos, evaluación de riesgos, respuesta al riesgo, actividades de control, información y comunicación, monitoreo.
Conceptos claves en COSO ERM:
Administración del riesgo en la determinación de la estrategia.
Eventos y riesgo.
Apetito de riesgo.
Tolerancia al riesgo.
Visión de portafolio de riesgo.
Como se puede observar desde el COSO I, el componente que tiene una profundización mayor en COSO ERM, es la Evaluación de Riesgos, la cual pasa a transformarse en el centro del análisis de un control interno moderno.
COSO II “ERM” toma muchos aspectos importantes que el coso I no considera, como por ejemplo:
1)El establecimiento de objetivos
2)Identificación de riesgo
3)Respuesta a los riesgos
-Se puede decir que estos componentes son claves para definir las metas de la empresa .
-Si los objetivos son claros se puede decidir que riegos tomar para hacer realidad las metas de la organización.
-Amplía el concepto de control interno, proporcionando un foco más robusto y extenso sobre la identificación, evaluación y gestión integral de riesgo.
-De esta manera se puede hacer una clara identificación, evaluación, mitigación y respuesta para los riesgos.
COSO en la Organización:
Gobiernos Corporativos: Es el conjunto de relaciones, de mejores prácticas, que debe establecer una empresa entre su Junta de Accionistas , su Directorio y su Administración Superior para acrecentar el valor para sus accionistas y responder a los objetivos de todos sus stakeholder.
Informe COSO es una herramienta utilizada por la
COSO :Organización voluntaria del sector privado, establecida en los EEUU formada el año 1985 , dedicada a proporcionar orientación a la gestión ejecutiva y las entidades de gobierno sobre los aspectos fundamentales de organización de este, la ética empresarial, control interno, gestión del riesgo empresarial, el fraude, y la presentación de informes financieros. COSO ha establecido un modelo común de control interno contra el cual las empresas y organizaciones pueden evaluar sus sistemas de control.
El informe COSO se define como un proceso efectuado por el consejo de administración, la dirección y el resto del personal de una organización, diseñado con el objetivo de proporcionar un grado de seguridad razonable en cuanto a la persecución de los objetivos.
El informe C.O.S.O. de 1992, definió cinco componentes interrelacionados entre sí, los cuales eran: El ambiente de Control, Evaluación de Riesgos, Actividades de Control, Información y Comunicación; y Supervisión.
La Comisión Treadway plantea en su segundo informe (COSO ERM), que la administración de riesgos, se aplica desde la puesta en marcha de las estrategias y objetivos operacionales hasta el resultado final y en la retroalimentación pertinente de todos los procesos.
Los 8 componentes del COSO ERM están interrelacionados entre si: Ambiente interno, establecimiento de objetivos, identificación de eventos, evaluación de riesgos, respuesta al riesgo, actividades de control, información y comunicación, monitoreo.
Conceptos claves en COSO ERM:
Administración del riesgo en la determinación de la estrategia.
Eventos y riesgo.
Apetito de riesgo.
Tolerancia al riesgo.
Visión de portafolio de riesgo.
Como se puede observar desde el COSO I, el componente que tiene una profundización mayor en COSO ERM, es la Evaluación de Riesgos, la cual pasa a transformarse en el centro del análisis de un control interno moderno.
COSO II “ERM” toma muchos aspectos importantes que el coso I no considera, como por ejemplo:
1)El establecimiento de objetivos
2)Identificación de riesgo
3)Respuesta a los riesgos
-Se puede decir que estos componentes son claves para definir las metas de la empresa .
-Si los objetivos son claros se puede decidir que riegos tomar para hacer realidad las metas de la organización.
-Amplía el concepto de control interno, proporcionando un foco más robusto y extenso sobre la identificación, evaluación y gestión integral de riesgo.
-De esta manera se puede hacer una clara identificación, evaluación, mitigación y respuesta para los riesgos.
COSO en la Organización:
Gobiernos Corporativos: Es el conjunto de relaciones, de mejores prácticas, que debe establecer una empresa entre su Junta de Accionistas , su Directorio y su Administración Superior para acrecentar el valor para sus accionistas y responder a los objetivos de todos sus stakeholder.
Informe COSO es una herramienta utilizada por la
El control interno es un proceso llevado a cabo por las personas de una organización, diseñado con el fin de proporcionar un grado de seguridad "razonable" para la consecución de sus objetivos, y minimización de riesgos.
El control interno constituye una serie de acciones que se interrelacionan y se extienden a todas las actividades de una organización, éstas son inherentes a la gestión del negocio (actividades de una entidad). El control interno es parte y está integrado a los procesos de gestión básicos: planificación, ejecución y supervisión, y se encuentra entrelazado con las actividades operativas de una organización. Los controles internos son más efectivos cuando forman parte de la esencia de una organización, cuando son "incorporados" e "internalizados" y no "añadidos".
COBIT (Control Objectives Control Objectives for Information and related Technology) es el marco aceptado internacionalmente como una buena práctica para el control de la información, TI y los riesgos que conllevan. COBIT se utiliza para implementar el gobierno de IT y mejorar los controles de IT.
http://sg.com.mx/sgce/2013/sessions/introducci%C3%B3n-cobit-5
En 2012 ISACA emitió la versión número cinco de COBIT, poniendo a disposición de las empresas un marco de referencia que integra de manera holística las mejores prácticas de gobierno y gestión de TI, facilitando un entendimiento armonizado del enredado mundo de los estándares y marcos de referencia internacionales. COBIT 5 construye y consolida la experiencia de más de 15 años de uso práctico y aplicación por las comunidades internacionales de usuarios del negocio, tecnologías de la información, seguridad, riesgos y auditoría. En esta conferencia se presentarán los principios y herramientas que aporta COBIT 5 y como usarlos en una empresa para obtener un valor óptimo de la información y las tecnologías relacionadas, asegurando la obtención de beneficios en tanto se optimizan los niveles de riesgo y uso de recursos.
El control interno es un proceso llevado a cabo por las personas de una organización, diseñado con el fin de proporcionar un grado de seguridad "razonable" para la consecución de sus objetivos, y minimización de riesgos.
El control interno constituye una serie de acciones que se interrelacionan y se extienden a todas las actividades de una organización, éstas son inherentes a la gestión del negocio (actividades de una entidad). El control interno es parte y está integrado a los procesos de gestión básicos: planificación, ejecución y supervisión, y se encuentra entrelazado con las actividades operativas de una organización. Los controles internos son más efectivos cuando forman parte de la esencia de una organización, cuando son "incorporados" e "internalizados" y no "añadidos".
COBIT (Control Objectives Control Objectives for Information and related Technology) es el marco aceptado internacionalmente como una buena práctica para el control de la información, TI y los riesgos que conllevan. COBIT se utiliza para implementar el gobierno de IT y mejorar los controles de IT.
http://sg.com.mx/sgce/2013/sessions/introducci%C3%B3n-cobit-5
En 2012 ISACA emitió la versión número cinco de COBIT, poniendo a disposición de las empresas un marco de referencia que integra de manera holística las mejores prácticas de gobierno y gestión de TI, facilitando un entendimiento armonizado del enredado mundo de los estándares y marcos de referencia internacionales. COBIT 5 construye y consolida la experiencia de más de 15 años de uso práctico y aplicación por las comunidades internacionales de usuarios del negocio, tecnologías de la información, seguridad, riesgos y auditoría. En esta conferencia se presentarán los principios y herramientas que aporta COBIT 5 y como usarlos en una empresa para obtener un valor óptimo de la información y las tecnologías relacionadas, asegurando la obtención de beneficios en tanto se optimizan los niveles de riesgo y uso de recursos.
Aporte de COBIT 5 al Gobierno Corporativo de TecnologíaCarlos Francavilla
Presentación realizada en el congreso CIGRAS 2014 en Montevideo, Uruguay acerca del aporte que realiza COBIT 5 al gobierno corporativo de Tecnología y Gobierno Corporativo
Cobit 5 un framework para el gobierno y gestión de las TI
Proyecto de curso de Contabilidad para Gestión,
Universidad Nacional Mayor de San Marcos, Lima, Perú
Noviembre del 2014
El COBIT es un modelo para auditar la gestión y control de los sistemas de información y tecnología, orientado a
todos los sectores de una organización, es decir,
administradores IT, usuarios y por supuesto, los auditores
involucrados en el proceso.
ITIL. s un conjunto de mejores practicas para la dirección y gestión de servicios de tecnologías de la información en lo referente a Personas, Procesos y Tecnología,
desarrollado por la OGC
1. UNIVERSIDAD LAICA “ELOY ALFARO DE MANABÍ”
FACULTAD DE CIENCIAS INFORMÁTICAS
PERTENECE A:
VILLEGAS ZAMBRANO EDGAR JONATHAN
DOCENTE:
ING. BECQUER BRIONES
MATERIA:
EVALUACION Y AUDITORIA DE SISTEMAS
CURSO:
NOVENO NIVEL
FECHA
31 JULIO 2015
2. COBIT 5
Su sigla en inglés se refiere a Control Objectives for Information and Related
Technology y es un conjunto de mejores prácticas para el manejo de información
creado por la Asociación para la Auditoría y Control de Sistemas de Información
(ISACA), y el Instituto de Administración de las Tecnologías de la Información
(ITGI) en 1992.
Cobit es un marco de referencia para la dirección de IT, asi como también de
herramientas de soporte que permite a la alta dirección reducir la brecha entre
las necesidades de control, cuestiones técnicas y los riesgos del negocio. Cobit
permite el desarrollo de políticas claras y buenas prácticas para el control de TI
en las organizaciones. Cobit enfatiza el cumplimiento normativo, ayuda a las
organizaciones a aumentar el valor obtenido de TI, facilita su alineación y
simplifica la implementación del marco de referencia de Cobit.
Abril de 2012la InformationSystems Audit and ControlAsociation (ISACA) publicó
Cobit 5, que integra Val IT, Risk IT, BMIS (Business Model for Information Security)
e ITA (IT Assurance Framework), también desarrollados y publicados por ISACA,
además de considerar para sus procesos otros estándares internacionales,
mejores prácticas y marcos de referencia como COSO, ISO-9000, ISO-31000, ISO-
38500, ITIL, TOGAF y la familia ISO-27000, entre otros. En este artículo explicaré
en qué consisten las principales diferencias y su nuevo modelo de procesos.
Esta nueva versión de Cobit fue desarrollada para ayudar a organizaciones de
todos los tamaños y de cualquier sector a obtener el valor óptimo de las
tecnologías de información, tratando de satisfacer las necesidades de los
3. interesados internos y externos mediante la creación de valor para la empresa a
través de TI (tecnologías de información), con un enfoque de gestión holística de
extremo a extremo, cumpliendo de mejor manera con leyes, regulaciones,
políticas, y basándose en buenas prácticas internacionales.
Cobit 5 está enfocado en el gobierno empresarial de las tecnologías de
información, a diferencia de su antecesor, enfocado principalmente al gobierno
de TI. A continuación listo las áreas que presentan los cambios principales, para
posteriormente explicar en qué consiste cada uno:
1. Cinco principios.
2. Dominio “Evaluar, dirigir y monitorear”.
3. Modelo de referencia de procesos.
4. Modelo de madurez de procesos.
.
El propósito de Cobit es brindar a la Alta Dirección de una compañía confianza
en los sistemas de información y en la información que estos
produzcan. Cobitpermite entender como dirigir y gestionar el uso de tales
sistemas así como establecer un codigo de buenas practicas a ser utilizado por
los proveedores de sistemas. Cobit suministra las herramientas para supervisar
todas las actividades relacionadas con IT.
Veamos que ventajas ofrece Cobit:
Cobit es un marco de referencia aceptado mundialmente de gobierno IT
basado en estándares y mejores prácticas de la industria. Una vez implementado,
es posible asegurarse de que IT se encuentra efectivamente alineado con las
metas del negocio, y orientar su uso para obtener ventajas competitivas.
4. Suministra un lenguaje común que le permite a los ejecutivos de negocios
comunicar sus metas, objetivos y resultados con Auditores, IT y otros
profesionales.
Proporciona las mejores prácticas y herramientas para monitorear y
gestionar las actividades de IT. El uso de sistemas usualmente requiere de una
inversión que necesita ser adecuadamente gestionada.
Ayuda a los ejecutivos a entender y gestionar las inversiones en IT a través
de sus ciclo de vida, así como también proporcionándoles métodos para
asegurarse que IT entregara los beneficios esperados.
La diferencia entre compañías que gestionan adecuadamente sus recursos IT y
las que no es enorme. Cobit permite el desarrollo de políticas claras y buenas
prácticas para la gestión de IT. Su marco de referencia permite gestionar los
riesgos de IT y asegurar el cumplimiento, la continuidad, seguridad y privacidad.
Al ser Cobit reconocida y aceptada internacionalmente como una herramienta de
gestión, su implementación es un indicativo de la seriedad de una organización.
Ayuda a Empresas y profesionales de IT a demostrar su competitividad ante las
demás compañías. Así como existen procesos genéricos de muchos tipos de
negocios, existen estándares y buenas practicas específicos para IT que deben
seguirse por las compañías cuando se soportan en IT, en donde Cobit agrupa
tales estándares y entrega un marco de referencia para su implementación y
gestión.
Una vez se identifican e implementan los principios relevantes de Cobit para una
compañía, se obtiene plena confianza en que todos los recursos de sistemas estan
siendo gestionados efectivamente.
5. Que resultados se obtienen al implementar Cobit? Veamos:
El ciclo de vida de costos de IT será mas transparente y predecible.
IT entregara información de mayor calidad y en menor tiempo.
IT brindara servicios con mayor calidad y todos los proyectos apoyados en
IT serán mas exitosos.
Los requerimientos de seguridad y privacidad serán más fácilmente
identificados, y su implementación podrá ser mas fácilmente monitoreada.
Todos los riesgos asociados a IT serán gestionados con mayor efectividad.
El cumplimiento de regulaciones relacionadas a IT serán una práctica
normal dentro de su gestión.
El marco de referencia Cobit en su versión 4 (a Julio de 2010),incluye lo siguiente:
Marco de referencia: explica como Cobit organiza la Gestión de IT, los
objetivos de control y buenas practicas del negocio por dominios y procesos de
IT, relacionándolos directamente con los requerimientos del negocio. Este marco
de referencia contiene un total de 34 niveles de objetivos de control, uno por
cada proceso de IT, agrupados en cuatro dominios: Planeamiento y Organización,
Adquisición e Implementación, Desarrollo y Soporte y Monitoreo y Evaluación
(Que tal la coincidencia con el ciclo PHVA de las Normas ISO?)
Descripción de procesos: Incluida para cada uno de los 34 procesos de IT,
cubriendo todas las áreas y responsabilidades de IT de principio a fin.
6. Objetivos de Control: Suministra objetivos de gestión basados en las
mejores prácticas para los procesos de IT.
Directrices de Gestión: Incluye herramientas para ayudar a asignar
responsabilidades y medir desempeños.
Modelos de madurez: proporciona perfiles de los procesos de IT
describiendo para cada uno de ellos un estados actual y uno futuro.
1. Los cinco principios
Cobit 5 está basado en cinco principios:
Satisfacer las necesidades de los interesados.
Cubrir la empresa de extremo a extremo.
Aplicar un solo marco integrado.
Habilitar un enfoque holístico.
Separar gobierno de administración.
.
Principio 1 (abarcar las necesidades de los interesados): los indicadores clave de
metas y de proceso, (KGI y KPI, por sus siglas en inglés), que finalmente traducen
las necesidades de los interesados, internos y externos, se transformaron en una
estrategia empresarial llamada “cascada de metas”, que comienza con las metas
de la empresa, continúa con las metas relacionadas de TI, que a su vez recaen en
lo que Cobit llama “habilitadores”, y finalmente se alcanzan al desarrollar las
actividades de las metas.
7. Este esquema de cascada de metas, basado en mapeos y tablas provistas por
Cobit 5, proporciona una guía orientadora para establecer un vínculo coherente
y consistente que permita traducir las necesidades de todos los interesados del
negocio en objetivos específicos de la empresa, que dan origen a objetivos de TI
y a objetivos facilitadores.
.
Principio 2 (cubrir la empresa de extremo a extremo): considera todas las
funciones y procesos dentro de la organización. Cobit 5 no se centra solo en el
gobierno de TI, pues ahora considera la información y las tecnologías
relacionadas como activos que deben ser tratados como cualquier otro.
¿Y cómo lo hace? Gestionando TI como si fuera una empresa, tomando en
consideración los requerimientos para la estrategia, táctica y operación;
integrando de esta forma el gobierno empresarial de TI en el gobierno
corporativo.
.
Principio 3 (aplicar un solo marco integrado): para cumplir con este principio,
Cobit incorpora los estándares y marcos más relevantes de la industria:
COSO (Committee of Sponsoring Organizations of the Treadway
Commission), que ha sido reconocido como un marco apropiado y
exhaustivo para el control interno.
ISO/IEC 9000, estándar para el control de calidad en procesos
empresariales.
ISO/IEC 31000, estándar de administración de riesgos, principios y
directrices, la cual tiene como objetivo ayudar a las organizaciones de todo
tipo y tamaño a gestionar los riesgos empresariales con efectividad.
8. ISO-38500, estándar para el gobierno corporativo de TI.
ITIL, mejores prácticas para servicios de TI con un enfoque de procesos de
TI.
The Open Group Architecture Framework (TOGAF), que proporciona un
enfoque para el diseño, planificación, implementación y gobierno de una
arquitectura empresarial de información.
La familia ISO-27000, enfocada en el tema de seguridad informática con el
establecimiento de un sistema de gestión de seguridad de la información
(SGSI) y los controles asociados.
La idea de contar con todo lo anterior es que las empresas utilicen Cobit como
un marco integrador de gobierno y administración de TI.
.
Principio 4 (habilitar un enfoque holístico): en esta nueva versión se introducen
los habilitadores, que son factores mínimos a cumplir para que el gobierno y la
administración empresarial de TI funcionen de manera correcta al ayudar a
optimizar la información, la inversión en tecnología y su uso para el beneficio de
todos los interesados. Se habla de un enfoque holístico porque los habilitadores
introducidos caen en siete categorías diferentes:
10. 6. Servicios, infraestructura y aplicaciones. Incluyen la infraestructura,
tecnología y aplicaciones que proporcionan a la empresa servicios y
procesamiento de la información.
7. Personas, habilidades y competencias. Son necesarios para completar con
éxito todas las actividades. En este sentido, Cobit incluye una matriz RACI
para todos sus procesos, considerando de manera genérica una base de
perfiles de puestos bastante completa.
.
Principio 5 (separar gobierno de administración): Cobit 5 reconoce que estas dos
disciplinas incluyen tipos de actividades y estructuras organizacionales diferentes,
que sirven para diferentes propósitos. El gobierno es responsabilidad de la junta
directiva, mientras que la administración es responsabilidad de la alta
administración, bajo el liderazgo del CEO. Por eso se agregó un dominio
particular enfocado a gobierno y se actualizaron los cuatro que ya tenía para la
administración.
.
2. Dominio “Evaluar, dirigir y monitorear”
El pentagrama de gobierno de TI, que era un pilar en Cobit 4.1, se transformó en
el nuevo dominio “Evaluar, dirigir y monitorear”, que contiene cinco áreas de
enfoque del gobierno de TI:
1. Alineación estratégica se convirtió en el proceso número uno de este
nuevo dominio: “definir y mantener el marco de gobierno”, mediante
políticas y prácticas de evaluación y dirección de procesos.
2. Entrega de valor quedó como el proceso dos “Garantizar la entrega de
beneficios”.
11. 3. Administración de recursos evolucionó en el proceso cuatro (“Garantizar
la optimización de los recursos”).
4. Administración de riesgos es ahora el proceso tres correspondiente a
“Asegurar la optimización de los niveles de riesgos”.
5. Medición del desempeño, finalmente, corresponde ahora al proceso cinco
“Asegurar la transparencia para los interesados”.
.
3. Modelo de referencia de procesos
El nuevo modelo de referencia se basa en cinco dominios, con uno enfocado,
como ya lo he mencionado antes, exclusivamente a la gobernabilidad. Los otros
cuatro se enfocan a la administración y prácticamente son los mismos de Cobit
4; sin embargo, cambia el número y contenido de sus procesos por lo que
también cambia el número de los objetivos de control de alto nivel, los cuales de
ser treinta y cuatro ahora se convierten en treinta y siete. Y como dicen que una
imagen dice más que mil palabras, a continuación muestro el nuevo modelo:
13. 0. Proceso incompleto
1. Proceso desarrollado.
2. Proceso administrado.
2.1 Administración del desempeño.
2.2 Administración del producto del trabajo.
3. Proceso establecido
3.1 Definición del proceso.
3.2 Desarrollo del proceso.
4. Proceso predecible.
4.1 Administración del proceso.
4.2 Control del proceso.
5. Proceso optimizado.
5.1 Proceso de innovación.
5.2 Optimización del proceso.
Según indica ISACA, Cobit 5 es la mayor evolución estratégica de Cobit y
representa el único marco de trabajo globalmente aceptado para el gobierno de
TI que brinda a los interesados la guía más completa y actualizada para una mejor
administración.
Sin embargo, desde mi punto de vista, el proceso de migración hacia Cobit 5
tiene cierta complejidad para aquellas organizaciones que han implementado
oportunamente Cobit 4, debido principalmente a que los niveles de madurez en
esta nueva versión no corresponden a los anteriores. Por otra parte, aquellas
14. instituciones que pretendan implantar Cobit 5 “desde cero” estarán planteando
un proyecto complejo que deberán planear minuciosamente para tener éxito.
Ya sea para migrar o implantar Cobit 5 es recomendable establecer un proyecto
basado en fases, estableciendo los objetivos empresariales y utilizando los
apéndices B, C y D, para mapearlos a los objetivos y procesos de TI. Las fases
deben responder a las preguntas ¿Dónde estamos ahora?, ¿dónde queremos
estar?, ¿qué necesitamos hacer?, ¿cómo logramos estar donde queremos?, y
¿cómo sabemos que ya lo logramos?, siendo fundamental establecer el nivel de
cumplimiento de métricas y un proceso de mejora continua.